home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.117 < prev    next >
Text File  |  1995-01-03  |  11KB  |  245 lines

  1. VIRUS-L Digest             Tuesday, 16 May 1989        Volume 2 : Issue 117
  2.  
  3. Today's Topics:
  4. re: PC Virus List
  5. Re: Macintosh virus query
  6. blown floppy disk (PC)
  7. Re: Virus-proof PC
  8. re: The only good virus is a dead one
  9. Virus in data files (MAC)
  10.  
  11. ---------------------------------------------------------------------------
  12.  
  13. Date:    16 May 1989, 13:05:24 EDT
  14. From:    David M. Chess  <CHESS@YKTVMV.BITNET>
  15. Subject: re: PC Virus List
  16.  
  17. Nice list!   A couple of notes:
  18.  
  19. - - I suspect that the "Vienna" (number 5, characteristic size 648)
  20.   is exectly the same virus as the "DOS-62" (number 10).  It sounds
  21.   that way from Jim Goodwin's list, anyway; the sample that I have
  22.   grows COM files by 648 bytes (like the "Vienna") and overlays
  23.   victims with reboot code one time in eight (like the "DOS-62").
  24.   So I'd suggest that they're the same code, unless there's
  25.   evidence otherwise.
  26.  
  27. - - There are in fact two variants of the "DataCrime"; one makes
  28.   files bigger by 1280 bytes, and one makes them bigger by 1168.
  29.   They seem to be functionally identical; the differences are
  30.   just slightly tighter coding, and not saving some uninitialized
  31.   scratch areas.
  32.  
  33. I'd be interested in more info on the "Nichols"; I've seen the
  34. name here and there, but never a real description.
  35.  
  36. I'd also be interested in a complete set of descriptions of
  37. all these, of course!   *8)
  38.  
  39. DC
  40.  
  41. ------------------------------
  42.  
  43. Date: Tue, 16 May 89 10:42:04 PDT
  44. From: dplatt@coherent.com (Dave Platt)
  45. Subject: Re: Macintosh virus query
  46.  
  47. > Has there ever been a macintosh virus than is part of a document? The
  48. > macintosh has both data and resource forks. It would be interesting to
  49. > create a macwrite or MS-word document with the document in the data
  50. > fork and the virus as a code resource that is preloaded to override an
  51. > application code resource (the printing code comes to mind). This
  52. > would allow documents as well as applications to transfer the virus.
  53.  
  54. I've never heard of a virus that could successfully insert itself into
  55. a Mac document, and have the resulting document be infectious.
  56.  
  57. There's a reason for this.  Many Mac applications don't use the
  58. resource fork of their document files at all... all of the significant
  59. information is stored in the data fork.  Apple recommends against
  60. attempting to treat the Resource Manager as a database package (it
  61. bogs down, badly, if you try to load too many resources into a single
  62. file).
  63.  
  64. Some applications do store a limited amount of information in the
  65. resource fork of their documents.  Many text editors, for example,
  66. store font/point-size/tab-width information in the resource fork;
  67. there are some resource-types that have acquired "conventional uses"
  68. of this sort.
  69.  
  70. Opening the data fork of an file does _not_ automatically open the
  71. resource fork and make the resources available... this must be done
  72. separately.  In my experience, applications that store information in
  73. the resource forks of their documents usually don't keep this fork
  74. open for a long period of time... the resource forks are usually
  75. opened only for the amount of time that's needed to load the desired
  76. resources into memory, and are then closed.  When the resource fork is
  77. closed, any and all resources that had been loaded from the resource
  78. file will be purged, unless someone has issued a DetachResource() call
  79. to unlink them from the file.
  80.  
  81. Therefore, there's only a very narrow window in which a virus-resource
  82. in a document-file's resource fork could be loaded "by mistake".  The
  83. virus would have to masquerade as a portion of code that the
  84. application would execute _before_ the document file's resource fork
  85. was closed...  otherwise, the viral resource would be purged before it
  86. could ever be executed.
  87.  
  88. This is certainly possible... but I believe that the "window of
  89. vulnerability" is so small, and so application-specific, that a
  90. general-attack virus could not propagate itself effectively in this
  91. manner.
  92.  
  93. Also, most of the free and commercial virus-blocking INITs
  94. (GateKeeper, Vaccine, et al) would detect the attempt of a virus to
  95. write a CODE resource into a document, and would raise the alarm.
  96.  
  97. I do know of one Mac virus (ANTI) which can infest nonexecutable
  98. resource files (such as the Desktop file, the Scrapbook, and so
  99. forth), and into documents whose resource-forks are used by the
  100. applications that create them.  ANTI patches itself into the Resource
  101. Manager and injects a copy of its INIT into any resource-file that's
  102. opened by any application.  However, nonexecutable files containing
  103. this INIT are not themselves infectious... the INIT is never executed.
  104.  
  105. Dave Platt    FIDONET:  Dave Platt on 1:204/444    VOICE: (415) 493-8805
  106. UUCP: ...!{ames,sun,uunet}!coherent!dplatt  DOMAIN: dplatt@coherent.com
  107. INTERNET:   coherent!dplatt@ames.arpa,  ...@uunet.uu.net
  108. USNAIL: Coherent Thought Inc. 3350 West Bayshore #205 Palo Alto CA 94303
  109.  
  110. ------------------------------
  111.  
  112. Date:    Tue, 16 May 89 13:40:55 EDT
  113. From:    "W. K. (Bill) Gorman" <34AEJ7D@CMUVM.BITNET>
  114. Subject: blown floppy disk (PC)
  115.  
  116.      I have a 5-1/4" floppy disk under examination for possible virus
  117. damage, and have run into an interesting problem. The disk acts like
  118. it is totally unformatted; neither CHKDSK, RECOVER, the Norton stuff,
  119. or anything else seems to be able to access it. The result of this is
  120. that I cannot see anything about what has happened to the disk. What I
  121. need is a good pd or shareware sector editor that can get at the
  122. absolute sectors w/o trying to read the directory (or else a
  123. reasonably cheap commercial one), although I am not sure that will do
  124. any good, since I cannot write to the disk (no, it is not write
  125. protected) either.
  126.      Perhaps a little history is in order. The disk was obtained from
  127. a student employee in one of our administrative offices. My initial
  128. response was to suspect that the disk had been mistreated in some way,
  129. resulting in a total erasure of all data and format information. Both
  130. the student and his boss, however, insist that the failure occurred
  131. spontaneously while using the disk, and that it has happened more than
  132. once. Suspicious, IMHO. I could format the disk and probably make it
  133. useful again, but that would defeat the purpose of my investigations.
  134. I repeat, I am *not* certain that this is a virus case, but I
  135. definitely would like to find out what happened to this disk (and
  136. recover the student's files, just to be a nice guy (!) in the
  137. process). Since we are currently awash in nVIR, SCORES, and
  138. gawd-knows-what-else, I think an investigation of this problem is a
  139. reasonable approach.
  140.      Suggestions? Comments? Flames? Nasty notes?  :-)
  141.  
  142. .........................................................................
  143. |W. K. "Bill" Gorman                              Foust Hall # 5        |
  144. |PROFS System Administrator   E-Mail & Message    Computer Services     |
  145. |Central Michigan University Encryption/Security  Mt. Pleasant, MI 48859|
  146. |34AEJ7D@CMUVM.BITNET       Virus Countermeasures (517) 774-3183        |
  147. |_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_|
  148. These comments reflect personal opinions held at the time this was written.
  149. Copyright (C) 1989 W. K. Gorman. All rights reserved.
  150.  
  151. ------------------------------
  152.  
  153. Date:    16 May 89 14:20:00 EST
  154. From:    "BARRY NEWTON" <newton@enh.nist.gov>
  155. Subject: Re: Virus-proof PC
  156.  
  157. The only ways I can imagine to implement a "virus-proof" PC involve
  158. marking executables with some sort of authorization signature or
  159. placing them on a list of authorized programs.  Either activity is
  160. probably too much overhead for most organizations.
  161.  
  162. If the authorization process is centrally controlled, users will
  163. revolt and defeat it.  If it is not centrally controlled, it would be
  164. totally useless.
  165.  
  166. Barry Newton
  167. National Institute of Standards and
  168. Technology (Which is neither aware of nor interested
  169. in my opinions expressed here)
  170.  
  171. ------------------------------
  172.  
  173. Date:    Tue, 16 May 89 20:05:02 BST
  174. From:    Neil Youngman <nyo@CS.EXETER.AC.UK>
  175. Subject: re: The only good virus is a dead one
  176.  
  177. >From:    well!odawa@lll-winken.llnl.gov (Michael Odawa)
  178. >In VIRUS-L 2-112, Allan Pratt mentioned the possibility of back door
  179. >neutralizers and other methods of disarming a potentially "beneficial"
  180. >virus which might unintentionally run amuck, contending,
  181. >
  182. >> you can deliberately code in an easy way to kill the thing, such as the
  183. >> presence of a file with a certain name, or a certain magic number in a
  184. >> cookie someplace in RAM.
  185.  
  186. To add my few pence worth:
  187.  
  188. 1: How many of these things are there going to be? I could need
  189. hundreds of "antibody" files or magic numbers in RAM locations that
  190. might have other uses.
  191.  
  192. 2. What if there's a bug in the self-destruct test?
  193.  
  194. 3. What about people who don't know how to kill it?
  195.  
  196. 4. What about mistakes like the INTERNET worm? If you are going to
  197. test it there might be problems with it spreading in an unexpected
  198. fashion. (God forbid the release of an untested version).
  199.  
  200. >The only good virus is a dead one.
  201.  
  202. Very true.
  203.  
  204. >Michael Odawa
  205.  
  206. Neil Youngman, Computer Science Dept, Exeter University,
  207. Prince of Wales Road, Exeter, Devon, EX4 4PT, UK.
  208.         UUCP:   nyo@expya.uucp          JANET:  nyo@uk.ac.exeter.cs
  209. "The lights are on but Mr Brain is not at home!"
  210.  
  211. ------------------------------
  212.  
  213. Date:    Tue, 16 May 89 14:37:43 EDT
  214. From:    dmg@mwunix.mitre.org
  215. Subject: Virus in data files (MAC)
  216.  
  217. In a recent Virus-L (May 15), Emil Rainero
  218. (rocksanne!rainero@cs.rochester.edu) raises the possibility of a virus
  219. hiding in the resource fork of a data file.
  220.  
  221. Generally, such a virus would not be very successful at propogating,
  222. if this were the lone method of propogation (using the resource fork
  223. of data files).  Information in resource forks are generally not
  224. executed.  There is (however) a notable exception to this.
  225.  
  226. INITs, cdevs, and the like are "data" files; they contain no CODE
  227. resources that make an application an application.  Conceivably, they
  228. could be used to spread a virus as the information in the
  229. INIT/cdev/... is executed at system startup if the file is in the
  230. system folder.  The INIT 29 virus makes use of this.  It will infect
  231. the resource fork of data files, and should such a data file reside in
  232. the system folder, the virus will be executed from the data file when
  233. the system is next started.
  234.  
  235. David Gursky
  236. Member of the Technical Staff, W-143
  237. Special Projects Department
  238. The MITRE Corporation
  239.  
  240. ------------------------------
  241.  
  242. End of VIRUS-L Digest
  243. *********************
  244. Downloaded From P-80 International Information Systems 304-744-2253
  245.