home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_103.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  20.4 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #103
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Monday, 17 Jun 1991    Volume 4 : Issue 103
  9.  
  10. Today's Topics:
  11.  
  12. Re: Hong Kong on MircoTough dist. disks (PC)
  13. re: Is there a 1024 virus? (PC)
  14. DOS 5 Fdisk (PC)
  15. Re: Hypercard Antiviral Script? (Mac)
  16. Request for info on BBS viruses, worms, etc
  17. Possible PC Virus (PC)
  18. Re: Virus scaners (PC)
  19. Re: Help With Frodo & Yankee Doodle (PC)
  20. Infected networks (PC)
  21. Re: Questions about "Disinfectant" (Mac).
  22. Getting register contents, etc. "on the fly." (PC)
  23. Problems removing Azusa (PC)
  24. Re: Is there a 1024 virus? (PC)
  25. Fprot v1.16 (PC)
  26. Why I didn't find the virus.exe (PC)
  27. Re: Hoffman Summary & FPROT (PC)
  28. New address and hostname for MIBSRV (PC)
  29.  
  30. VIRUS-L is a moderated, digested mail forum for discussing computer
  31. virus issues; comp.virus is a non-digested Usenet counterpart.
  32. Discussions are not limited to any one hardware/software platform -
  33. diversity is welcomed.  Contributions should be relevant, concise,
  34. polite, etc.  Please sign submissions with your real name.  Send
  35. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  36. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  37. anti-virus, documentation, and back-issue archives is distributed
  38. periodically on the list.  Administrative mail (comments, suggestions,
  39. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  40.  
  41.    Ken van Wyk
  42.  
  43. ----------------------------------------------------------------------
  44.  
  45. Date:    Thu, 13 Jun 91 11:43:07 -0500
  46. From:    csfed@ux1.cts.eiu.edu (Frank Doss)
  47. Subject: Re: Hong Kong on MircoTough dist. disks (PC)
  48.  
  49. dwe29248@uxa.cso.uiuc.edu (Derek William Ebdon) writes:
  50. >One thing that Mr. Doss forgot to mention is that although Central
  51. > . . .
  52. >it cannot remove the virus from a hard drive.  The only way to
  53. >disinfect a hard drive is to redo the low level format because the
  54.  
  55. For those of you with IDE hard drives, contact Seagate.  They are
  56. selling Disk Manager (version 4.1 or later is needed) for $6.00.  This
  57. version of Disk Manager will format the boot sector, partition table,
  58. and the data sections of the disk, but not the error table.  You might
  59. want to ask Seagate and your vendors for details.
  60.  
  61. I am not endorsing Disk Manager, but merely reporting what Mr. Ebdon has
  62. reported as what worked for him.  
  63.  
  64. Thanks, Derek, for the reminder.  I hope your machine is working much
  65. better now.  ;-)
  66.  
  67. Frank E. Doss
  68. Eastern Illinois University
  69.  
  70. ------------------------------
  71.  
  72. Date:    Thu, 13 Jun 91 12:52:56 -0400
  73. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
  74. Subject: re: Is there a 1024 virus? (PC)
  75.  
  76. >From:    Arthur Buslik <74676.2537@CompuServe.COM>
  77. >
  78. >As Rob Slade suggests, one possibility is a virus.  However, a much
  79. >more likely possibility is that the computers have extended bios
  80. >extended data areas.
  81.  
  82. This is certainly a vialble alternative. However, if running DOS 4.0
  83. or later, CHKDSK will "normally" detect this and return "655360"
  84. anyway.
  85.  
  86. A few years ago, when we received or first Compaq 386-20e in we
  87. discovered the same thing: 1k missing from the TOM & DEBUG revealed it
  88. to be essentially zero-filled (obviously not executable). After much
  89. prodding, Compaq told us that it was a buffer area for the mouse
  90. driver and that there is a jumper on the motherboard that can be moved
  91. to restore the missing 1k.
  92.  
  93. Whenever a new machine comes in, it is a good idea to take some
  94. baseline data for later reference.
  95.  
  96. For me, any time Int 12 is lowered, I check the memory area in
  97. question.  If executable code is found, unless known, a look is taken
  98. at other system integrity areas for a reason. If nulled or obviously
  99. data, the manufacturer is called for an explination (often a
  100. frustating & time consuming experience).
  101.  
  102.                         Padgett
  103.  
  104.             Somewhere West of Orlando
  105.  
  106. ------------------------------
  107.  
  108. Date:    13 Jun 91 14:26:07 -0400
  109. From:    BARNOLD@YKTVMH.BITNET
  110. Subject: DOS 5 Fdisk (PC)
  111.  
  112. Readers might want to play with an undocumented /MBR switch in DOS 5
  113. FDISK.  It appears to force FDISK to overwrite the code in a PC/PS2
  114. master boot record, without touching the partition table, and in
  115. limited testing on a half dozen machines it succeeded in cleaning up
  116. machines infected with the Stoned, the Stoned 2, and the Joshi
  117. viruses.  This was with the DOS 5 shipped by IBM, not Microsoft's DOS
  118. 5; can somebody please test MS-DOS 5?
  119.  
  120. The Joshi can't be removed this way unless it isn't active in memory.
  121. (e.g. cold boot from a write protected, uninfected bootable DOS 5 disk
  122. with a copy of FDISK on it.)
  123.  
  124. The command line syntax tested was
  125.    FDISK /MBR
  126.  
  127. Bill Arnold    barnold@watson.ibm.com
  128.  
  129. ------------------------------
  130.  
  131. Date:    Thu, 13 Jun 91 18:38:36 +0000
  132. From:    EIVERSO@cms.cc.wayne.edu
  133. Subject: Re: Hypercard Antiviral Script? (Mac)
  134.  
  135. Mike writes...
  136. - ------------------------------------------------------------------
  137. The main problem is that there is no way to catch the parameters of
  138. the SET function in HC 2.1.
  139. - -----------------------------------------------------------------
  140. I write...
  141. According to the release notes, you can catch the parameters of a Set in HC 2.1
  142. But that doesn't matter since a Send to HyperCard is untrappable.
  143.  
  144. Mike later writes...
  145. - -----------------------------------------------------------------
  146. The problem with this is that a field of all stacks that have been
  147. checked needs to be kept, and everytime that a stack is opened, the
  148. field must be examined to see if this particular stack has been
  149. checked.
  150. - ------------------------------------------------------------------
  151. I write...
  152. Unfortunately if the virus stack traps for the OpenStack Message it becomes
  153. harder to know when a new stack has been opened. You could have the user induce
  154. the checking proceedure, but then it would be too late and your Home Stack
  155. script could be wiped out or other worse things could happen by then.
  156.  
  157. Mike again....
  158. - --------------------------------------------------------------------
  159.   As I said before, if anyone else feels like beating me
  160. to the punch with a solution of their own, feel free - but don't you
  161. DARE charge $$ for it.
  162. - --------------------------------------------------------------------
  163. Me again...
  164. The only solution seems to be, check your Home Stack periodicaly, or lock it,
  165. and always make backups of important stacks.
  166. Apple MUST prevent using a Set command within a Send to HyperCard or no stack
  167. will be safe!!
  168.  
  169. Sounds scary doesn't it?
  170.  
  171. >Mikey.
  172. >Mac Admin
  173. >WSOM CSG
  174. >CWRU
  175. >mike@pyrite.som.cwru.edu
  176.  
  177.  and me...
  178. - --Eric
  179.  
  180. ------------------------------
  181.  
  182. Date:    Thu, 13 Jun 91 15:33:00 -0500
  183. From:    TK0JUT1@NIU.BITNET
  184. Subject: Request for info on BBS viruses, worms, etc
  185.  
  186. We are putting together a list of viruses, worms, or trojan horses
  187. specifically aimed at BBS software or are capable of being implanted
  188. in a system through BBS procedures (e.g., new user information,
  189. uploading zip files).  We *ARE NOT* looking for viruses that are
  190. spread *on* BBSs by sharing of software, but rather for programs
  191. speficially designed to attack a system *using* BBS software, such as
  192. the recent bug in Telegard that allowed a user to access the system
  193. using zip files.
  194.  
  195. We are trying to update a story for CuD. Responses can be sent to:
  196.    jthomas@well.sf.ca.us     or  tk0jut2@niu.bitnet
  197.  
  198. Jim Thomas / Sociology-Criminal Justice / Northern Illinois University
  199.  
  200. ------------------------------
  201.  
  202. Date:    Thu, 13 Jun 91 13:36:04 -0700
  203. From:    "robert c. morales" <7340P@NAVPGS.BITNET>
  204. Subject: Possible PC Virus (PC)
  205.  
  206. I have a Packard Bell with an 80386X-16 Mhz CPU. It runs on MS-DOS
  207. 4.01 and a Dosshell 4.0. Everytime I do work on the computer (word
  208. processing, networking, games, etc.) DOS seems to create (on its own)
  209. a file, named numerically or alpha-numerically but in a random
  210. fashion, of about 15K in size (with a range of from 7K to 17K). When
  211. you try to view the file (which incidentally sits among the DOS
  212. files), you can make out that it is bits and pieces of what is on the
  213. hard drive. Initially, it has not affected any other program on the
  214. hard drive. However, two days ago, the DOS files appeared to have
  215. replicated themselves with such names as EDLIN._OM and AUTOEXEC._AT,
  216. all of which were 77 bytes in size with the same dates and times. This
  217. necessitated reformatting the hard drive. Also, the Dosshell was
  218. removed from the AUTOEXEC.BAT. Right now, the problem seems to have
  219. been corrected, whatever it was. Is anybody familiar with this
  220. problem? Most other resource people I I have consulted about this have
  221. indicated that they have only heard about this on Packard Bell
  222. computers. Any tips?
  223.  
  224. Robert Morales
  225. 7340p@navpgs
  226. 7340p@cc.nps.navy.mil
  227.  
  228. ------------------------------
  229.  
  230. Date:    Wed, 12 Jun 91 23:57:53 -0700
  231. From:    msb-ce@cup.portal.com
  232. Subject: Re: Virus scaners (PC)
  233.  
  234. In a recent VIRUS-L posting Dennis Hollingworth <holly@fifi.isi.edu> said:
  235.  
  236.  > I tested McAfee's SCAN77 using Rosenthal Engineering's new
  237.  > release of Virus Simulator (I've seen posted as VIRSIM11.COM
  238.  > on EXEC-PC, Compuserve and others).  It seems that SCAN77
  239.  > misses three boot sector viruses that SCAN76 found on
  240.  > the same disk.  Both versions of SCAN found nine viruses
  241.  > in the .COM, four in the .EXE and seven in the test memory
  242.  > virus.
  243.  
  244. Since no real virus was present all of these "hits" could be regarded
  245. as false alarms, theoretically. We must be careful to distinguish what
  246. is being tested here. Just because a particular anti-viral product
  247. does not declare a particular test string to be a virus, we cannot say
  248. that the scanner has failed. A good case can be made for saying that
  249. the simulator failed.
  250.  
  251. The only "test target" that can be used is the entirety of a virus,
  252. and at that point you no longer have a "simulator", you have the real
  253. thing.
  254.  
  255. Fritz Schneider
  256.  
  257. ------------------------------
  258.  
  259. Date:    Fri, 14 Jun 91 16:05:27 +0000
  260. From:    dave@nucleus (Dave Coder)
  261. Subject: Re: Help With Frodo & Yankee Doodle (PC)
  262.  
  263. Alan@aj.ds.mcc.ac.uk (Alan Jones) writes:
  264. >            FRODO & YANKEE DOODLE
  266. > Has anyone got any information on these two viruses.
  267. > They have just arrived on the campus ( 2000+ computers ),
  268.  
  269. Norton Antivirus 1.0.0 gets both Yankee Doodle (various forms) and
  270. Frodo (4096). You can install as RAM-resident program to check
  271. incoming files. It works.
  272.  
  273. Dave 
  274. dcoder@milton.u.washington.edu
  275.  
  276. ------------------------------
  277.  
  278. Date:    Fri, 14 Jun 91 13:12:04 -0700
  279. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  280. Subject: Infected networks (PC)
  281.  
  282. padgett%tccslr.dnet@mmc.com (A. Padgett Peterson) writes:
  283.  
  284. > In this case I had such a self-check program (1400 bytes) that just
  285. > checks its own length & checksum. If it passes, the program exits, if
  286. > it fails, the client machine displays a warning message and is locked
  287. > up. In this manner, the server application files are protected from
  288. > infection (are never called by an infected client). Each client gets a
  289. > new copy of the "goat" file so clean clients are not affected, and
  290. > infected clients are identified.
  291.  
  292. I have been reviewing a product from Bangkok called Victor Charlie
  293. that takes a similar approach.  An intriguing concept.
  294.  
  295. I hope to be able to release the review shortly.
  296.  
  297. =============
  298. Vancouver          p1@arkham.wimsey.bc.ca   | "If you do buy a
  299. Institute for      Robert_Slade@mtsg.sfu.ca |  computer, don't
  300. Research into      (SUZY) INtegrity         |  turn it on."
  301. User               Canada V7K 2G6           | Richards' 2nd Law
  302. Security                                    | of Data Security
  303.  
  304. ------------------------------
  305.  
  306. Date:    Sat, 15 Jun 91 01:09:56 +0000
  307. From:    lunde@casbah.acns.nwu.edu (Albert Lunde)
  308. Subject: Re: Questions about "Disinfectant" (Mac).
  309.  
  310. firmiss@cae.wisc.edu writes:
  311. > 1.  I believe since version 2.0, Disinfectant had the ability to install
  312. >     a protection INIT.  The thing is only 5k... What does it DO?...
  313. >     Does it just give a warning if something is being infected?
  314. >     What does it look for?
  315.  
  316. It is small because it is written in assembly, with no configuration
  317. options.  It tries to prevent virus infection from being successful,
  318. and issue an informative message via the notification manager.  The
  319. means used to block infection vary according to the virus.  Like
  320. Disinfectant it is effective against a list of known viruses, and
  321. tries to be specific enough to avoid false alarms.
  322.  
  323. It does not scan files on every inserted disk for say, nVIR.
  324.  
  325. > 2.  I remember hearing that using Disinfectant AND the old virus 
  326. >     protection
  327. >     CDEV(?) "Vaccine (TM) 1.0.1" was a bad idea (Vaccine somehow 
  328. >     rendered the
  329. >     Disinfectant INIT useless or something to that effect).
  330. >       Is it also a good idea to remove the INITs "KillVirus" (Icon is a
  331. >     needle with the word nVIR next to it). and "Kill WDEF - virus INIT"
  332. >     (Icon is just a standard document icon)?  I know these are pretty old
  333. >     too.  (at least I don't have "Ferret" and "Kill Scores" and those 
  334. >     other
  335. >     related relics)
  336.  
  337. We are currently advocating that general users at Northwestern use
  338. only the Disinfectant INIT and not Vaccine or Gatekeeper Aid, and that
  339. they get periodic updates.
  340.  
  341. The risk from unknown viruses seems balanced by the reduced grief to
  342. general users.  The rate of virus spread is slow enough that this is
  343. workable.
  344.  
  345. Vaccine presents unclear messages, bombs on application startup under
  346. many real infections and is bypassed by other newer viruses and has a
  347. few minor bugs unrelated to viruses.
  348.  
  349. Gatekeeper Aid has occasionally removed the CODE resources from my
  350. running applications.  Like the other Gatekeeper tools, I think it is
  351. useful for advanced users, but too paranoid and subject to false
  352. alarms for average Mac users.  There is a tradeoff between detecting
  353. suspicious activity and being quiet and specific. (See discussion in
  354. the Disinfectant online help.)
  355.  
  356. I would not recommend "KillVirus" - it seems to be one of many early
  357. nVIR tools, that are not as generally effective as the Disinfectant
  358. INIT. I know nothing about "Kill WDEF - virus INIT", but it is not
  359. needed if you use the Disinfectant INIT.
  360.  
  361. > 2a. Almost forgot... What about "SAM (TM) Intercept" INIT... I know it's
  362. >     newer but do "SAM" and "Disinfectant" interfere with each other?
  363.  
  364. I think that these can co-exist, but I don't remember which takes priority.
  365.  
  366. > My current version of Disinfectant is 2.4... Is this the most current
  367. > one?  I've had it for about 6 months now.
  368.  
  369. Yes 2.4 is current - see John's prior post about it and system 7.
  370.  
  371. Albert Lunde - Northwestern University  This post represents neither NU 
  372. Albert_Lunde@nwu.edu                                    or John Norstad
  373.  
  374. ------------------------------
  375.  
  376. Date:    Fri, 14 Jun 91 15:09:32 -0500
  377. From:    Paul Coen <paulcn@idsvax.ids.com>
  378. Subject: Getting register contents, etc. "on the fly." (PC)
  379.  
  380. If you want to find out what's in memory at a particular location, and
  381. you're lucky enough to be using a Zenith computer (at least, on every
  382. Zenith I've seen except the Eazy-PC -- it had a non-Zenith BIOS), you
  383. can press ctrl-alt-return (enter, whatever), at pretty much any time,
  384. and be thrown into what Zenith calls a "monitor program" -- the same
  385. one you get when you press ctrl-alt-ins.  Only in this state, it shows
  386. you the memory contents at the current location.  You can change,
  387. examine, etc. from this point.  If you type "g" and press return,
  388. you'll go back to executing the program where you left off, assuming
  389. you didn't mess with anything important.  It's essentially a built-in
  390. debugger.
  391.  
  392. Apologies to anyone who doesn't have a Zenith, but look on the bright
  393. side, this feature can cause incompatability problems on rare
  394. occasions.
  395.  
  396. ------------------------------
  397.  
  398. Date:    15 Jun 91 09:05:24 +0000
  399. From:    frisk@rhi.hi.is (Fridrik Skulason)
  400. Subject: Problems removing Azusa (PC)
  401.  
  402. padgett%tccslr.dnet@mmc.com (A. Padgett Peterson) writes:
  403. >From:    dwe29248@uxa.cso.uiuc.edu (Derek William Ebdon)
  404. >One thing that Mr. Doss forgot to mention is that although Central
  405. >Point Anti-Virus v1.0 can easily romove the Asuza virus from a floppy,
  406. >it cannot remove the virus from a hard drive.  The only way to
  407. >disinfect a hard drive is to redo the low level format because the
  408. >virus infects the boot sector and the dos partition.  A high level
  409. >format will not remove the virus, nor will simply removing the dos
  410. >partition with the fdisk program.
  411.  
  412. Well, this is of course not correct - a format is never necessary to
  413. get rid of a virus - boot sector or otherwise.  However, Azusa is
  414. rather problematic, as it does not store the original PBR anywhere -
  415. it simply replaces it.  (It is easy to remove Azusa from diskettes)
  416.  
  417. Suggested solutions:  1) Use NU to zero out the PBR, then use
  418.              NDD to rebuild it.
  419.  
  420.               2) Use a disinfection program which can replace
  421.              the PBR with a "standard" PBR - such programs
  422.              exist.
  423.  
  424. - -frisk
  425.  
  426. ------------------------------
  427.  
  428. Date:    15 Jun 91 09:12:01 +0000
  429. From:    frisk@rhi.hi.is (Fridrik Skulason)
  430. Subject: Re: Is there a 1024 virus? (PC)
  431.  
  432. Arthur Buslik writes:
  433.  
  434. >As Rob Slade suggests, one possibility is a virus.  However, a much
  435. >more likely possibility is that the computers have extended bios
  436. >extended data areas. 
  437. :
  438. >Moreover, INT 15H, AH=C1H will return the segment address
  439. >of the base of the extended bios area.
  440.  
  441. Well, not always - I have a HP/Vectra, where the BIOS reserves a 4K
  442. area just below the 640K mark.  However, INT 15H, AH=C1H is not
  443. implemented in the BIOS (I know - I traced through it), and INT 15H,
  444. AH=C0H will return the information that no Extended BIOS area is used.
  445.  
  446. - -frisk
  447.  
  448. ------------------------------
  449.  
  450. Date:    Sat, 15 Jun 91 09:46:41 -0400
  451. From:    Jeff <USGJEJ@GSUVM1.BITNET>
  452. Subject: Fprot v1.16 (PC)
  453.  
  454. Is Fprot v1.16 avaiable yet? If so where can I ftp it? Thanks.
  455.  
  456. ------------------------------
  457.  
  458. Date:    Sun, 16 Jun 91 01:19:14 -0400
  459. From:    Daniel Pan <I87BC@CUNYVM.BITNET>
  460. Subject: Why I didn't find the virus.exe (PC)
  461.  
  462. A friend of my got viruses.  I use scan v77 to check it found the
  463. partition table was infected by sotned and the file
  464. C:\DOS\KILL\VIRUS.EXE was infected by jerusalem.  I also use Virx 1.14
  465. to check the C drive, the only hard drive she has, and find stoned-b.
  466. But I could not find the file VIRUS.EXE exist. The kill subdir only
  467. has four files and neither is VIRUS.EXE. Does any one know what
  468. happened ? could it be a hidded file or Scan gave the fault alarm ?
  469. But the Clean did doing very well when cleaned those viruses.  I
  470. cleaned the hard disk before I thinking about this question!
  471.  
  472. ------------------------------
  473.  
  474. Date:    Sat, 15 Jun 91 23:34:48 -0700
  475. From:    p4tustin!ofa123@uunet.UU.NET (ofa123)
  476. Subject: Re: Hoffman Summary & FPROT (PC)
  477.  
  478. I think it's just too bad that Hoffman's summary keeps ignoring the
  479. latest versions of F-PROT. The SCANV shown is always the latest issue.
  480. Frisk, are you looking for distribution sites in the US? I may have a
  481. couple of systems that would be interested in becoming official
  482. distribution sites for F-PROT. Please let me know.
  483.  
  484. - --- Opus-CBCS 1.14
  485.  * Origin: Universal Electronics, Inc. [714 939-1041] (1:103/208.0)
  486. - --  
  487. Ray Mann
  488. Internet: Ray.Mann@ofa123.fidonet.org
  489. Compuserve: >internet:Ray.Mann@ofa123.fidonet.org
  490.  
  491. ------------------------------
  492.  
  493. Date:    Sun, 16 Jun 91 10:56:44 -0500
  494. From:    James Ford <JFORD@UA1VM.BITNET>
  495. Subject: New address and hostname for MIBSRV (PC)
  496.  
  497. The mibsrv antiviral site (MIBSRV.MIB.ENG.UA.EDU) is moving to the new
  498. location RISC.UA.EDU (130.160.4.7).  The directory structure will
  499. remain the same.  At this time, all ibm-antivirus have been moved
  500. over.  The solutions directory (pub/games/solutions) will me moved
  501. Monday.
  502.  
  503. MIBSRV (130.160.20.80) will stay up until June 26.  After that time,
  504. it will be gone / kaput / lost_in_time / lost_in_space.
  505.  
  506. Please make any necessary changes in your script / information files
  507. regarding this.  If you have any problems, please let me know.
  508.                  /\/\/\/\/\/\/\/\/\/\/\/\  /\/\/\/\/\/\/\/\/\/
  509. - ----------
  510. Life is one long process of getting tired.
  511. - ----------
  512. James Ford -  JFORD@UA1VM.UA.EDU, JFORD@mib333.mib.eng.ua.edu
  513.               The University of Alabama (in Tuscaloosa, Alabama)
  514.  
  515. ------------------------------
  516.  
  517. End of VIRUS-L Digest [Volume 4 Issue 103]
  518. ******************************************
  519.