home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_108.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  18.4 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #108
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Monday, 24 Jun 1991    Volume 4 : Issue 108
  9.  
  10. Today's Topics:
  11.  
  12. Weird things in our LAN! (Mac)
  13. Re: Can such a virus be written .... (PC)
  14. Re: Can such a virus be written .... (PC)
  15. DesasterMaster 2
  16. Re: Interesting interaction ( VIRx & SCAN ) (PC)
  17. Interesting interaction (PC)
  18. doom 2 (PC)
  19. Re: Hypercard Antiviral Script? (Mac)
  20. Re: Can such a virus be written .... (PC)
  21. Disk Killer Virus (PC)
  22. Re: Software Upgradable BIOS (PC)
  23. Re: protecting mac files via locking (Mac)
  24. Thanks for help (virus papers)
  25. joshi & vsum & f-prot & ll format (PC)
  26.  
  27. VIRUS-L is a moderated, digested mail forum for discussing computer
  28. virus issues; comp.virus is a non-digested Usenet counterpart.
  29. Discussions are not limited to any one hardware/software platform -
  30. diversity is welcomed.  Contributions should be relevant, concise,
  31. polite, etc.  Please sign submissions with your real name.  Send
  32. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  33. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  34. anti-virus, documentation, and back-issue archives is distributed
  35. periodically on the list.  Administrative mail (comments, suggestions,
  36. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  37.  
  38.    Ken van Wyk
  39.  
  40. ----------------------------------------------------------------------
  41.  
  42. Date:    Fri, 21 Jun 91 01:32:11 +0000
  43. From:    choda@milton.u.washington.edu (Bob Marley)
  44. Subject: Weird things in our LAN! (Mac)
  45.  
  46. We have a small problem in our LAN here. We have a dedicated server
  47. (SE/30) serving about 30 pluses (1meg mem etc). We have to start them
  48. off of workstation disks. This has been happening periodically
  49. throught the year, every once and a while one of the workstation disks
  50. appears to be turned invisible. All the files are GONE. They are
  51. there, it says that the space is being used, and the disks boot etc.
  52. They are NOT invisible however. I have gone in with absolutly every
  53. file/disk/etc utility to look for them. Resedit, disktools, the works.
  54. The only invisible file on any of the disks was the (obviously)
  55. desktop. Now, the other day, we got one of our pluses back that we had
  56. loaned out, and we discoverd that on the 20meg hard drive, it happend
  57. AGIAN. ALL the files invisble. The person who had it was freaked, for
  58. he thought he had deleted the entire harddrive. We have checked for
  59. viruses, and havent found any... It is just plain WEIRD. Anyone have
  60. any ideas on what could be done, to fix this before it hits our server
  61. and makes EVERYTHING there invis?  Help!
  62.  
  63. ------------------------------
  64.  
  65. Date:    Fri, 21 Jun 91 17:43:00 +1200
  66. From:    "Mark Aitchison, U of Canty; Physics" <PHYS169@csc.canterbury.ac.nz>
  67. Subject: Re: Can such a virus be written .... (PC)
  68.  
  69. vanaards@project4.computer-science.manchester.ac.uk (Steven van Aardt) writes:
  71. >   Is it possible to write a PC virus which installs itself whenever
  72. > you place an infected disk in the drive and do a DIR command ?
  73.  
  74. Yes. But on a PC this requires certain conditions, which mean it
  75. probably wouldn't spread very far.
  76.  
  77. Mark Aitchison, Physics, University of Canterbury, New Zealand.
  78.  
  79. ------------------------------
  80.  
  81. Date:    21 Jun 91 09:39:26 +0000
  82. From:    Doug Krause <dkrause@miami.acs.uci.edu>
  83. Subject: Re: Can such a virus be written .... (PC)
  84.  
  85. vanaards@project4.computer-science.manchester.ac.uk (Steven van Aardt) writes:
  86. #
  87. #  Is it possible to write a PC virus which installs itself whenever
  88. #you place an infected disk in the drive and do a DIR command ?
  89.  
  90. Doesn't STONED act that way?
  91.  
  92. Douglas Krause                     One yuppie can ruin your whole day.
  93. - ----------------------------------------------------------------------
  94. University of California, Irvine   Internet: dkrause@orion.oac.uci.edu
  95. Welcome to Irvine, Yuppieland USA  BITNET: DJKrause@uci.edu
  96.  
  97. ------------------------------
  98.  
  99. Date:    Fri, 21 Jun 91 11:45:29 +0000
  100. From:    tsruland@faui09.informatik.uni-erlangen.de (Tobias Ruland)
  101. Subject: DesasterMaster 2
  102.  
  103. high all!  does anybody know the amiga "desastermaster 2"-virus how it
  104. works and what it does?
  105.  
  106.               cu
  107.                       Tobias
  108.  
  109. ------------------------------
  110.  
  111. Date:    Thu, 20 Jun 91 17:23:19
  112. From:    c-rossgr@microsoft.COM
  113. Subject: Re: Interesting interaction ( VIRx & SCAN ) (PC)
  114.  
  115. >From:    kforward@kean.ucs.mun.ca (Ken Forward)
  116. >
  117. >p1@arkham.wimsey.bc.ca (Rob Slade) writes:
  118. >> Noted an interesting interaction between two antivirals the other day,
  119. >
  120. >Tried this out for myself; no 3445 or Doom 2, but Taiwan3 [T3] was
  121. >"found" in memory.  Has anyone experienced any other false positives
  122. >with this combination ?
  123.  
  124. It goes to show that the viral strings used in Program A might also be
  125. used in Program B.  The string database is large enough that it
  126. probably spanned more than a few DOS buffers: depending on what
  127. buffers were used by subsequent code, different portions of the string
  128. database might be left in different areas of memory, thereby those who
  129. share our strings will have different "hits" at different times.
  130.  
  131. The new cut of VIRx with new strings added (a bunch) and some bug
  132. fixes is due out any second...
  133.  
  134. Ross
  135.  
  136. ------------------------------
  137.  
  138. Date:    Wed, 19 Jun 91 18:53:21
  139. From:    c-rossgr@microsoft.COM
  140. Subject: Interesting interaction (PC)
  141.  
  142. >From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  143. >
  144. >Noted an interesting interaction between two antivirals the other day,
  145. >and finally tracked it down.  If VIRx 1.4 is run before SCAN 77, SCAN
  146. >will "detect" the presence of the 3445 and Doom 2 viri in memory and
  147. >refuse to run.
  148.  
  149. Sigh.  Color me dumb.  I forgot to call the zap_virus_strings()
  150. routine under certain conditions, so I left a lot of strings in
  151. memory.  It looks like the McAfee scanner uses some of the same
  152. strings we do...
  153.  
  154. This has been fixed in the next release of VIRx, due out in a few
  155. days.  Lots of other good stuff in the new one, too.
  156.  
  157. Ross
  158.  
  159. - ------------------------------
  160.  
  161. Date: Wed Jun 19 18:53:21 1991
  162. From: c-rossgr@microsoft.COM
  163. Subject: joshi & vsum & f-prot & ll format (PC)
  164.  
  165. >From:    treeves@magnus.acs.ohio-state.edu (Terry N Reeves)
  166. >
  167. >Vsum still says no utility will remove joshi and that low
  168. >level format is required...
  169.  
  170. Vsum is totally wrong.  Virex-PC has been able to cure Joshi for quite
  171. a while (> six months, at least).
  172.  
  173. >    Is their a utility Ms Hoffman? perhaps yuou just don't want to
  174. >admit it because McAffe's can't? (i have not tried McAffee but I
  175. >assume she'd say if his did.)
  176.  
  177. Interesting idea....
  178.  
  179. Ross
  180.  
  181. ------------------------------
  182.  
  183. Date:    Thu, 20 Jun 91 19:34:27
  184. From:    c-rossgr@microsoft.COM
  185. Subject: doom 2 (PC)
  186.  
  187. >From:    Eric_Florack.Wbst311@xerox.com
  188. >
  189. >It would appear to me that VIRx 1.4 isn't cleaning up after itself.
  190. >You guys just ran accross different bits of code because of different
  191. >ares of RAM being used to store the search strings.
  192.  
  193. (Will I ever live this down?  One mistake and *bingo!* all over the
  194. place.  Sigh.)
  195.  
  196. >The second point is that it's a security problem for all computer
  197. >users.  Consider: It's simplicity itself for someone who can write a
  198. >virus to tear apart the non-encrypted VIRx code and determine the
  199. >search strings used in VIRx.
  200.  
  201. Actually, the strings are trivially "encrypted" to prevent the image
  202. out on disk from triggering who-knows-how-many other scanners out
  203. there. The image I left in memory is *after* the decryption.  Why, you
  204. might wonder, don't I use a more complex en/de-cryption scheme?
  205.  
  206. The answer is simple: whatever for?  The bad guys can certainly break
  207. whatever coding scheme I use, thereby using the string list just as if
  208. it were not encoded at all.  Since it is trivial to make a program
  209. that can determine what string a scanner is using, using complex
  210. schemes serves no purpose except to a)give more areas for weird bugs
  211. to show up, b)a tad of time spent by *every* user in the decrypt
  212. routine.
  213.  
  214. The signature a scanner uses is of no use to a bad guy unless he or
  215. she already has the subject virus on hand, in any case.
  216.  
  217. >Now, this in itself wouldn't be a problem, I guess, but consider that
  218. >what SCAN saw, were the search strings that VIRx was using.... meaning
  219. >they're using the SAME strings. Based on this info, anyone who wanted
  220. >to, could, in theory, modify the virus enough that the string would no
  221. >longer bee caught by the current search strings.
  222.  
  223. In many viruses (virii?) there is only a small area that you can use
  224. to figure out a decent signature.  Two scanners using a similar area
  225. should not be considered unusual.  One of my favorite areas to use is
  226. the "Are you there?" call most resident viruses use: I assume most
  227. others use it, too.  For viruses that I don't have on hand, I use the
  228. Virus Bulletin list: I would presume that the bad guys have as much
  229. access to that list as McAfee's scanner programmers do, too....
  230.  
  231. >Encrypting the search strings in your code, therefore is always a good
  232. >idea, as is cleaning up the mess your program makes in RAM. VIRx,
  233. >apparently doesn't address these two points.
  234.  
  235. Wrong on both counts.  It is interesting, though, that about 20 beta
  236. testers did not find that problem at all....
  237.  
  238. One of the interesting things: Microcom, the people who publish and
  239. market my code, is expressly forbidden from using McAfee products by
  240. the vendor itself.  This is interesting since Microcom was, until
  241. recently, a member of the so-called CVIA, paying their dues and
  242. getting *absolutely* none of the privs supposedly associated with that
  243. membership.
  244.  
  245. Ross
  246.  
  247. ------------------------------
  248.  
  249. Date:    Thu, 20 Jun 91 23:53:45 +0000
  250. From:    mike@pyrite.SOM.CWRU.Edu (Michael Kerner)
  251. Subject: Re: Hypercard Antiviral Script? (Mac)
  252.  
  253. Actually, Eric, you will find that there appears to be a bug in 2.0v2,
  254. and you can intercept SETs that are SEND'ed (sorry, but
  255. SEN(t)D?)...anyway, having not tried this trick in 2.1, I don't know
  256. if it will work...and, as usual, I wouldn't trust the documentation -
  257. try looking at the params of the SET command.  As far as the rest of
  258. this discussion goes, I have been playing with fire & my own viri (for
  259. test purposes, folks, so relax...then again, with the couple of times
  260. I've been corrected, these critters wouldn't do much harm anyway...)
  261. and as long as LockMessages is set, and as long as one checks the
  262. script of stack xxx before opening it, it's essentially impossible to
  263. infect yourself by opening a stack - ASSUMING YOU CHECK THE SCRIPT OF
  264. THE STACK FIRST.
  265.  
  266. The code to scan a stack is essentially the same as the SearchScript
  267. code that y'all will find in your HOME stack, only you have to modify
  268. it to accept a file name (answer file...everyone remember now?...)
  269. anyway, after you do that, the search string is "set the script of".
  270. HOWEVER, it is possible that someone has the viri sitting in an XCMD
  271. or XFCN which they invoke, so you should also check the resources they
  272. have attached to their stack...so you see, it becomes a pain to simply
  273. scan the stack script because you also need to scan the resources to
  274. be effective.
  275.  
  276. Mike.
  277. Mac Admin
  278. WSOM CSG
  279. CWRU
  280. mike@pyrite.som.cwru.edu
  281.  
  282. ------------------------------
  283.  
  284. Date:    Fri, 21 Jun 91 17:08:31 +0000
  285. From:    bdh@gsbsun.uchicago.edu (Brian D. Howard)
  286. Subject: Re: Can such a virus be written .... (PC)
  287.  
  288. vanaards@project4.computer-science.manchester.ac.uk (Steven van Aardt) writes:
  289.  
  290.  
  291. >  Is it possible to write a PC virus which installs itself whenever
  292. >you place an infected disk in the drive and do a DIR command ?
  293.  
  294. Yes.
  295.  
  296. You'd have to change command.com and have a dir.com or dir.bat just
  297. sitting there.  I've actually manually done something like that as a
  298. prank (stay away from me on april 1...)
  299.  
  300. (You asked merely if it was *possible*.  Now, do you think you've got
  301. something like that going on?)
  302. - --
  303. "Hire the young while they still know everything." 
  304.  
  305. ------------------------------
  306.  
  307. Date:    Fri, 21 Jun 91 14:36:00 +0000
  308. From:    Jim Schenk <JIMS@SERVAX.BITNET>
  309. Subject: Disk Killer Virus (PC)
  310.  
  311. Hello,
  312.  
  313. Does anyone have information on the Disk Killer Virus?  (I've already
  314. got Patricia Hoffman's VSUM - I need some more detailed info).
  315. Running F-PROT 1.15A on a DTK 286 under MS-DOS 4.01 results in the
  316. following:
  317.  
  318.         This boot sector is infected with the Disk Killer virus.
  319.         Disinfect? Y
  320.  
  321.         Can not cure - original boot sector not found.
  322.  
  323. Any help would be greatly appreciated.
  324.  
  325. Jim Schenk
  326. University Computer Services
  327. Florida International University
  328.  
  329. Bitnet:         jims@servax
  330. Internet:       jims@servax.fiu.edu
  331.  
  332. ------------------------------
  333.  
  334. Date:    21 Jun 91 21:22:40 +0000
  335. From:    rick@pavlov.ssctr.bcm.tmc.edu (Richard H. Miller)
  336. Subject: Re: Software Upgradable BIOS (PC)
  337.  
  338. ingoldsb%ctycal@cpsc.ucalgary.ca (Terry Ingoldsby) writes:
  339.     
  340. > It is not even necessary to place it under hardware control, rather if
  341. > the hardware incorporates an interlock that requires a special,
  342. > possibly unique, code, then the viruses could bash at it forever
  343. > (almost) without success.
  345. > For example if each machine thus manufactured were assigned a unique
  346. > value in EPROM (which could not be read by the CPU), say of length 64
  347. > bits, then the user could be queried, by the software upgrade program,
  348. > to enter the key.  If the key matched, the EAROM would be modified,
  349. > otherwise nothing would happen.
  350.  
  351. this is a nice though in theory, but in practical terms, would be a
  352. logistical nightmare for sites which have a large number of PCs or
  353. that swap components.  This would require that detailed records be
  354. kept each PC and each time a motherboard is swapped or the BIOS is
  355. replaced rather than updated.In all likelyhood, two things would
  356. happen
  357.  
  358. 1) The 'key' would be written on the PC which would give you the same
  359. protection as hardware control.
  360.  
  361. 2) Someone would loose their key and the BIOS chips would have to be
  362. replaced.
  363.  
  364. Another approach is to use a lock mechanism with a key to update the
  365. BIOS.  For the single user or sites which do not require central
  366. configuration management, the key could stay in the PC [as it does not
  367. in most cases.] For sites which do use central configuration
  368. management, the key would be kept away from the PC to prevent BIOS
  369. upgrades except under controlled circumstances
  370.  
  371. I do think that upgradeable BIOS under these circumstances is a good
  372. idea. This is a concept which has been very successful in the larger
  373. systems for quite a long time as would work well with necessary
  374. controls. It would certainly be much easier to load the BIOS from
  375. floppy for 1,000 PC's than to replace the BIOS PROMS.
  376.  
  377. - -- 
  378. Richard H. Miller                 Email: rick@bcm.tmc.edu
  379. Asst. Dir. for Technical Support  Voice: (713)798-3532
  380. Baylor College of Medicine        US Mail: One Baylor Plaza, 302H
  381.                                            Houston, Texas 77030
  382.  
  383. ------------------------------
  384.  
  385. Date:    Fri, 21 Jun 91 23:46:32 +0000
  386. From:    mike@pyrite.SOM.CWRU.Edu (Michael Kerner)
  387. Subject: Re: protecting mac files via locking (Mac)
  388.  
  389. NO!  ABSOLUTELY NOT TRUE IN ANY WAY, SHAPE, OR FORM.  IT IS IMPOSSIBLE TO
  390. PROTECT A FILE BY LOCKING IT.  PERIOD.  ABSOLUTELY NOT.  IT DOESN'T HAPPEN.
  391. The only way to protect a file is to have it on a locked volume.  Now I don't
  392. know if SAM is beyond this, because I haven't tried it...yet (hey, c'mon,
  393. I read newsgroups on Internet in what little free time I have between my job
  394. at xxx and handling the lab here.  However, I have an "utility" which will
  395. overwrite any resource in any file, and that's all the more specific I am
  396. going to get about it because I don't want some amateur hack reading this
  397. to get any ideas.  Saying that it can be done is bad enough - it encourages
  398. the ones that don't know ... yet.  At any rate, file locking AND PROTECTING
  399. (via some sector editor) do not stop this "utility" from working - no, it's
  400. not ResEdit, but I haven't tried ResEdit, although I would assume that it
  401. won't work.
  402.  
  403. So, there is NO WAY to stop a file on an unlocked volume from being written
  404. to, changed, etc.
  405.  
  406. Sorry.
  407.  
  408. Mike.
  409. Mac Admin
  410. WSOM CSG
  411. CWRU
  412. mike@pyrite.som.cwru.edu
  413.  
  414. ------------------------------
  415.  
  416. Date:    Sun, 23 Jun 91 22:11:24 -0500
  417. From:    Mac Su-Cheong <NCKUS089@TWNMOE10.BITNET>
  418. Subject: Thanks for help (virus papers)
  419.  
  420. Dear netters :
  421.  
  422.    About a month ago I had asked for help with virus papers. Here is the
  423. original request :
  424.  
  425. >   I am looking for the following thesis :
  426. >
  427. >   F. Cohen, "Computer Viruses", Ph.D. Dissertation, University of Southern
  428. >   California, 1986.
  429. >
  430. >   Can I get it from some anonymous ftp sites ? If no, how can I get it. I am
  431. >trying to gather papers about viruses. Any help is appreciated.
  432.  
  433.    I have got several responses for the request. Someone suggest me to
  434. get the books COMPUTE!'s COMPUTER VIRUSES and COMPUTE!'s COMPUTER
  435. SECURITY, but I have not found them yet. Another one suggest me to log
  436. on ftp.cs.widener.edu (192.55.239.132) but I can't find virus paper. A
  437. nice guy find the paper in library and send me the abstract. Later I
  438. have found some papers from the following anonymous ftp sites :
  439.    cert.sei.cmu.edu      pub/virus-l/docs
  440.    cs.toronto.edu        doc/pc-virus.notes
  441.  
  442.    There are many virus papers on the Magazine "Computers & Security",
  443. but they are not collected in my local library :-(
  444.  
  445.    Especially thanks to Ralph Roberts, Alan Jones, Mark, and Malcolm.
  446. They are so kind for doing such a lot to me. This is the first time I
  447. write a summary.  If there is something wrong, please tell me. Thanks
  448. for your time.
  449.  
  450. Mac Su-Cheong (MSC)
  451. nckus089@twnmoe10
  452. msc@sun2.ee.ncku.edu.tw
  453.  
  454. ------------------------------
  455.  
  456. Date:    Wed, 19 Jun 91 18:53:21
  457. From:    c-rossgr@microsoft.COM
  458. Subject: joshi & vsum & f-prot & ll format (PC)
  459.  
  460. >From:    treeves@magnus.acs.ohio-state.edu (Terry N Reeves)
  461. >
  462. >Vsum still says no utility will remove joshi and that low
  463. >level format is required...
  464.  
  465. Vsum is totally wrong.  Virex-PC has been able to cure Joshi for quite
  466. a while (> six months, at least).
  467.  
  468. >    Is their a utility Ms Hoffman? perhaps yuou just don't want to
  469. >admit it because McAffe's can't? (i have not tried McAffee but I
  470. >assume she'd say if his did.)
  471.  
  472. Interesting idea....
  473.  
  474. Ross
  475.  
  476. ------------------------------
  477.  
  478. End of VIRUS-L Digest [Volume 4 Issue 108]
  479. ******************************************
  480.