home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.05

< prev

next >

Wrap

Text File  |  1995-01-03  |  17KB  |  349 lines

---

1. VIRUS-L Digest              Friday, 6 Jan 1989           Volume 2 : Issue 5
2.  
3. Today's Topics:
4. Right to Purge Mail
5. Re: Disks Drive protection -gimme a break
6. re: copy protected disketts
7. Getting Mac Anti-viral Files
8. Clarificaton/More on the Father Christmas Worm (VAX/VMS)
9. Brain and the boot sequence (PC)
10. Re: creating government standards for software
11.  
12. ---------------------------------------------------------------------------
13.  
14. Date:  Thu, 5 Jan 89 08:42 EST
15. From:  WHMurray@DOCKMASTER.ARPA
16. Subject:  Right to Purge Mail
17.  
18. S. H. asks:
19.  
20. "Which takes priority,  the rights of the individuals receiving these
21. virus files or the responsibility of systems managers for securing their
22. systems against anwanted [sic] viri [sic]?"
23.  
24. I think that the question, as stated, is loaded.  Try "Is the
25. responsibility of the system manager to ensure that the majority of the
26. population receives the majority of its mail superior to his
27. responsibility to see that an individual receives a particular mailing?"
28.  
29. William Hugh Murray, Fellow, Information System Security, Ernst & Whinney
30. 2000 National City Center Cleveland, Ohio 44114
31. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
32.  
33. ------------------------------
34.  
35. Date:         Thu, 5 Jan 1989 08:55:01 EDT
36. From:         "W. K. (Bill) Gorman" <34AEJ7D@CMUVM.BITNET>
37. Subject:      Re: Disks Drive protection -gimme a break
38.  
39. >From:     <B645ZAX@UTARLG.BITNET>
40. >I would like to suggest the formation of another list...
41. >...  Readers: What do you think?
42.  
43. Not much. Personally, I *much* prefer having information available
44. quickly from a centralized location, not spread over
45. Gxx-knows-how-many separate lists.
46.  
47. >- -David Richardson
48.  
49. *******************************************************************************
50. * A CONFIDENTIAL COMMUNICATION FROM THE VIRTUAL DESK OF:                      *
51. *******************************************************************************
52. ...............................................................................
53. |W. K. "Bill" Gorman                 "Do             Foust Hall # 5           |
54. |PROFS System Administrator        SOMETHING,        Computer Services        |
55. |Central Michigan University      even if it's       Mt. Pleasant, MI 48858   |
56. |34AEJ7D@CMUVM.BITNET                wrong!"         (517) 774-3183           |
57. |_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_|
58. |Disclaimer: These opinions are guaranteed against defects in materials and   |
59. |workmanship for a period not to exceed transmission time.                    |
60. |.............................................................................|
61.  
62. ------------------------------
63.  
64. Date:         Thu, 05 Jan 89 12:32:40 CST
65. From:         DON STRUBE <MN002189@NDSUVM1.BITNET>
66. Subject:      re: copy protected disketts
67.  
68. I joined this list last week and have tried to come up-to-speed on the
69. conversations on this list by reading old digests.  I agree that the
70. copy protection thing has been beat to death and there still seems to
71. be a difference of opinion among the 'experts' writting to this list.
72. Since everything changes so fast in the world of computing I am sure
73. the correct response today will be incorrect next week anyway so lets
74. drop it and move forward.
75.  
76. ------------------------------
77.  
78. Date:         Thu, 05 Jan 89 17:02:04 EST
79. From:         Joe McMahon <XRJDM@SCFVM.BITNET>
80. Subject:      Getting Mac Anti-viral Files
81.  
82. Would the person who sent me mail asking about the anti-virals here at
83. SCFVM please send me another message? Your message was misaddressed,
84. and forwarded to me by the postmaster without a reply-to field.
85. Thanks.  To all who are not concerned, sorry.
86.  
87. - --- Joe M.
88.  
89. ------------------------------
90.  
91. Date:    5-JAN-1989 19:38:09.58
92. From:   <FASTEDDY@DFTBIT.BITNET>
93. Subject: Clarificaton/More on the Father Christmas Worm (VAX/VMS)
94. Comments: BSMTP envelope created by ENVELOPE.COM version T1.0
95.  
96. Greetings,
97.  
98. What I found disturbing about the recent outbreak of "Father
99. Christmas" worm (a.k.a. HI.COM) was that some of the techniques used
100. in the "Internet worm" were duplicated in HI.COM.
101.  
102. One point where HI.COM looked like the "Internet worm" was causing the
103. source program to "disappear". This was accomplished by copying the
104. entire program into a DCL symbol array and then deleting the disk copy
105. of the program.  The program continued to execute since it had been
106. loaded and running already, and when it wanted to propagate to another
107. node it just dumped the symbol array.  The result was that you could
108. not observe (by using SHOW DEVICE/FILES) what the command procedure
109. was even though it was executing.  This made getting a copy of the
110. procedure and deciphering it difficult.
111.  
112. A second "lookalike" feature is that it moved through the network very
113. rapidly, and thus attracted attention quickly.  Infection attempts
114. were hitting my machine on the order of 3 or 4 tries every 5 minutes.
115. We run a homebrew network alarm package called NETINFO which told us
116. the type of attempt, and where it was coming from.  After the 8th file
117. transfer attempt in as many minutes I got curious and started looking.
118. If the program hadn't been so voracious, it might not have had
119. attracted so much attention on the beginning of a holiday weekend.
120.  
121. Anyhow, I am a new subscriber to VIRUS-L and I saw a few bits and
122. pieces in the digest (8901A) that ought to be "fleshed out".
123.  
124. Networks affected by the worm: Any DECnet network directly connected
125. to SPAN (The NASA Space Physics Analysis Network) or HEPnet (DOE -
126. High Energy Physics Network) was subject to infection. I have not
127. heard of any infections in THEnet, CCnet or Easynet at this time.  The
128. method of transmission was by DECnet on VMS systems only.
129.  
130. The process name used by the worm was "MAIL_178DC".  This was intended
131. to disguise the worm as a DECnet mail delivery process.  However, the
132. worm did not connect to another DECnet mail delivery process on a
133. remote node. Instead it connected to FAL, which is the file transfer
134. process.  This information is available from the command MCR NCP SHOW
135. KNOWN LINKS and is one way to distinguish the worm from a real MAIL
136. transfer process.
137.  
138. The short term fix that was proposed here at NASA/GSFC was to disable
139. the DECnet object that runs command procedures on remote nodes.  This
140. object is known as TASK or Object number 0.
141.  
142. Currently, it appears that the best long term fix without seriously
143. limiting DECnet functionality is to use a separate FAL (File transfer)
144. account.  A model FAL account can be found in the VAX/VMS Guide To
145. System Security.  Another proposed improvement would be to stop using
146. the default account/password of DECNET/DECNET for network
147. default-access accounts.  Finally, the worm needed to run AUTHORIZE,
148. which is system utility that users (both local and remote) should be
149. prevented from using.
150.  
151. Brian Lev who provided some of the information in the messages from
152. Steve Goldstein (goldstein@nsipo.nasa.gov) works for the Advanced Data
153. Flow Technology Office (Not CSDR) at NASA/Goddard Space Flight Center.
154. He can be contacted at LEV@DFTBIT.BITNET or LEV@DFTNIC.GSFC.NASA.GOV.
155. His counterpart at CSDR who snagged the copy of the worm posted to
156. VIRUS-L was me (John McMahon), I can be contacted at
157. FASTEDDY@DFTBIT.BITNET or FASTEDDY@DFTNIC.GSFC.NASA.GOV.
158.  
159. Since I will be giving a talk on the "Father Christmas" worm on Friday
160. the 13th (ominous, isn't it), I would be interested in any information
161. on it that hasn't already been shipped through VIRUS-L.  I am
162. especially interested in any proposed fixes that haven't been
163. mentioned, and also details on how widespread the worm was.  Thank you
164. very much, and Happy New Year!
165.  
166. John "Fast-Eddie" McMahon
167. ST Systems Corporation
168. Advanced Data Flow Technology Office - Code 630.4
169. Formerly COBE Science Data Room - Code 401.1
170. NASA Goddard Space Flight Center, Greenbelt, Maryland 20771
171.  
172. Bitnet:         FASTEDDY@DFTBIT  (old: FASTEDDY@IAFBIT)
173. Arpa:           FASTEDDY@DFTNIC.GSFC.NASA.GOV
174. Span:           SDCDCL::FASTEDDY (Node 6.9)
175.  
176. ------------------------------
177.  
178. Date:     Thu,  5 Jan 89 22:43 EST
179. From:     Dimitri Vulis <DLV@CUNYVMS1.BITNET>
180. Subject:  Brain and the boot sequence (PC)
181.  
182. There seems to be some confusion concerning which part of boot logic
183. lives in ROM BIOS and which in the boot record (aka IPL record).
184. Indeed, the boot sequence (aka IPL sequence) is non-trivial on a PC.
185. Here's the story (valid for most IBM compatible BIOSes):
186.  
187. When the machine is reset (turned on, ctl-alt-del pressed, reset pin
188. tweaked, etc), the control passes to certain model-dependent ROM BIOS
189. routine that tests and resets various attachments (serial ports,
190. parallel ports, video card, etc); resets all interrupt vectors to ROM
191. routines; and also scans memory space for other valid ROMs, and if
192. they are found, calls an initialization procedure in each such ROM
193. (following a convention). Finally, it invokes INT 19.
194.  
195. (Note that INT 19 can only be invoked safely if you are certain that
196. all interrupts point to ROM. Don't issue it after you load some OS
197. code that redirects _any_ vector. This interrupt is for BIOS use
198. only.)
199.  
200. Now, if your machine has ROM on a hard disk controller, or a network
201. adapter, then it would intercept INT 19, and I'll deal with this
202. shortly. Similarly, if you have an EGA adapter, its ROM intercepts INT
203. 10 (video), etc.
204.  
205. Suppose now, you are booting a plain vanilla PC, with no hard disk or
206. network card, from a floppy; this is the configuration most
207. susceptible to a boot sector virus. (On an IBM PC, the code for such
208. vanilla INT 19 routine is on page 5-49.) _All_the_code_does_is issue
209. INT 13 to read in a single sector from the A-disk (sector 1, track 0,
210. side 0) into memory location 0:7C00 and jump there. If it fails after
211. a few re-tries (e.g. no disk in drive A:) it goes into cassette BASIC.
212. Compatibles with no BASIC in ROM behave differently; some try ad
213. infinitum, some halt. NOTE: the message `Non-system disk' does not
214. originate here yet! I'll refer to the code just read as the `OS boot
215. record'.
216.  
217. If you have a separate hard disk ROM (this is slightly different on
218. `newer' machines, where hard disk BIOS is part of the `regular' BIOS),
219. it intercepts INT 19 (as well as INT 13 to interpret hard disk calls),
220. and when it's finally issued, it first tries to read from the floppy
221. (just like vanilla) and if that fails, it tries to read a `BIOS boot
222. record' from the hard disk (sector 1, track 0, head 0). If that too
223. fails (and it should not) it halts, or goes to BASIC, as above; if it
224. succeeds, it jumps to the BIOS boot record. The latter contains the
225. so-called `partition table', useful if you want to share the disk
226. between DOS and Unix, say, as well as some executable code to
227. interpret the table, find the `active' partition, read the OS boot
228. record from the first sector of that partition into 0:7c00 and jump
229. there. (This sector, by the way, is an ideal place for a worm, and
230. I've seen bad ones there.)
231.  
232. If you have a network adopter, then INT 19 does a `remote boot' and
233. the OS boot sector is read from a different machine on the network. We
234. will ignore this case, since the remote device is hopefully read-only
235. and no virus can spread that way.
236.  
237. So, we've reached the stage when the OS boot sector is in memory at
238. 0:7C00 and we start executing it. _If_ the boot record is the vanilla
239. MS/PC-DOS boot record, then the code does the following (trivially
240. speaking): it read in the beginning of the directory and checks that
241. the first 2 files are IBMBIO.COM and IBMDOS.COM (for PC-DOS) or IO.SYS
242. and MSDOS.SYS (for generic MS-DOS). If they are not, it displays (via
243. INT 10) the message: `Non-system disk or disk error, replace, strike
244. any key when ready', waits for a keystroke and does INT 19 again. Of
245. course, it's trivial to replace this message by anything you like,
246. including a German one, and ROM BIOS has nothing to do with this.
247.  
248. If these files are there, it reads (using INT 13) the first one (DOS
249. low-level routines, _not_ BIOS---BIOS is in ROM!) into memory, usually
250. at 70:0, and jumps there. IBMBIO.COM then loads the rest of DOS. The
251. reason for all the arithmetic is that the boot record is the same on
252. different devices, so some logic is needed to compute the position of
253. IBMBIO.COM and the directory using the BPB table, also contained in
254. the boot record, that gives the number of sectors per track, etc. (INT
255. 13 is pretty low-level, that's why this logic is needed.)
256.  
257. There are two ways the OS boot record normally gets (over)written: by
258. FORMAT command, and by SYS command. That's why many (commercial)
259. distribution (floppy) disks come with a boot record that does not even
260. check for IBMDOS.COM, but says immediately something like `This is XYZ
261. software, if you want to make this disk bootable, use the SYS command,
262. now insert your DOS disk and strike any key.'  This is a valid thing
263. to do, because if you SYS'd, the original boot record would be
264. replaced by the DOS one.
265.  
266. Suppose now that you are booting from a Brain-infected disk (not
267. necessarily having IBMBIO.COM and IBMDOS.COM!). (The following
268. description is approximate and may vary with version.) The very first
269. thing the `shoe record' does is read in the additional sectors, masked
270. as `bad sectors' (since all this logic would not fit in a single
271. sector) into high memory. and jumps there. It then decrements the word
272. in low memory that's set by the BIOS diagnostics routine to the amount
273. of RAM available to DOS, so DOS won't attempt to touch that memory.
274.  
275. It intercepts INT 13 (disk access) and replaces it by a code that
276. infects floppies whenever they are accessed via INT 13. (`Infecting'
277. involves marking sectors as bad in FAT, and writing a copy of the
278. virus code from high memory to those sectors, as well as to the boot
279. sector.) _But_ this only works with the (most common) 5.25" DS/DD
280. disks, not enough logic is there to handle other formats. Only after
281. that it passes the control to the original boot sector code.
282.  
283. The latter attempts to find IBMBIO.COM and if it fails, it displays a
284. message and waits for a keystroke, as above. But INT 13 is intercepted
285. now! So, if you insert a bare (sans tab) DOS disk into A: and press
286. _any_ key, INT 19 will not change any interrupts, and will attempt to
287. read the boot sector via INT 13, infecting the new disk in the
288. process. (Here INT 19 does not halt the machine because DOS does not
289. know about the piece of RAM where the virus code is, so it does not
290. overwrite it.) If, however, you press ctl-alt-del, then the BIOS will
291. go through the whole diagnostics again and reset the vectors,
292. disabling the virus. (Virus code still sits in high RAM, but it never
293. gains control, and is overwritten by DOS shortly.)
294.  
295. To summarise, a failed boot from a non-bootable Brain-infected disk
296. will load the virus into memory and the machine will infect other
297. disks until the machine is properly reset.
298.  
299. - -----------------------------------------------------------------------------
300. Also: after I've delivered the final kick to the write-protect issue,
301. I got a long, rude, obnoxious, illiterate flame from one person whose
302. postings I quoted. Most of that trash is not worth quoting, but he
303. makes one valid point:
304. >(Hence the confusion, since I happen to beleive in the authanticity of
305. >messeges posted in the disgest).
306. Fascinating. An ignorant (not necessarily stupid) person makes a
307. statement that makes no sense. A stupid and ignorant person (quoted
308. above) picks it up, takes it seriously, and bothers his systems
309. people. This digest is highly authoritative; with this authority comes
310. responsibility. (I've said this before, so I should stop here.)
311.  
312. - -Dimitri
313.  
314. [Ed. I agree with your comments about the digest and all.  One
315. problem, though, who should be the one(s) to verify the authenticity
316. of messages sent to the digest?  Should I?  That would become a
317. full-time job in itself, and I already have a full-time job which
318. takes up more than enough of my time.  Do we have any volunteers?  I
319. feel that the best solution is to ask people submitting messages to
320. try to verify their own messages within reason, and for readers to be
321. able to reply to messages that they feel are incorrect.  After all,
322. isn't that one of the reasons for having a _discussion_ forum?
323. Comments and/or suggestions anyone?  I'm *very* open to suggestions
324. here.]
325.  
326. ------------------------------
327.  
328. Date:  Thu, 5 Jan 89 21:58 EST
329. From:  "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
330. Subject:  Re: creating government standards for software
331.  
332. I must second WHM's comments on the inadvisability of creating
333. government standards for software.  If anyone believes this is a good
334. thing, please forward me the consensus view of the community of what
335. those standards should be.  Anyway, I think the more traditional way
336. the "government" may play in these matters is thru judicial actions
337. against the manufacturers.  Personally, I am all for private citizen's
338. using their ability to influence the market thru their actions
339. (refusing to buy manufacturer "x"'s software) to promote such
340. "standards."
341.  
342. Joseph
343.  
344. ------------------------------
345.  
346. End of VIRUS-L Digest
347. *********************
348. Downloaded From P-80 International Information Systems 304-744-2253
349.