home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_077.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  18.6 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #77
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Wednesday,  8 May 1991    Volume 4 : Issue 77
  9.  
  10. Today's Topics:
  11.  
  12. F-PROT and FluShot problems (PC)
  13. Original-Equipment Viruses
  14. amiga virus
  15. Viral or other problem? (Mac)
  16. Re: TSR Virus Detector (PC)
  17. Re: help with mac "virus"? (Mac)
  18. Re: help with mac "virus"? (Mac)
  19. Re: help with mac "virus"? (Mac)
  20. re: What's so bad about self-extracting archives?
  21. Re: What's so bad about self-extracting archives?
  22. Re: can we trust diskette write-protection? (PC)
  23.  
  24. VIRUS-L is a moderated, digested mail forum for discussing computer
  25. virus issues; comp.virus is a non-digested Usenet counterpart.
  26. Discussions are not limited to any one hardware/software platform -
  27. diversity is welcomed.  Contributions should be relevant, concise,
  28. polite, etc.  Please sign submissions with your real name.  Send
  29. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  30. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  31. anti-virus, documentation, and back-issue archives is distributed
  32. periodically on the list.  Administrative mail (comments, suggestions,
  33. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  34.  
  35.    Ken van Wyk
  36.  
  37. ----------------------------------------------------------------------
  38.  
  39. Date:    Tue, 07 May 91 09:35:29 -0400
  40. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
  41. Subject: F-PROT and FluShot problems (PC)
  42.  
  43. >From:    umbc3!umbc3.umbc.edu!cs106132@uunet.UU.NET (cs106132)
  44.  
  45. >I was testing the new release of F-PROT 1.15a the other day, and came
  46. >across an interesting problem.  It happened when a variant of 4096 was
  47. >active.  Since F-PROT did not know this strain, it could not detect
  48. >it.  This is expected as the documentation hints.
  49. > However, when I ran F-OSCHK, the virus infected the system files
  50. >(IBMBIO....), the result was a non-bootable hard disk.
  51. >   I repeated the same test using FluShot+ (1.81), the same thing
  52. >happened in a slightly different manner.  But the system again became
  53. >impossible to boot from the hard disk.
  54.  
  55. Simple integrity checking (e.g. intelligent use of CHKDSK-type values)
  56. would have revealed that something unusual was going on, particularly
  57. with the varieties of 4096 that I have seen since a memory mis-match
  58. occurs. You get what you pay for.
  59.                                       Warmly,
  60.                                                Padgett
  61.  
  62. ------------------------------
  63.  
  64. Date:    Tue, 07 May 91 10:02:16 -0400
  65. From:    Sandy=OToole%COMPUTER%UMASS@server2.UMMED.EDU
  66. Subject: Original-Equipment Viruses
  67.  
  68. I would like to get more information on viruses originating from
  69. manufacturers, such as Packard Bell recently.  Is this widespread with
  70. this particular company? What has been the remedy to this situation?
  71. Should purchasers scan new software for viruses before using?
  72.  
  73. ------------------------------
  74.  
  75. Date:    08 May 91 02:53:04 +0000
  76. From:    c8847468@jupiter.newcastle.edu.au (jonathan ross coombes)
  77. Subject: amiga virus
  78.  
  79.     I seen this in the amiga newsgroup and thought I would post
  80.   it here. Does anyone have any more information on the virus as yet?
  81.  
  82.     The post is actually of two files that was posted.
  83.  
  84. ***********************************************************************
  85.  
  86. I new virus was sent to me today that will infect a machine just by
  87. sticking a disk in the drive. No need to run any program from it.  It
  88. turns out that the disk was not validated and was write protected.
  89. When the disk is inserted in the drive AmigaDOS kicks in the
  90. Disk-Validator but instead of getting it from the L: directory it gets
  91. it from the l directory of the inseted disk. The virus replaced this
  92. file with itself so when AmigaDOS ran it it infects the machine. The
  93. virus is the same size as the original 1.3 validator and is encrypted.
  94. Upon decrypting it it calls itself the SADDAM virus and has a mention
  95. of IRAK. I am not sure what it does when it is triggered but there is
  96. a call to Alert().  It patches itself into the intterupts, TrackDisk,
  97. InitResident and OpenWindow calls at various times.
  98.  
  99. I hope CBM will fix this before 2.0 is finished so that the Validator is
  100. called from the L:  directory in future and stop this new type of virus.
  101. - --
  102.  
  103. ************************************************************************
  104.  
  105.  
  106. I have worked out what the Saddam virus does and it is very nasty.
  107. There are a few different stages to it so I will go through it.  It
  108. infects your machine by AmigaDOS using the Disk-Validator on the disk
  109. you insert in the drive.
  110.  
  111. When you write to the root directory of any drive the virus will move
  112. the BitMap page pointer to another slot. If the virus is active then
  113. when the root block is read it moves it back so AmigaDOS thinks the
  114. disk is okay. If the virus is not running AmigaDOS will see no BitMap
  115. pages and run the Disk-Validator on the disk and infecting your
  116. machine again.  When AmigaDOS writes to Data blocks the virus will
  117. change the first bit to IRAK and encode the rest of the block. If the
  118. virus is running when the block is read it replaces in memory the IRAK
  119. with the proper number (8) and decode the data block. If the virus is
  120. not running you will get a read write error as AmigaDOS can't find a
  121. valid DATA block there.  No comes the worst bit.
  122.  
  123. When the virus is triggered it will (if the disk is write enabled)
  124. wipe out both sides of the disk with random data (what ever is in
  125. memory at the time) by writing to every track on the disk. It will
  126. then bring up an Alert() telling you it is the SADDAM virus and reboot
  127. the machine once the alert is canceled.
  128.  
  129. So beware this virus and try to wipe it out early.
  130.  
  131. Please CBM fix this little loophole before you finish 2.0 so that the
  132. Disk-Validator is got from L: instead of :L/ first
  133. - --
  134. *** John Veldthuis, NZAmigaUG.         johnv@tower.actrix.gen.nz       ***
  135.  
  136. **************************************************************************
  137.  
  138.  
  139. /************************************************************************/
  140. /*  Jonathan Coombes             THE TECHNOMANCER        */
  141. /*  University of Newcastle                        */
  142. /*  Australia                                */
  143. /*                                      */
  144. /*        "I wasn't born, I was compiled!!!            */
  145. /*                                    */
  146. /*  Internet: c8847468@orion.newcastle.edu.au                */
  147. /************************************************************************/
  148.  
  149. ------------------------------
  150.  
  151. Date:    Wed, 08 May 91 06:38:57 -0400
  152. From:    dennisp@AIC.NRL.Navy.Mil
  153. Subject: Viral or other problem? (Mac)
  154.  
  155. I don't know if my problem is virus-related or not, but I've been
  156. trying other methods of eliminating the problem with no results.  Here
  157. is my problem: I have a MacIIfx and a Mac IIci in my lab.  Both are
  158. using System 6.0.7, which came with the hardware.  Since installation,
  159. both Macs have had problems opening Superpaint 1.1MS, MacDrawII, and
  160. MacPaint.  I get messages stating either that the document type is
  161. unknown (the documents were created with resident applications on an
  162. older machine!) or there is not enough memory to open the document
  163. (one of the machines has 8 Meg on it!)  My local Apple techie has told
  164. me to remove 6.0.7 and install 6.0.5 to correct the problem (seems
  165. that 6.0.7 and certain Mac models have problems?).  I did what he
  166. suggested, but the problem persists.  I have scanned the hard disks on
  167. both machines with Disinfectant 2.4, but have found no viral
  168. infections.  Is what I've got a viral problem, a system problem, a
  169. hardware problem?  Granted, this is a viral board, but if I can be
  170. told it is a virus, perhaps I can isolate what the real problem is.
  171. Thanks in advance.  Dennis Perzanowski
  172.  
  173. ------------------------------
  174.  
  175. Date:    Wed, 08 May 91 15:28:00 +0300
  176. From:    Y. Radai <RADAI@HUJIVMS.BITNET>
  177. Subject: Re: TSR Virus Detector (PC)
  178.  
  179.   John Councill asks:
  180. >Can anyone reading this recommend a reliable program that will sit in
  181. >memory and warn against writes to .EXE and .COM files, as well as
  182. >other suspicious virus-like activity without degrading performance of
  183. >the machine too much?
  184.  
  185.   Several months ago, I made a quick comparison between several pro-
  186. grams of this type which I have.  (I call them "monitoring" programs.
  187. There are other reasonable names, and also one which I consider very
  188. inappropriate: Robert Slade's term "vaccine" software.)
  189.   When I saw John's question, I thought this would be a good opportu-
  190. nity to make my comparison more complete, but I see I'm not going to
  191. find the time, so for now I'm reporting only my previous results.
  192.   The programs which I compared were F-LOCK, FSP, SECURE, TSAFE, and
  193. VTAC.  I decided that the most important criterion was the ability to
  194. prevent infection by the largest number of viruses (without giving too
  195. many false alarms, of course), and that the type of virus which would
  196. be most likely to separate the good programs from the mediocre would
  197. be those viruses which avoid re-direction of interrupt vectors (by
  198. jumping directly to the interrupt handlers or by issuing commands
  199. directly to the controller).
  200.   So I threw 4 viruses of this type against each of the above programs.
  201. The number which each program stopped was as follows:
  202.                             SECURE  4
  203.                             F-LOCK  1
  204.                             others  0
  205.   On this criterion, SECURE is clearly the best monitoring program.
  206. (Fridrik Skulason has an alternative version of F-LOCK which would do
  207. better, but he hasn't released it because of conflicts with certain
  208. software.)  It's conceivable that other viruses would give opposite
  209. results, but I very much doubt it.  On the other hand, there are many
  210. other criteria which I did not subject to a systematic comparison,
  211. such as false alarms, slowing down of ordinary computer activity,
  212. flexibility and convenience.
  213.   Btw, the author of SECURE, Mark Washburn, is also the author of the
  214. V2P* virus series, all of which are variable self-encrypting viruses
  215. designed to demonstrate the futility of relying on programs which
  216. attempt to detect viruses by scanning for characteristic strings.
  217. V2P1 (better known as the 1260) was distributed publicly, and while it
  218. is not itself destructive, someone evidently used its disassembly as
  219. the basis for the Casper virus, which is quite destructive.
  220.   This, of course, does not prevent SECURE from being the best moni-
  221. toring program, at least judging by my limited comparison.  I can only
  222. hope that others will make more thorough tests.  (All of the above
  223. except TSAFE are available from Simtel20 in <MSDOS.TROJAN-PRO>.)
  224.  
  225.                                      Y. Radai
  226.                                      Hebrew Univ. of Jerusalem, Israel
  227.                                      RADAI@HUJIVMS.BITNET
  228.                                      RADAI@VMS.HUJI.AC.IL
  229.  
  230. ------------------------------
  231.  
  232. Date:    07 May 91 13:27:07
  233. From:    keir@vms.macc.wisc.edu (Rick Keir, MACC)
  234. Subject: Re: help with mac "virus"? (Mac)
  235.  
  236. billj@uop.uop.edu (Snugglupagus) writes...
  237.  
  238. >- - the mac has a 40 meg hard disk
  239. >- - there is only about 16 meg of software installed
  240. >- - both the finder and mactools report 38 meg used, 2 meg free
  241.  
  242. This is fairly common in the Mac labs here.  Run "Disk First Aid"
  243. (from Apple, the free thing) and tell it to fix the drive.  Your
  244. students have probably been having programs crash frequently, so that
  245. you have unused space which is neither in a file nor free.  (What DOS
  246. refers to as "lost" space -- D.F.A. will just say "fixed").
  247.  
  248. Important:  Disk First Aid is NOT the same thing as "First Aid 
  249. HFS", although half the people I tell about these programs seem
  250. to want to use whichever one I *didn't* mean.  Both programs are
  251. good but they do different things.  Use Apple's to recover lost 
  252. space from your hard disk
  253.  
  254. ------------------------------
  255.  
  256. Date:    07 May 91 23:13:27
  257. From:    pandy@vipunen.hut.fi (Pandy Holmberg)
  258. Subject: Re: help with mac "virus"? (Mac)
  259.  
  260. billj@uop.uop.edu (Snugglupagus) writes:
  261.  
  262. - -> recently, we've come across a problem with one of the macs in our lab.
  263. - -> we really don't know if it's a virus or not, but it does act something
  264. - -> like one.  anyway, here are the symptoms:
  265.  
  266. - -> - - there is only about 16 meg of software installed
  267. - -> - - both the finder and mactools report 38 meg used, 2 meg free
  268.  
  269. - -> what we really want to know is: is this some sort of new virus, or is
  270. - -> our mac just confused?
  271.  
  272.     I wouldn't blame it on the machine....
  273.  
  274.     I think that perhaps the directory information on your disk
  275.     has been damaged and thus the computer can't use all the
  276.     space that really is free.
  277.  
  278.     Therefore I suggest:
  279.     Copy the 16 megs of software to floppies and format your hard disk.
  280.  
  281.     In the future:
  282.     It's good to format your HD every once in a while. Not only
  283.     does it give you more space, but the HD becomes much faster.
  284.  
  285. - --
  286.                     Tsaukki says
  287.                               Pandy
  288.  
  289. - --                                  ,
  290. "La nostalgie n'est plus ce qu'elle etait."
  291.                 - S. Signoret
  292.  
  293. ===============================================================================
  294.               Andreas "Pandy" Holmberg          Email:  pandy@hut.fi
  295.      Helsinki University of Technology          Finger: pandy@spiff.hut.fi
  296. ===============================================================================
  297.  
  298. ------------------------------
  299.  
  300. Date:    Tue, 07 May 91 20:21:44 +0000
  301. From:    geoffb@eleazar.dartmouth.edu (Geoff Bronner)
  302. Subject: Re: help with mac "virus"? (Mac)
  303.  
  304. billj@uop.uop.edu (Snugglupagus) writes:
  305.  
  306. >recently, we've come across a problem with one of the macs in our lab.
  307. >we really don't know if it's a virus or not, but it does act something
  308. >like one.  anyway, here are the symptoms:
  309. >- - the mac has a 40 meg hard disk
  310. >- - there is only about 16 meg of software installed
  311. >- - both the finder and mactools report 38 meg used, 2 meg free
  312. >what we really want to know is: is this some sort of new virus, or is
  313. >our mac just confused?
  314.  
  315. I think it is confused. I have seen a similar problem with MacIIcx's
  316. with 80MB drives. They thought they had 56MB instead of the actual
  317. amount (around 30). This occured on several machines in a public
  318. cluster of 17 identical cx's.
  319.  
  320. Solution: about 50% of the time I was able to fix the problem by
  321. simply re-building the desktop file. In the other cases, tranferring
  322. the entire disk to another hard disk or tape and then putting it back
  323. also worked. This implies that fragmentation may have been the cause
  324. and I have seen similar cases where using Disk Express or a similar
  325. utility also helped.
  326.  
  327. - -Geoff Bronner '91
  328.  Student Consultant, Dartmouth College Computing Services
  329.  
  330. - -- 
  331.  geoffb@eleazar.Dartmouth.EDU
  332.  
  333.  "Congress shall make no law...abridging the freedom of speech,
  334.   or of the press..."
  335.  
  336. ------------------------------
  337.  
  338. Date:    Tue, 07 May 91 14:38:04 -0400
  339. From:    Peter Jones <MAINT@UQAM.BITNET>
  340. Subject: re: What's so bad about self-extracting archives?
  341.  
  342. On Mon, 06 May 91 15:08:43 -0400 you said:
  343. >>From:    Murray_RJ@cc.curtin.edu.au
  344. >
  345. >>The other objection I have with self-extracting
  346. >>archives is that you're stuck with extracting the whole lot, even if
  347. >>you only want to find out what the !@#$%^&*() thing does.
  348.  
  349. One objection I have is the lack of a guarantee that the incoming
  350. extraction code doesn't have a trojan lurking in it. This is a
  351. well-known security risk in UNIX self-extracting SHAR archives.
  352. There's an un-archiver on SIMTEL20 that runs without executing
  353. incoming code, allowing incoming programs to be inspected.
  354.  
  355. Another is the unexpected increase in disk space use when the archive
  356. is run, and starts extracting itself unexpectedly.
  357.  
  358. Peter Jones                    (514)-987-3542
  359. Internet:Peter Jones <MAINT%UQAM.bitnet@ugw.utcs.utoronto.ca>
  360. UUCP: ...psuvax1!uqam.bitnet!maint
  361. N.B.
  362. "Our customers will forgive a one-time error far more quickly than they will
  363. forgive our inability to correct that error." - Karen Ward (wardk@cse.ogi.edu)
  364.  
  365. ------------------------------
  366.  
  367. Date:    08 May 91 09:51:45 +0000
  368. From:    groot@idca.tds.philips.nl (Henk de Groot)
  369. Subject: Re: What's so bad about self-extracting archives?
  370.  
  371. Murray_RJ@cc.curtin.edu.au writes:
  372.  
  373. >magnus%thep.lu.se@Urd.lth.se (Magnus Olsson) writes:
  374. >> Can't you just first run the archive file through your favourite virus
  375. >> checker, and if it passes the test extract it, and then test the
  376. >> individual files that were inside it? Or have I missed something?
  377.  
  378. >   Well, yes, I suppose you could, but it involves an extra step which
  379. >is unnecessary. The other objection I have with self-extracting
  380. >archives is that you're stuck with extracting the whole lot, even if
  381. >you only want to find out what the !@#$%^&*() thing does. 
  382.  
  383. Most of the popular archiveing programs (ZIP, LHA, ARJ) are able to
  384. extract files from their SFX files. If you insist on using a shell on
  385. it just rename the .EXE file to a file with the proper extension. You
  386. can avoid virus problems this way.
  387.  
  388. An ARJ type SFX file allows you to list files just by running the SFX
  389. file with flag "-l". You can also selecively extract files.
  390.  
  391. The only real problem I see with SFX files is that it may be a trojan
  392. horse.  Just getting files from trusted places will cure this type of
  393. problem.  (Trusted places like SIMTEL20 and Garbo).
  394.  
  395. Henk.
  396.  
  397. - --
  398.   /   /            Henk de Groot      | Department: PG 9000i - System Services
  399.  /---/ __  __  /   V2/A12-A13         | Internet : groot@idca.tds.philips.nl
  400. /   / (-_ / / /(   Tel: +31 55 432099 |  == PHILIPS INFORMATION SYSTEMS ==
  401.           Disclaimer: I only speak for myself, not for my employer!
  402.  
  403. ------------------------------
  404.  
  405. Date:    Tue, 07 May 91 15:03:15 +0000
  406. From:    csg068@cck.cov.ac.uk (** DECKER **)
  407. Subject: Re: can we trust diskette write-protection? (PC)
  408.  
  409. jesse%altos86.Altos.COM@vicom.com (Acer - Jesse Chisholm) writes:
  410. >PHYS169@csc.canterbury.ac.nz (Mark Aitchison, U of Canty; Physics) writes:
  411. >| Possibly, the reason why it sometimes fails, other than obvious loose
  412. >| wires, is because of light bouncing around the diskette drive.
  413.  
  414. I used to use red masking tape whenver I ran out of labels, but this
  415. caused problems due to the fact that some drives use infra-red light
  416. to detect a label.
  417.  
  418. - -- 
  419.  =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= 
  420.  : DECKER : csg068@uk.ac.cov.cck : Dept. of Computer Science, Coventry Poly  : 
  421.  :                        G  O  D   F  O  D  D  E  R                         :
  422.  =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= 
  423.  
  424.  
  425. ------------------------------
  426.  
  427. End of VIRUS-L Digest [Volume 4 Issue 77]
  428. *****************************************
  429.