home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_059.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  31.5 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #59
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Thursday, 11 Apr 1991    Volume 4 : Issue 59
  9.  
  10. Today's Topics:
  11.  
  12. AF/91 - John Gantz "joke" in Infoworld
  13. New virus (PC) ? ("evil empire")
  14. Re: virus infection by inserting a floppy (Mac)
  15. Re: Am I subject to viruses?
  16. SNEFRU and other hash algorithm weaknesses
  17. Unix and viruses (UNIX)
  18. Need help with Beijing Virus (PC)
  19. Am I subject to viruses?
  20. How big is the virus problem ??
  21. re: Possible hypercard virus (Mac)
  22. Virus in disk-validator (Amiga)
  23. virus infection by inserting a floppy (Mac)
  24. Detection of viruses (PC)
  25. Boot sector viruses on IDE hard disks (PC)
  26. Unix viruses (UNIX)
  27. Re: Possible hypercard virus? (Mac)
  28. Call for papers--3rd Workshop on Computer Security Incident Handling
  29.  
  30. VIRUS-L is a moderated, digested mail forum for discussing computer
  31. virus issues; comp.virus is a non-digested Usenet counterpart.
  32. Discussions are not limited to any one hardware/software platform -
  33. diversity is welcomed.  Contributions should be relevant, concise,
  34. polite, etc.  Please sign submissions with your real name.  Send
  35. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  36. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  37. anti-virus, documentation, and back-issue archives is distributed
  38. periodically on the list.  Administrative mail (comments, suggestions,
  39. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  40.  
  41.    Ken van Wyk
  42.  
  43. ---------------------------------------------------------------------------
  44.  
  45. Date:    10 Apr 91 18:08:00 +0000
  46. From:    sharp@mizar.usc.edu (Malcolm Sharp)
  47. Subject: AF/91 - John Gantz "joke" in Infoworld
  48.  
  49. In the April 1, 1991 issue of Infoworld, John Gantz in his column
  50. "Tech Street" warned of a virus called "AF/91" which he said was
  51. developed by the NSA to be used against Iraqui defense computers.
  52. After describing the virus and telling that it started spreading
  53. uncontrolled, he told that windowing technology was "doomed."
  54.  
  55. In the same issue, columnist Robert Cringely discussed Windows 3.0
  56. vulnerability to viruses saying it "has lots of holes for custom
  57. viruses to slip through."
  58.  
  59. In the April 8 issue, Mr. Gantz's column begins with a note from the
  60. Editors saying AF/91 was all an April Fools joke.
  61.  
  62. I'm not laughing.
  63.  
  64. I'm searching for the adjectives to describe this irresponsible
  65. act.
  66.  
  67. Anyone else spend time investigating this virus from the 4/1 columns?
  68.  
  69. I'm *seriously* considering a class action suit for compensatory
  70. (small $) and punitive (BIG $$$) damages.
  71.  
  72. Interested in hearing from others.
  73.  
  74. Malcolm Sharp, U.S.C.
  75. (Opinions are my own and don't reflect those of my employer...
  76. though we did just double the size of our Law Center.)
  77.  
  78. ------------------------------
  79.  
  80. Date:    Wed, 10 Apr 91 22:13:13 +0000
  81. From:    martin@cs.UAlberta.CA (Tim Martin; FSO; Soil Sciences)
  82. Subject: New virus (PC) ? ("evil empire")
  83.  
  84. Has anyone else found a DOS boot sector virus that gives an eight line
  85. message about the USA being the real "evil empire" in the "impending
  86. war with Iraq"?  It is on several of our more public computers at U of
  87. Alberta, and we are wondering whether it was locally written.
  88.  
  89. The virus is a "new stoned" variant, according to the F-DISINF and
  90. F-SYSCHK programs.
  91.  
  92. Please notify myself, and also Peter Johnston.  Peter is at
  93. usergold@mts.ucs.ualberta.ca.
  94.  
  95. Thanks,
  96.  
  97. Tim Martin
  98. Soil Science
  99. U of Alberta
  100. tmartin@vm.ucs.ualberta.ca
  101. martin@menaik.cs.ualberta.ca
  102.  
  103. ------------------------------
  104.  
  105. Date:    11 Apr 91 01:03:03
  106. From:    Y301E05@AWITUW01.BITNET
  107. Subject: Re: virus infection by inserting a floppy (Mac)
  108.  
  109. I can only provide an answer for Macs.
  110. It is possible, and in fact there is a virus called "WDEF" which uses this
  111. method. This virus infects the invisible Desktop file which resides on every
  112. floppy and hard disk. This file is examined by the Finder when the floppy is
  113. mounted and the virus resource gets loaded into memory.
  114. On the other hand there are a lot of anti virus tools (commercial and free)
  115. which address this problem an wipe out all known viruses that use this
  116. method. One of them (called SAM Intercept) can be configureds to scan every
  117. floppy that is inserted into the Mac, and will give you an alert and the
  118. option to kill the virus.
  119. Since the invisible Desktop file will not be used in System 7.0, i can+t
  120. say, if viruses will be able to infect Macs running with System 7.0.
  121.  
  122. I hope this helps
  123. Stephan Bublava
  124. y301e05@awituw01.bitnet
  125.  
  126. ------------------------------
  127.  
  128. Date:    10 Apr 91 23:35:03 +0000
  129. From:    news@umd5.umd.edu (USENET)
  130. Subject: Re: Am I subject to viruses?
  131.  
  132. Pandy Holmberg writes:
  133. >pcsbbs!fff@uunet.uu.net writes:
  134. >
  135. >>   I know that this is the kind of question that only a novice would ask.
  136. >>   Well, I am a *rank* novice in Usenet, UUCP, and telecommunications in
  137. >>   general.  Please bear with me.  The question is:
  138. >>
  139. >>   If I connect to a site where I always initiate the call, only exchange
  140. >>   email and receive netnews, am I subject to receiving a virus.  My
  141. >>   modem is never left on and the port is not enabled for a login.
  142. >
  143. >The answer is NO. As long as you just use your computer as a terminal.
  144. >As soon as you start downloading files, the danger appears...
  145.  
  146.     HOLD IT!  IF he uses his computer only as a terminal then he
  147. is safe.  However, it is not clear that is what he does.
  148.  
  149.     He mentions USENET and UUCP.  He says that he initiates the
  150. call to exchange email and netnews.  He says that the port is not
  151. enabled for login.  That implies to me that he is running his own Unix
  152. machine and uses UUCP to send and receive email and netnews.  That
  153. means that he is transferring files.  Even worse it means that he
  154. allows "rmail" and "rnews" to be remotely executed on his machine.  I
  155. don't know what software and version he is running, but it is possible
  156. that there may be deliberate or accidental trapdoors in that software.
  157. Just after the Internet worm incident, there was some discussion on
  158. whether or not something similiar to the sendmail or fingerd attack
  159. could take place via UUCP.  I don't remember the conclusion, but I
  160. wouldn't want to guarantee that he is safe.  If he is concerned,
  161. taking a few minutes to look at the source code for "rmail" and
  162. "rnews" would not be unreasonable.
  163.  
  164.                 Bill Bogstad
  165.  
  166. ------------------------------
  167.  
  168. Date:    Thu, 11 Apr 91 03:35:00 +0000
  169. From:    William Hugh Murray <0003158580@mcimail.com>
  170. Subject: SNEFRU and other hash algorithm weaknesses
  171.  
  172. James Kirkpatrick writes:
  173.  
  174. >  -  SNEFRU was discussed on this list, but I was dismayed to find it
  175. >     had been broken, and that Merkle's response was to increase the
  176. >     number of passes.  This worries me because of the experience of
  177. >     knapsack cryptosystems, where a single-iteration system was first
  178. >     broken, followed by the introduction of multiple-iteration systems,
  179. >     which were in turn broken (at least, that is my recollection; I may
  180. >     have some details wrong).
  181.  
  182. Well, with the same limitations on "details," and without commenting
  183. on SNEFRU, the following may be helpful.
  184.  
  185. The DEA is an iterative system.  There is a demonstration (Adelman?)
  186. that its strength goes up rapidly with the number of iterations, such
  187. that at sixteen (the number required by the standard) its strength
  188. reaches the point where an analytic attack is as expensive as an
  189. exhaustive attack against the key.  (My recollection is that Adelman
  190. was attempting to demonstrate the power of his analytic attack rather
  191. than the strength of the algorithm.)
  192.  
  193. Hellman set out to demonstrate the general inadequacy of the length of
  194. the 56 bit DES key; in the process he demonstrated its adequacy for
  195. many applications.  I have always been grateful to him for his
  196. explication of the work required to break it, which is, conversely, a
  197. measure of its strength.  (It should be noted that while the length of
  198. the key in the DES is specified to be 56 bits, the effective key
  199. length in DEA implementations is arbitrarily long.  For example, IBM
  200. uses a 112 bit key in some applications.)
  201.  
  202. While recovering a great deal of ENIGMA encoded traffic, ULTRA
  203. demonstrated that, with reasonable key management, ENIGMA is a
  204. formidable mechanism.
  205.  
  206. Anything hit with a sufficiently large hammer will fall to pieces.
  207. The cost of the hammer is a measure of the strength of the thing.  If
  208. the cost of the attack exceeds the value of its success, then the
  209. thing is economically unbreakable.  For most purposes, that is good
  210. enough.
  211.  
  212. ____________________________________________________________________
  213. William Hugh Murray                     email: 315-8580@MCIMAIL.COM
  214. Information System Security             WHMurray@DOCKMASTER.NCSC.MIL
  215. Consultant to Deloitte & Touche         MCI-Mail: 315-8580
  216.  
  217. ------------------------------
  218.  
  219. Date:    Thu, 11 Apr 91 03:36:00 +0000
  220. From:    William Hugh Murray <0003158580@mcimail.com>
  221. Subject: Unix and viruses (UNIX)
  222.  
  223. >a.  That MS-Dos viruses (is this an all-encompassing term for things
  224. >that tamper with and destroy the OS and programs?)
  225.  
  226. Perhaps, yes, but inappropriately so.  True viruses are a special case.
  227.  
  228. >have conceptual
  229. >parallels in the Unix o/s.  i.e. the kernel is equivalent to
  230. >COMMAND.COM, the file system superblock is equivalent to the FAT, etc.
  231.  
  232. Not true.  There are no successful live viruses in the Unix environment.
  233.  
  234. There are four necessary conditions for the success of a virus: 1)
  235. (very) large population of similar machines; 2) sharing among members
  236. of that population; 3) the ability of the user to execute an arbitrary
  237. program of his own choice; 4) storage into which write a modified
  238. executable.  Unix does not appear to meet conditions 1 and/or 2.
  239.  
  240. Other Trojan Horse attacks might be aimed at a specific Unix machine;
  241. these would be several orders of magnitude less serious than a
  242. successful virus.
  243.  
  244. >b. That all "security" to read and write as a superuser has already
  245. >been breached and that this breach has gone undetected.
  246.  
  247. Viruses and all other Trojan Horse attacks rely upon user privileges
  248. for their success.  There is no requirement to bypass security.
  249.  
  250. In fact, a virus that depended for its success on such a condition,
  251. clearly would not meet condition 1 above.
  252.  
  253. On the other hand, if your b. is the case, then viruses and other
  254. Trojan Horse attacks are the least of your concerns.  Viruses are
  255. Trojan Horses that wish to spread their influence.  Trojan Horses are
  256. attacks against good security.  In the absence of good security,
  257. neither is indicated or necessary.
  258.  
  259. >c. That one workstation with a bootable hard disk is accessible to the
  260. >individual planning to damage the system.
  261.  
  262. This condition is easily met in the MS-DOS environment; much less so
  263. in in the Unix environment.  (You should note that viruses depend upon
  264. the fact that the same program will run in all systems in the target
  265. environment.  While one can conceive of a virus that might spread from
  266. an MS-DOS workstation to a Unix workstation or multi-user system (if
  267. that is what you have in mind), it is highly unlikely that such a
  268. program would meet the conditions for success.)
  269.  
  270. While some kinds of Trojan Horse attacks might target such a device,
  271. viruses are aimed at the population as a whole rather than to any
  272. specific machine.
  273.  
  274. >d. That the individual is sufficiently sophisticated to avoid leaving
  275. >obvious clues (file sizes, dates, etc.).
  276.  
  277. Well, that excludes all viruses.  It is possible to conceive of a
  278. virus that was so subtle that it left no evidence; on the other hand,
  279. if you never notice that you have been damaged, then you have not been
  280. damaged.
  281.  
  282. No such virus has ever been detected, for obvious reasons.  All the
  283. reported viruses have done something noticeable.  Since the intent of
  284. a virus is to spread, and since if it has no symptoms, the author
  285. cannot know if it is successful, few people would write such a virus.
  286.  
  287. >e. We should consider that the individual may have access to the o/s
  288. >source code.
  289.  
  290. I assume that you mean that an attacker would have special knowledge
  291. of the operating system, since if he has WRITE access to such code, no
  292. other attack is necessary.
  293.  
  294. While it is likely that some virus authors have such special
  295. knowledge, few exploit it and, since viruses need only exploit user
  296. privileges, it is neither necessary nor even particularly useful.
  297.  
  298. >I am particularly interested in comments about:
  299. >
  300. >a.  Known attacks on Unix o/s involving tampering with the o/s kernel
  301. >and commands.
  302.  
  303. Indeed, you may well be.  (Of course, attacks against the kernel are
  304. substantively different from those involving commands.)  Given the
  305. mode of operation of many Unix systems, sophisticated attacks are
  306. rarely needed.  I suggest that you read Ken Thompson's Turing Award
  307. lecture and Cliff Stoll's "The Cuckoo's Egg."  They have already
  308. recorded far more than I am likely to tell you.
  309.  
  310. ____________________________________________________________________
  311. William Hugh Murray                     203-966-4769
  312. Information System Security             203-326-1833 (CELLULAR)
  313. Consultant to Deloitte & Touche         203-761-3088
  314. Wilton, Connecticut                     email: 315-8580@MCIMAIL.COM
  315.                                         WHMurray@DOCKMASTER.NCSC.MIL
  316.                                         MCI-Mail: 315-8580
  317.                                         TELEX: 6503158580
  318.                                         FAX: 203-966-8612
  319.                                         Compu-Serve: 75126,1722
  320. 21 Locust Avenue, Suite 2D              DASnet: [DCM1WM]WMURRAY
  321. New Canaan, Connecticut 06840           PRODIGY: DXBM57A
  322.  
  323. ------------------------------
  324.  
  325. Date:    Wed, 10 Apr 91 16:53:34 -0700
  326. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  327. Subject: Need help with Beijing Virus (PC)
  328.  
  329. EMERSON@TURING.SDC.TASC.COM writes:
  330.  
  331. > this?  I have something that may work, but I need a SIGN.TXT file to
  332. > run it with.  Could I get a copy of this?  Any help is greatly
  333.  
  334. Your statement indicates that what you have is FPROT.  If you have
  335. been given only the F-FCHK program, you do not have the full package,
  336. as SIGN.TXT is included in it.  The file FPROT114.ZIP should contain
  337. the entire suite, and is available on many servers and local bulletin
  338. boards.  (frisk has also been promising 1.15 RSN for a while now, and
  339. it may be available by the time you read this.  :-)
  340.  
  341. =============
  342. Vancouver          p1@arkham.wimsey.bc.ca   | "Is it plugged in?"
  343. Institute for      Robert_Slade@mtsg.sfu.ca | "I can't see."
  344. Research into      (SUZY) INtegrity         | "Why not?"
  345. User               Canada V7K 2G6           | "The power's off
  346. Security                                    |  here."
  347.  
  348. ------------------------------
  349.  
  350. Date:    Wed, 10 Apr 91 16:41:53 -0700
  351. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  352. Subject: Am I subject to viruses?
  353.  
  354. pcsbbs!fff@uunet.uu.net writes:
  355.  
  356. > If I connect to a site where I always initiate the call, only exchange
  357. > email and receive netnews, am I subject to receiving a virus.  My
  358. > modem is never left on and the port is not enabled for a login.
  359.  
  360. Actually, your question, even as specific as you have made it (and
  361. thank you for all the details you *have* given) is not completely
  362. straightforward.
  363.  
  364. First point: what is your local machine?  If it is a PC, and you are
  365. using it just as a terminal, you should be almost completely safe.  I
  366. say "almost", because there are instances of codes imbedded in text
  367. that can gain "access" to the low levels of your machine, but they
  368. would be very much subject to the specific terminal program you are
  369. using, and the configuration both of it and of your PC.  As these
  370. codes have so far been seen only in "trojan" situations, and given the
  371. configuration specific nature, this is highly unlikely to be of
  372. concern to you.
  373.  
  374. If you are using a workstation, and connecting in a network or
  375. pseudonetwork configuration (I am extrapolating from your comment
  376. about the port not being enabled for a login) you may possibly be at
  377. greater risk
  378.  
  379. If you are simply using a terminal, you may still be subject to a
  380. "denial of access" viral situation, although you would be safe from
  381. local data loss.  Some terminals (and I won't go into details because
  382. they are available in back issues of VIRUS-L) will accept text as
  383. commands to "remap" the keybaord, and then to "send" the remapped
  384. commands.  These "new" commands can, of course, be of the nature of
  385. "forward this message to everyone I know", and thus create a mail
  386. virus.
  387.  
  388. =============
  389. Vancouver          p1@arkham.wimsey.bc.ca   | "Is it plugged in?"
  390. Institute for      Robert_Slade@mtsg.sfu.ca | "I can't see."
  391. Research into      (SUZY) INtegrity         | "Why not?"
  392. User               Canada V7K 2G6           | "The power's off
  393. Security                                    |  here."
  394.  
  395. ------------------------------
  396.  
  397. Date:    Wed, 10 Apr 91 16:48:01 -0700
  398. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  399. Subject: How big is the virus problem ??
  400.  
  401. UMCKA04@VAXA.CC.IMPERIAL.AC.UK writes:
  402.  
  403. > hit :-), but I would be very interested in hearing peoples estimates of
  404. > the SCALE of the problem, and reading any material that people may
  405.  
  406. The last few issues of Information Week have published scattered
  407. excerpts of a study by Certus International.  Although no details of
  408. methodology are given, beyond the statement that 150 corporations were
  409. surveyed, they state that 26% of companies were hit by an infection
  410. (on one or more PC's) in January of 1991.  Over half of the companies
  411. had been affected at one time.
  412.  
  413. Certus is also stating that the problem (in terms of number of
  414. infections) is growing at the rate of 160% per quarter.
  415.  
  416. The figures may be inflated by "self selection" factors, or they may
  417. be lowered because of privacy concerns.
  418.  
  419. =============
  420. Vancouver          p1@arkham.wimsey.bc.ca   | "Is it plugged in?"
  421. Institute for      Robert_Slade@mtsg.sfu.ca | "I can't see."
  422. Research into      (SUZY) INtegrity         | "Why not?"
  423. User               Canada V7K 2G6           | "The power's off
  424. Security                                    |  here."
  425.  
  426. ------------------------------
  427.  
  428. Date:    Thu, 11 Apr 91 08:18:24 -0400
  429. From:    "Christopher T. Anderson" <CANDERSO@uga.cc.uga.edu>
  430. Subject: re: Possible hypercard virus (Mac)
  431.  
  432. A Suggestion for your "possible HyperCard virus."  Running 6.0.5 on
  433. those Macs suggests to me that you may be running into a heap-stack
  434. collision.  If you are running a moderate number of INITs, you may
  435. wish to get Heap Tool (available at Sumex).  This adjusts the size of
  436. your heap upwards, avoiding such collisions.  Write back with any
  437. questions.
  438.  
  439. - -------------------------------------------------------------------------------
  440. Name:           Christopher T. Anderson (Chris)
  441. Mail Address:   Computer Services Annex  Electronic Addresses:
  442.                 University of Georgia          Bitnet: CAnderso@uga
  443.                 Athens, GA 30602             Internet: CAnderso@uga.cc.uga.edu
  444. Telephone: Work (404) 542-5162               EasyLink: 74730.3306@compuserv.com
  445.            Home (404) 549-8958         America Online: CTAnderson
  446.  
  447.                              C A R P E   D I E M ! ! !
  448. - -------------------------------------------------------------------------------
  449.  
  450. ------------------------------
  451.  
  452. Date:    Thu, 11 Apr 91 12:24:53 +0000
  453. From:    leeuw@fwi.uva.nl (Jacco de Leeuw)
  454. Subject: Virus in disk-validator (Amiga)
  455.  
  456. A disk which contained a virus-killer I needed because of the
  457. 'Noname'-virus, also contained a very nasty virus (!). It was located
  458. in the 'disk-validator' program in the L directory. This one is a real
  459. problem, because you don't even have to boot from an infected disk or
  460. run a program! Just insert it in any drive and it will put itself in
  461. memory. A friend of mine said that this was because of a bug in
  462. Kickstart, because when a disk is damaged somehow (by this virus for
  463. example), the disk-validator on this disk is used, and not the one in
  464. L:.
  465.  
  466. I don't know for sure what this virus does, except writing itself to
  467. any disk inserted. I DO know how to identify it: VirusX4.0 says that
  468. "The Australian Parasite virus" was found in memory and the
  469. ColdCapture pointer was altered. After that, VirusX says it has
  470. removed it from memory, but actually it's still there. You can easily
  471. check if your disk-validator has been infected: just 'type opt h
  472. df1:l/disk-validator' (for example) will do. The normal disk-validator
  473. contains a lot of text (several errors), whereas the virus only has
  474. the text 'Checksum error' at the end.  You can't see the difference
  475. from the size of the disk-validator.
  476.  
  477. So, is it a new virus? Which virus-killer can recognize this one and
  478. future versions? And where can I find it?
  479.  
  480. Thanks, Jacco (leeuw@fwi.uva.nl)
  481.  
  482. - -- 
  483. Jacco de Leeuw            | Email: leeuw@fwi.uva.nl 
  484. J.C. van Wessemstr. 54    | Department of Computer Science 
  485. 1501 VM Zaandam, Holland  | Plantage Muidergracht 24  Room 106a   
  486. Home phone: +31-75-352068 | 1018 TV Amsterdam, Holland    
  487.  
  488. ------------------------------
  489.  
  490. Date:    Thu, 11 Apr 91 08:23:44 -0400
  491. From:    "Christopher T. Anderson" <CANDERSO@uga.cc.uga.edu>
  492. Subject: virus infection by inserting a floppy (Mac)
  493.  
  494. Yes,
  495.  
  496. On the macintosh, WDEF spreads quite nicely on insertion of a floppy.  Any
  497. virus which infects the desktop file will likely infect on disk insertion.
  498.  
  499. - -------------------------------------------------------------------------------
  500. Name:           Christopher T. Anderson (Chris)
  501. Mail Address:   Computer Services Annex  Electronic Addresses:
  502.                 University of Georgia          Bitnet: CAnderso@uga
  503.                 Athens, GA 30602             Internet: CAnderso@uga.cc.uga.edu
  504. Telephone: Work (404) 542-5162               EasyLink: 74730.3306@compuserv.com
  505.            Home (404) 549-8958         America Online: CTAnderson
  506.  
  507.                              C A R P E   D I E M ! ! !
  508. - -------------------------------------------------------------------------------
  509.  
  510. ------------------------------
  511.  
  512. Date:    Wed, 10 Apr 91 16:59:37 -0400
  513. From:    padgett%tccslr.dnet@uvs1.orl.mmc.com (A. Padgett Peterson)
  514. Subject: Detection of viruses (PC)
  515.  
  516. >From: "Mark Aitchison, U of Canty; Physics" <PHYS169@csc.canterbury.ac.nz>
  517.  
  518. >(1) It would be best to check a few key interrupt vectors (via their
  519. >low memory locations, not via DOS), as well as the memory size...
  520.  
  521. Agree & should do this before DOS loads while interrupt vectors are still
  522. predictable.
  523.  
  524. >(3) Does any virus take interrupts by not changing the vector but by
  525. >changing the first few bytes of the present routine to be a far jump
  526. >to the virus?
  527.  
  528. Boot sector infectors that grab Int 13 do this backwards: The virus takes
  529. 13 from the BIOS but when DOS loads, the vector is repointed to DOS and
  530. after its check, a far call is made to the previous vector (virus).
  531. Joshi & Stoned look like this after DOS loads.
  532.  
  533. >However, IMHO, non-boot sector viruses will probably
  534. >eventually win over the best efforts of anti-virus software...
  535.  
  536. I am not sure about this. A good integrity management system will be able to
  537. block anything that tries to take power after DOS but an BSI has the
  538. opportunity to go resident on any accidental boot. Unless a BIOS level checker
  539. is in place (like my experiment), this can be very difficult to detect given
  540. some techniques we (thankfully) have not seen, yet.
  541.  
  542. ------------------------------
  543.  
  544. Date:    Wed, 10 Apr 91 16:59:37 -0400
  545. From:    padgett%tccslr.dnet@uvs1.orl.mmc.com (A. Padgett Peterson)
  546. Subject: Boot sector viruses on IDE hard disks (PC)
  547.  
  548. >From:    LYNNE@vax.oxford.ac.uk
  549. >
  550. >In the way of preventative measures we think that a solution would be
  551. >to advise our users who are purchasing IDE drives to take several
  552. >backup copies of the boot sector...
  553.  
  554. I think you are talking about the Master Boot Record (aka Partition Table),
  555. DOS Boot Records are relatively easy to restore & FORMAT works if nothing else.
  556.  
  557. >Does anyone know of a simple (and optimally free) utility that
  558. >provides a fool-proof mechanism for copying and writing the boot sector?
  559.  
  560. I use DEBUG to do this all the time - the necessary code fragment is:
  561.  
  562.      MOV AX,201
  563.      MOV BX,200
  564.      MOV CX,1
  565.      MOV DX,80
  566.      INT 13
  567.      INT 20
  568.  
  569. After execution, the MBR will reside in locations 200h-3ffh for you to
  570. store in a .DAT file. Restoration just requires changing one byte.
  571.  
  572. If you want the DOS Boot Record, "L 200 2 0 1" will put that in the same
  573. location.
  574.  
  575. >As far as curative measures are concerned (where a copy has not
  576. >been taken of the BS) we are stymied! Has anyone any suggestions?
  577.  
  578. If you have a number of similar machines, all partitioned the same way,
  579. you should find that the MBR and BR are the same between machines (no
  580. guarentees though). A good tech should be able to rebuild a lost MBR in
  581. about 15 minutes if the drive is known & familiar.
  582.  
  583. ------------------------------
  584.  
  585. Date:    Wed, 10 Apr 91 16:59:37 -0400
  586. From:    padgett%tccslr.dnet@uvs1.orl.mmc.com (A. Padgett Peterson)
  587. Subject: Unix viruses (UNIX)
  588.  
  589. >From:    spaf@cs.purdue.edu (Gene Spafford)
  590. >
  591. >First of all, Unix viruses are definitely possible, and they aren't
  592. >all that difficult to write.
  593.  
  594. Entirely true, though it is more difficult to get one to spread in a
  595. properly implimented (managerial problem NOT technical) unix
  596. environment than in DOS.
  597.  
  598. Given access, unix will take care of the structure of a file header,
  599. etc.  provided the unix virus uses properly implimented high level
  600. calls. The low level stuff (under the OS) found in many DOS viruses is
  601. rather difficult to impliment. The unix access controls are adequate
  602. against this type of attack are adequate (viruses are possible but
  603. worms or spoofs are easier).
  604.  
  605. Essence of next comment also From: ethan@thinc.COM (Ethan.Lish@THINC.COM)
  606.  
  607. >So, the answer to the question of, is it possible to write a Unix
  608. >virus, is a definite "yes."  It can easily be done as a shell script,
  609. >which makes it portable to any form of Unix...
  610.  
  611. This is a possibility but the infection process would have to be a bit
  612. convoluted - a spoof would be simpler. You would have to invoke a "cut
  613. and paste" operation to infect other scripts and write or root access
  614. would be required. The main difficulty would be that script files are
  615. readable, kind of like patching AUTOEXEC.BAT in DOS & easy to detect
  616. (if anyone looks).  Would also be limited to legal commands (annoying
  617. but not likely to be permanently destructive).
  618.  
  619. In the VAX world, use of version numbers in file calls (does anyone
  620. else ?)  would make such script spoofs more difficult.
  621.  
  622. Key here is that "good" multi-user systems (e.g. unix) already have
  623. good defense mechanisms built in but rarely used.
  624.  
  625.                 Warmly,
  626.                     Padgett
  627.  
  628. ------------------------------
  629.  
  630. Date:    Wed, 10 Apr 91 17:35:33 -0400
  631. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
  632. Subject: Re: Possible hypercard virus? (Mac)
  633.  
  634. >I'm hoping someone out there can help me.  I have a user (I'm a
  635. >consultant) who thinks he may have a virus.  When he is using
  636. >HyperCard 1.2.5 with a stack that is 300-400 K in size (it is just one
  637. >specific stack) he is getting a lot of bombs.  When he tries to script
  638. >a new card for the stack he gets a bomb at various times as follows:
  639. >        As soon as he starts scripting
  640. >        When he tries to end the scripting
  641.  
  642. THis sounds more like a corrupted stack than a virus. Your user may
  643. want to (okay, *need* to) copy the old cards into a new stack. There's
  644. a stack called "Cheesy Recovery" on sumex (I think) that should do the
  645. job.
  646.  
  647. >Is it possible for a virus, trojan, worm, etc. to infect a hard disk
  648. >or RAM simply by inserting an infected floppy into a drive without
  649. >execution??
  650.  
  651. Yes. There are several Mac viruses which take advantage of a feature
  652. in the operating systenm which allows you to substitute your own code
  653. for system code. The substitute code spreads via a resource file which
  654. the Finder always opens when a disk is inserted.
  655.  
  656.  --- Joe M.
  657.  
  658. ------------------------------
  659.  
  660. Date:    Wed, 10 Apr 91 15:12:40 -0700
  661. From:    gschultz@cheetah.llnl.gov (Gene Schultz)
  662. Subject: Call for papers--3rd Workshop on Computer Security Incident Handling
  663.  
  664. ____________________________________________________________________________
  665.                                Call for Papers
  666.  
  667.              Third Workshop on Computer Security Incident Handling
  668. ____________________________________________________________________________
  669.  
  670.  
  671. Location and Dates:
  672.  
  673. Hyatt Dulles                                     August 6-8, 1991
  674. At Dulles International Airport
  675. Herndon, Virginia
  676.  
  677.  
  678. Description:
  679.  
  680. The Third Workshop on Computer Security Incident Handling will consist
  681. of tutorials, invited addresses, paper sessions, and workshop/
  682. discussion sessions on topics relevant to responding to computer
  683. security incidents. The presentations will provide a forum to discuss
  684. advances in theory and practice that improve the state of this field.
  685. Theoretical, applied, tutorial, or descriptive papers selected for
  686. presentation will appear in the conference proceedings to be published
  687. after the Workshop.  The Third Workshop on Computer Security Incident
  688. Handling is sponsored by Carnegie Mellon University's Software
  689. Engineering Institute.  Submissions are solicited for the following
  690. sessions:
  691.  
  692. Tutorials (half-day):
  693.  
  694. Tutorials should cover topics such as network security and
  695. methodologies/strategies for incident handling.  The purpose of each
  696. tutorial should be to allow someone who has little or no knowledge
  697. about incident handling to learn the basic issues/concepts in this
  698. arena.
  699.  
  700. Paper Sessions:
  701.  
  702. Proposals for paper sessions (approximately 30 minutes in length)
  703. should address one of the following areas:
  704.  
  705.    o Network intrusions (including case studies, etiologies, and 
  706.        intrusion detection efforts)
  707.    o Vendor activities
  708.    o Procedures and policies for responding to incidents
  709.    o Threats (including threat and attack models, descriptions of 
  710.        coordinated efforts to intrude into networks, and cracking tools)
  711.    o Legal issues
  712.    o Tools
  713.    o Vulnerabilities and malicious code
  714.    o Ethical issues
  715.  
  716. Workshops (half-day):
  717.  
  718. Proposals to lead workshop sessions covering topics such as network 
  719. security, relationships between incident response teams, and lessons 
  720. learned from responding to incidents are also solicited.
  721.  
  722. Submissions:
  723.  
  724. Proposals should be 300 - 500 words in length. Please do not send
  725. submissions that are significantly shorter or longer.  Papers must not
  726. have been previously presented or published, nor currently submitted
  727. for journal publication. Each manuscript will be submitted to a
  728. rigorous refereeing process.  Proposals should have a title page that
  729. includes the title of the paper, full name of its author(s),
  730. affiliation(s), complete physical and electronic address(es), telephone
  731. number(s), and a 300-500 word description of the purpose and major
  732. ideas to be presented.
  733.  
  734. Deadlines:
  735.  
  736. May 17, 1991
  737. Deadline for receipt of proposal
  738.  
  739. June 7, 1991 
  740. Notification of accepted proposals
  741.  
  742. July 15, 1991
  743. Camera-ready manuscripts must be received
  744.  
  745.  
  746. Address for Submissions:
  747.  
  748. Send all submissions and questions to one of the Workshop Co-Chairs:
  749.  
  750. Richard Pethia
  751. Software Engineering Institute
  752. Carnegie Mellon University
  753. Pittsburgh, PA  15213-3890
  754. E-mail:  rdp@cert.sei.cmu.edu
  755. Phone:  (412) 268-7739
  756.  
  757. or
  758.  
  759. Eugene Schultz
  760. Lawrence Livermore National Laboratory
  761. P.O. Box 808, L-303
  762. Livermore, CA  94550
  763. E-mail:  gschultz@cheetah.llnl.gov
  764. Phone:  (415) 422-7781
  765.  
  766. ------------------------------
  767.  
  768. End of VIRUS-L Digest [Volume 4 Issue 59]
  769. *****************************************
  770.