home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_073.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  16.2 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #73
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Thursday,  2 May 1991    Volume 4 : Issue 73
  9.  
  10. Today's Topics:
  11.  
  12. STONED Info Needed (PC)
  13. Re: What's so bad about self-extracting archives?
  14. Virus help sought (PC)
  15. New Viruses ? (PC)
  16. FRODO (4096) found at NIH (PC)
  17. New files on MIBSRV (PC)
  18. Re: PREVENTION of Drive A: boots - Suggestions Please (PC)
  19. Info on PRINT SCREEN P-2 VIRUS (PC)
  20. F-prot v1.13 (PC)
  21. Product Test - IBM Anti-Virus Product (PC)
  22. Questionnaire
  23.  
  24. VIRUS-L is a moderated, digested mail forum for discussing computer
  25. virus issues; comp.virus is a non-digested Usenet counterpart.
  26. Discussions are not limited to any one hardware/software platform -
  27. diversity is welcomed.  Contributions should be relevant, concise,
  28. polite, etc.  Please sign submissions with your real name.  Send
  29. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  30. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  31. anti-virus, documentation, and back-issue archives is distributed
  32. periodically on the list.  Administrative mail (comments, suggestions,
  33. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  34.  
  35.    Ken van Wyk
  36.  
  37. ----------------------------------------------------------------------
  38.  
  39. Date:    Tue, 30 Apr 91 21:56:54 +0000
  40. From:    red@iti.org (Ronald E. Dalton)
  41. Subject: STONED Info Needed (PC)
  42.  
  43. I would greatly appreciate any information readers may have on how
  44. Stoned is spread, especially in a Novell environment.  Since this is
  45. probably a repeated request please mail replies.  (red@iti.org) Thanks
  46. in advance.
  47.  
  48. ------------------------------
  49.  
  50. Date:    Wed, 01 May 91 10:20:00
  51. From:    Murray_RJ@cc.curtin.edu.au
  52. Subject: Re: What's so bad about self-extracting archives?
  53.  
  54. magnus%thep.lu.se@Urd.lth.se (Magnus Olsson) writes:
  55. > I'm sorry if this question seems a bit naive, but why are people so
  56. > concerned about the risk of virus-infected self-extracting archive
  57. > files?
  59. > Can't you just first run the archive file through your favourite virus
  60. > checker, and if it passes the test extract it, and then test the
  61. > individual files that were inside it? Or have I missed something?
  62.  
  63.    Well, yes, I suppose you could, but it involves an extra step which
  64. is unnecessary. The other objection I have with self-extracting
  65. archives is that you're stuck with extracting the whole lot, even if
  66. you only want to find out what the !@#$%^&*() thing does. If it's not
  67. a self-extracting archive, you can use a shell like SHEZ (or, even,
  68. just extract the .doc files) and do it much faster and easier.
  69. .....Ron
  70.  
  71. ===============================================================================
  72.  Internet: Murray_RJ@cc.curtin.edu.au                | "You can lead a horse to
  73.  ACSnet: Murray_RJ@cc.cut.oz.au                      | water, but if you can
  74.  Bitnet: Murray_RJ%cc.curtin.edu.au@cunyvm.bitnet    | get him to float on his
  75.  UUCP  : uunet!munnari.oz!cc.curtin.edu.au!Murray_RJ | back you've really got
  76. Amateur Packet Radio: VK6ZJM@VK6BBS.#WA.AUS.OC       | something"
  77.                TCP/IP: 44.136.204.14, 44.136.204.19  |    -- Murphy's Law I
  78. ===============================================================================
  79.  
  80. ------------------------------
  81.  
  82. Date:    Wed, 01 May 91 13:27:25 +0100
  83. From:    T Dowling <csc216@central1.lancaster.ac.uk>
  84. Subject: Virus help sought (PC)
  85.  
  86.  I wonder whether anybody can help me please ?
  87.  
  88.  I have managed to pick up a virus, on a PC, which adds between about
  89. 1580 and 1595 bytes to the end of .COM, .EXE, .OVL, and several other
  90. files. Apart from this, there seems to be no other effect to the
  91. system.
  92.  
  93.  A friend ran a virus checker program on one of the files, which
  94. identified the virus as 'A mutation of the Green Catapiller virus',
  95. but was unable to remove the virus.
  96.  
  97.  Does anybody have any information on this virus please, or know what
  98. event will trigger it off ?
  99.  
  100.     Thanks in anticipation,
  101.  
  102.             Tim Dowling.
  103.             (csc216@uk.ac.lancs.comp).
  104.  
  105. ------------------------------
  106.  
  107. Date:    Wed, 01 May 91 10:34:48 -0400
  108. From:    padgett%tccslr.dnet@uvs1.orl.mmc.com (A. Padgett Peterson)
  109. Subject: New Viruses ? (PC)
  110.  
  111. Recently, I have received questions from two different people
  112. concenting activities that sound suspicious yet do not match any of
  113. the charactoristics that I am aware of. If anyone has further
  114. information, elucidation would be appreciated.
  115.  
  116. Oddity #1: Several XT class machines exhibit the following: all Master
  117.            Boot Records (partition table) have 17 bytes written into
  118.            offset ACh-BDh (immediately before P-table). These bytes are
  119.            an executable fragment containing the following assembly code:
  120.  
  121.            1E     PUSH DS
  122.            07     POP  ES
  123.            BB007C MOV  BX,7C00
  124.            B90100 MOV  CX,0001
  125.            BA8000 MOV  DX,0080
  126.            000000
  127.  
  128.            I am told that any attempt to replace the MBR results in an
  129.            unbootable machine and if the locations are zero'd using Norton,
  130.            the code immediately reappears.
  131.  
  132. Oddity #2: Single 386/SX20 found the an unusual MBR which appears to be
  133.            the second half of "something". The MBR will operate normally
  134.            if called with DX=0. If called with a non-zero DX and if a data area
  135.            from offset 03-15 is filled, amoung other activities, an interrupt
  136.            between 42h and 59h will be trapped (which one is found in the
  137.            data region, unfilled in the fragment I received). The code
  138.            has all of the normal error messages and appears otherwise normal
  139.            e.g. no attempt to modify 413 is made.
  140.  
  141. If any reader has seen anything like this, a reply would be appreciated.
  142.  
  143.                                         Warmly (only 93 yesterday)
  144.                                                Padgett
  145.  
  146. ------------------------------
  147.  
  148. Date:    Wed, 01 May 91 12:10:49 -0400
  149. From:    <KTY@NIHCU.BITNET>
  150. Subject: FRODO (4096) found at NIH (PC)
  151.  
  152. Just wanted to report that we were recently infected by virus FRODO
  153. (4096) in PC and network server.  This virus apparently was imported
  154. from Israel.  It appears that Norton Anti-virus works well in
  155. destroying this virus.
  156.  
  157. We would appreciate any more information/comments about this virus
  158. from readers.
  159.  
  160. Bob Ketterlinus NIH/LCE/SSED
  161.  
  162. ------------------------------
  163.  
  164. Date:    Wed, 01 May 91 15:26:43 -0500
  165. From:    James Ford <JFORD@UA1VM.BITNET>
  166. Subject: New files on MIBSRV (PC)
  167.  
  168. New files have been uploaded to MIBSRV for anonymous FTP in the directory
  169. pub/ibm-antivirus.  They are:
  170.  
  171. clean77.zip  -  McAfee's Clean version 77
  172. scanv77.zip  -  McAfee's Scan v77
  173. netscn77.zip -  McAfee's NetScan v77
  174. vshld77.zip  -  McAfee's VirusShield v77
  175.  
  176. vsum9104.zip -  Hoffman's Virus Summary List, April 1991 edition (binary)
  177. vsum9104.txt -  Hoffman's Virus Summary List, April 1991 edition (text)
  178. - ----------
  179. All progress stems from change but all change is not necessarily progress.
  180. - ----------
  181. James Ford -  JFORD@UA1VM.UA.EDU, JFORD@mib333.mib.eng.ua.edu
  182.               The University of Alabama (in Tuscaloosa, Alabama)
  183.  
  184. ------------------------------
  185.  
  186. Date:    01 May 91 16:23:50 +0000
  187. From:    chap@art-sy.detroit.mi.us (j chapman flack)
  188. Subject: Re: PREVENTION of Drive A: boots - Suggestions Please (PC)
  189.  
  190. davidsen@crdos1.crd.ge.COM (Wm E Davidsen Jr) writes:
  191. >I mailed this to the original poster, but here's my idea. I suggested
  192. >it to a vendor, but they haven't used it, or at least not yet.
  193. >
  194. >Have in the CMOS a "boot path" which works like the PATH variable, and
  195. >specifies which devices are to be tried, in what order. This allows
  196. >disable of floppy boot, as well as boot from B: if A: fails or if you
  197. >have one 5-1/4 and one 3-1/2, etc.
  198. >
  199. >Use a password to allow access to change the configuration. If the
  200. >password takes too much room, save three bytes of CRC20 plus a value
  201. >for length range 1-15 characters. Length zero could mean "no
  202. >password."
  203.  
  204. AST Research implements all of this.  They included every detail
  205. needed to make a workable system: 1) you can set a boot path in the
  206. CMOS, 2) the setup program is in firmware, so you can change the boot
  207. path if you can't boot, 3) a password can be required to get into the
  208. firmware setup.
  209.  
  210. Then they added a "feature": if the hard drive won't boot, it will
  211. automatically override your boot path and boot the diskette.  Grr.
  212. Furthermore, if your hard drives are on a SCSI, it NEVER believes you
  213. have a hard drive, so it ALWAYS overrides your boot path.  GRR.  This
  214. is because it only checks the CMOS to see if you have a hard disk,
  215. rather than following the drive parameter table vector to see if
  216. there's a table.  This is /* flame ON */ inexcusable, because there
  217. are tons of disk subsystems, not just SCSI, that have their own
  218. firmware and build their own parameter tables.  This is common
  219. knowledge.
  220.  
  221. *Sigh*.  They were close...  I think IBM got it all right in the PS/2
  222. firmware.  But you have to buy a PS/2 to get it....
  223.  
  224. - -- 
  225. Chap Flack                         Their tanks will rust.  Our songs will last.
  226. chap@art-sy.detroit.mi.us                                   -Mikos Theodorakis
  227.  
  228. Nothing I say represents Appropriate Roles for Technology unless I say it does.
  229.  
  230. ------------------------------
  231.  
  232. Date:    01 May 91 19:54:36 +0000
  233. From:    salim@zach.fit.edu (Salim)
  234. Subject: Info on PRINT SCREEN P-2 VIRUS (PC)
  235.  
  236. I am looking for information on the Print Screen P-2 virus.  Seems
  237. like there is no cure except to reformat the disk.  If anyone knows of
  238. a vaccine to cure this virus, I would be very thankful for the name of
  239. the vaccine and where I could find it.
  240.  
  241. Any help or advice would be greatly appreciated.
  242.  
  243. Salim.
  244.  
  245. ------------------------------
  246.  
  247. Date:    02 May 91 14:01:44
  248. From:    hemmo@machina.hut.fi (Juha Hemminki)
  249. Subject: F-prot v1.13 (PC)
  250.  
  251. I would like to know why the version of F-chk I have (1.13) wants to
  252. write a temporary file called LZ__TEMP.TMP to DOS current directory.
  253. That happens only when f-fchk scans INST_DSK.EXE from hyperdisk
  254. speedkit. The tmp file is always deleted after scan. Size of the TMP
  255. file si 22888 bytes and it seems to have code from the scanned file in
  256. it.
  257.  
  258. I would like to know what causes this. None of the virus scanners I
  259. have available has reported any virusinfection. Any suggestions or
  260. information is appreciated
  261.  
  262.             BUT PLEASE REPLY BY E-MAIL.
  263. - --
  264.                                  H E M M O
  265.                                Juha Hemminki
  266.                             hemmo@machina.hut.fi
  267.                        The last true gentleman alive
  268.  
  269. ------------------------------
  270.  
  271. Date:    Mon, 29 Apr 91 15:09:01 -0700
  272. From:    Chris McDonald ASQNC-TWS-R-SO <cmcdonal@wsmr-emh03.army.mil>
  273. Subject: Product Test - IBM Anti-Virus Product (PC)
  274.  
  275. *******************************************************************************
  276.                                                                           PT-34
  277.                                       April 1991
  278. *******************************************************************************
  279.  
  280.  
  281. 1.  Product Description:  The IBM Anti-Virus Product is a program to detect
  282. computer viruses in the PC-DOS (MS-DOS) and OS/2 environments.
  283.  
  284. [Ed. The remainder of this product review has been placed on
  285. cert.sei.cmu.edu, for anonymous FTP, in
  286. pub/virus-l/docs/reviews/mcdonald.ibm.anti-virus.  Thanks Chris!]
  287.  
  288. ------------------------------
  289.  
  290. Date:    09 Apr 91 16:10:40 +0100
  291. From:    P.A.Taylor@edinburgh.ac.uk (Paul A. Taylor)
  292. Subject: Questionnaire
  293.  
  294. [Ed. I would simply like to emphasize that this questionnaire is
  295. entirely optional.]
  296.  
  297. Here's a questionnaire concerned with computer security and its
  298. related issues. Please complete it by replying with the question
  299. number and the number of the option listed with it, that most closely
  300. corresponds to your view.
  301.  
  302. I am in the second year of a PhD investigating the issue of computer
  303. security in its social context. All responses will be treated with
  304. total confidentiality and none of their content will be used verbatim
  305. in the research without the prior consent of the respondent.
  306.  
  307. I EMPHASISE THAT THIS RESEARCH IS FOR PURELY ACADEMIC PURPOSES.
  308. VERIFICATION OF MY ACADEMIC STATUS AND NATURE OF THE RESEARCH CAN BE
  309. SUPPLIED UPON REQUEST, AS WILL THE FINDINGS WHEN EVENTUALLY COLLATED
  310. AND ANALYSED.
  311.  
  312. Q1) What is your nationality?
  313.  
  314. Q2) What is your gender?
  315.     [1] Male
  316.     [2] Female
  317.  
  318. Q3) What is your age?
  319.     [3] 15-20
  320.     [4] 21-30
  321.     [5] 31-40
  322.     [6] Over 40
  323.  
  324. Q4) What is your job title?
  325.  
  326. Q5) Which of the following best describes your organisation?
  327.     [7] academic
  328.     [8] commercial manufacturing
  329.     [9] commercial R&D
  330.     [10] consultancy
  331.     [11] commercial services (e.g. banking)
  332.     [12] public serivices
  333.     [13] other (please state)
  334.  
  335. Q6) Which of the following are features of your computing environment?
  336.     [14] central multi-access mini/mainframe(s)
  337.     [15] single-worker workstations
  338.     [16] local area network(s)
  339.     [17] wide area network(s)
  340.  
  341. Q7) How would you describe the computing security arrangements and
  342.     practices within your organisation?
  343.     [18] too strict
  344.     [19] adequate
  345.     [20] lax
  346.  
  347. Q8) Do you have any formal qualifications in computing? e.g.
  348.     [21] B.Sc.
  349.     [22] M.Sc.
  350.     [23] Ph.D.
  351.     [24] other (please state)
  352.  
  353. Q9) What's the length of your professional experience?
  354.     [25] 1-5 years
  355.     [26] 6-10 years
  356.     [27] 11-15 years
  357.     [28] more than 15 years
  358.  
  359. Q10) Name any professional or computer-orientated interest group to
  360.      which you belong.
  361.  
  362. Q11) How long have you maintained a serious interest in computing?
  363.      [29] 1-5 years
  364.      [30] 6-10 years
  365.      [31] More than 10 years
  366.  
  367. Q12) Would you describe this interest as:
  368.      [32] mainly professional
  369.      [33] professional and recreational (please describe the latter)
  370.  
  371. Q13) Have you ever had experience of...
  372.      [34] a malicious hack
  373.      [35] a harmless browse
  374.      [36] a viral-type incident
  375.      [37] none of these
  376.  
  377. Q14) If so, how many times?
  378.      [38] 0-5
  379.      [39] 6-10
  380.      [40] more than 10
  381.  
  382. Q15) Was it...
  383.      [41] a virus
  384.      [42] a worm
  385.      [43] a trojan horse
  386.      [44] none of these, please specify.
  387.  
  388. Q16) How serious were the problems it caused?
  389.      [45] very
  390.      [46] not very
  391.      [47] not at all serious
  392.  
  393. Q17) Would you say that the computing industry's concern about viruses
  394.      has been...
  395.      [48] about right
  396.      [49] insufficient
  397.      [50] excessive
  398.      [51] hysterical
  399.  
  400. Q18) Would you describe non-destructive unauthorised access to data as
  401.      a crime?
  402.      [52] yes
  403.      [53] no
  404.      [54] don't know
  405.  
  406. Q19) Are you happy with current legislation concerning computer
  407.      security?
  408.      [55] yes, it's about right
  409.      [56] no, it's too draconian
  410.      [57] not strong enough
  411.      [58] don't know
  412.  
  413. Q20) Do you think the computing industry would gain from a more
  414.      professional structure?
  415.      [59] yes
  416.      [60] no
  417.      [61] don't know
  418.  
  419. Q21) In your view, who poses the greatest threat to systems/data
  420.      security?
  421.      [62] "insider" disaffected employees
  422.      [63] "external" cracker/browsers
  423.      [64] about the same risk
  424.  
  425. Q22) Do you think there are any potentially useful aspects to virus-
  426.      producing techniques? (e.g. serendipitous improvements in 
  427.      programming methods)
  428.      [65] yes, please specify
  429.      [66] no
  430.      [67] don't know
  431.  
  432. Q23) Are there any beneficial (side) effects to system-breaking?
  433.      [68] yes, please specify
  434.      [69] no
  435.      [70] don't know
  436.  
  437. Q24) Do you have any knowledge or interest in "Cyberpunk" culture/
  438.      fiction?
  439.      [71] yes
  440.      [72] no
  441.  
  442. Q25) Do you think that browsing/cracking/virus incidents, will, in
  443.      the future...
  444.      [73] increase
  445.      [74] decrease
  446.      [75] stay the same
  447.  
  448. THANK YOU FOR YOUR TIME AND EFFORT, PLEASE CONTACT ME BY E-MAIL IF
  449. YOU WOULD LIKE TO DISCUSS THESE ISSUES IN MORE DEPTH OR IF YOU ARE
  450. INTERESTED IN THE RESULTS OF MY RESEARCH.
  451.  
  452. Paul A. Taylor,
  453. Depts of Economics and Politics,
  454. University of Edinburgh.
  455.  
  456. ------------------------------
  457.  
  458. End of VIRUS-L Digest [Volume 4 Issue 73]
  459. *****************************************
  460.