home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.162

< prev

next >

Wrap

Text File  |  1995-01-03  |  15KB  |  333 lines

---

1. VIRUS-L Digest   Thursday, 27 Jul 1989    Volume 2 : Issue 162
2.  
3. Today's Topics:
4.  
5. Saratoga and Icelandic viruses (PC)
6. National virus research centres
7. Ashar variant of Brain virus (PC)
8. Robert T. Morris, Jr. indicted for Internet Worm
9.  
10. ---------------------------------------------------------------------------
11.  
12. Date:    Thu, 27 Jul 89 09:55:50 -0000
13. From:    David.J.Ferbrache <davidf@CS.HW.AC.UK>
14. Subject: Saratoga and Icelandic viruses (PC)
15.  
16. Message forwarded for BCVRC,
17.  
18. I have recently received copies of two viruses, referred to as the
19. "Saratoga" virus and the "Icelandic" virus.  They are clearly minor
20. variants of the same program, and the evidence is that the Saratoga virus
21. was observed and collected in California some months previous to the
22. appearance of the Icelandic.  For this reason I shall refer to the latter
23. as the Icelandic variant of the Saratoga virus.
24.  
25. The actual differences are three:
26.  
27.      1.   The Icelandic variant has five extra lines of code which check
28.           the segment of the Int 13H vector.  The virus is only installed
29.           if this segment is that of the BIOS (0F000H) or of DOS (0700H).
30.           This is obviously an ill-considered addition as, if this vector
31.           had not been taken over by DOS, this test would preclude any
32.           machine with a hard disk (the target of the virus).
33.  
34.      2.   The four-byte signature on the Saratoga virus is "PooT".  This
35.           has been changed to the hex string 18 44 19 5F in the variant.
36.  
37.      3.   The infection count has been changed from one in two to one in
38.           ten in the variant.
39.  
40. The procedure of making the host program an exact number of paragraphs
41. (divisible by sixteen) before infection is not unique to this virus, it is
42. a normal and necessary characteristic of any virus which infects EXE files.
43.  
44. The infective length of the virus is 642 bytes, or 656 for the variant, but
45. this length will appear to vary because of the above-mentioned rounding up
46. of the length of the host program.
47.  
48. Although I can find no errors in the code to explain it, I have not been
49. able to induce either version to mark a cluster as bad on a 32 meg hard
50. disk.
51.  
52.          Joe Hirst
53.          British  Computer  Virus  Research  Centre
54.          12 Guildford Street               Brighton
55.          East Sussex        BN1 3LS         England
56.          Telephone:    Domestic          0273-26105
57.                        International  +44-273-26105
58.  
59.  
60. ------------------------------
61.  
62. Date:    Thu, 27 Jul 89 09:56:25 -0000
63. From:    David.J.Ferbrache <davidf@CS.HW.AC.UK>
64. Subject: National virus research centres
65.  
66. Message forwarded for BCVRC,
67.  
68.  
69.                            Virus Research Centres.
70.  
71. There is a need for research centres in the computer virus field, organised
72. on a national or sub-national basis and with international links with other
73. such centres.  These centres will:
74.  
75.     Collect and catalogue viruses.
76.  
77.     Disassemble and otherwise analyze viruses.
78.  
79.     Disseminate information and, where appropriate, viruses and
80.     disassemblies to other researchers nationally.
81.  
82.     Disseminate information, viruses and disassemblies to researchers at
83.     other centres internationally.
84.  
85.     Disseminate information from other centres where appropriate.
86.  
87.     Produce various support programs.
88.  
89. It is recognised that many of the researchers associated with these centres
90. will be writing anti-virus software commercially, but this should not
91. preclude the free exchange of such information.
92.  
93. Each centre must make its own decisions about funding and charges nationally,
94. but it is not expected that centres will charge other centres.
95.  
96. A complex international structure is unnecessary, all that is needed is that
97. each centre:
98.  
99.     Recognise other centres.
100.  
101.     Respond positively to requests for information and samples from other
102.     centres.
103.  
104.     Take the initiative in distributing samples to other centres when new
105.     viruses or variations appear.
106.  
107. Any individual or group who is interested in participating, either nationally
108. or internationally, and who feels qualified to do so, is invited to contact
109. the author.
110.  
111.                  The British Computer Virus Research Centre.
112.  
113. It was hoped that CoTRA (the Computer Threat Research Association) would
114. fulfil the role as outlined above for Britain.  This now seems unlikely and
115. undesirable for a number of reasons which would be out of place in this
116. document.
117.  
118. Accordingly the British Computer Virus Research Centre has been founded.  We
119. intend to specialise in high quality virus disassemblies, and in virus
120. simulation programs.
121.  
122. The simulation programs make it possible to demonstrate the non-infective
123. features of viruses without either infecting a machine or giving a virus to a
124. possibly inexperienced user.
125.  
126. Our aim will be to produce disassemblies which cannot be improved upon.  In
127. practical terms this is probably impossible, and we will never accept that
128. any particular disassembly cannot be improved.
129.  
130. We will always be interested to see disassemblies done by other researchers,
131. but it is our practice to do our own disassembly first.
132.  
133. >From time to time we will issue descriptive lists of viruses in our
134. possession, and we welcome samples of viruses which are not on this lists, or
135. differ in any way.  Such samples should ideally consist of an infected file
136. (for Parasitic viruses) or disk (for Boot viruses).
137.  
138.          Joe Hirst
139.          British  Computer  Virus  Research  Centre
140.          12 Guildford Street               Brighton
141.          East Sussex        BN1 3LS         England
142.          Telephone:    Domestic          0273-26105
143.                        International  +44-273-26105
144.  
145. ------------------------------
146.  
147. Date:    Thu, 27 Jul 89 09:55:01 -0000
148. From:    David.J.Ferbrache <davidf@CS.HW.AC.UK>
149. Subject: Ashar variant of Brain virus (PC)
150.  
151. Message forwarded for the BCVRC,
152.  
153. I have now had an opportunity to examine the version of Brain which Alan
154. Solomon refers to as 'Ashar'.
155.  
156. The differences are not sufficient to warrant a new name, and the further
157. confusion (in an already confused field) that this would create.  This IS
158. Brain, but a version which creates a different label on a disk.
159.  
160.                         Description of differences.
161.  
162. The assumption is made in this description that the version which produces
163. a label of ' (c) ashar ' is the changed version.  This assumption has been
164. made purely to aid description, although I hope to show that this is the
165. more valid conclusion.
166.  
167. The actual differences within the code are:
168.  
169.      1.   In three different places the code to initialise the disk
170.           sub-system is done before attempting to read or write instead of
171.           after an error has occurred.
172.  
173.      2.   The code to divert a read of the boot sector to the stored copy
174.           is no longer present.
175.  
176.      3.   The very complex routine to create the volume label is no longer
177.           present, and a much simpler routine is in its place which creates
178.           the label ' (c) ashar '.
179.  
180.      4.   The search of directory entry starts with the first entry and
181.           includes all of them, instead of starting with the third and not
182.           including the last two.
183.  
184.      5.   The search for free clusters starts with cluster 2 (the first)
185.           instead of with cluster 55.
186.  
187. There are other differences, but these are trivial (e.g. a switch no longer
188. exists).
189.  
190. Other differences are in embedded but unreferenced text strings:
191.  
192.      1.   The primary text string on the boot sector is different in two
193.           places, although we already have other variations for one of
194.           these.  This text string in the closest previous version read:
195.  
196.              DB      'Welcome to the  Dungeon         (c) 1986 D.C.L', 17H, '&'
197.              DB      ' Amjads (pvt) Ltd   VIRUS_SHOE  RECORD   v9.0   '
198.              DB      'Dedicated to the dynamic memories of millions of'
199.              DB      ' virus who are no longer with us today - Thanks '
200.              DB      'GOODNESS!!       BEWARE OF THE er..VIRUS  : \thi'
201.              DB      's program is catching      program follows after'
202.              DB      ' these messeges..... $#@%$@!! '
203.  
204.           The first two lines of this now read:
205.  
206.              DB      'Welcome to the  Dungeon         (c) 1986 ashar &'
207.              DB      ' ashars (pvt) Ltd   VIRUS_SHOE  RECORD          '
208.  
209.      2.   In two different locations the string:
210.  
211.              DB      '(c) 1986 Brain & Amjads (pvt) Ltd '
212.  
213.           has been changed to:
214.  
215.              DB      '(c) 1986 ashar & ashars (pvt) Ltd '
216.  
217.           The locations are offset 202H and 355H, although the second
218.           offset becomes 305H in the modified version.
219.  
220.      3.   The string ' (c) Brain $' at offset 4A6H has been removed.
221.  
222. Finally there are minor differences in unreferenced area which appear to be
223. random rubbish (e.g. the area at the end of the first sector).
224.  
225.                               Interpretation.
226.  
227. It is fruitless to speculate about whether the 'VIRUS_SHOE' version or the
228. 'telephone number' version is the earlier or original one.  Even a
229. confession by the author of the virus would now be suspect.  Certainly the
230. popular story of the origin of this virus has all the hallmarks of a modern
231. fantasy, and can be discounted as irrelevant.
232.  
233. I shall consider only whether this version is a rewrite of the 'VIRUS_SHOE'
234. version, or vice versa as suggested by Alan Solomon.
235.  
236. None of the evidence is conclusive, but such indications as there are
237. clearly suggest that what we have is a new modification.
238.  
239. The changes to the unreferenced strings do not include a change to the
240. lengths, although one of these is now in a different location.  This
241. suggests that these changes were made separately to the virus via a disk
242. editor, before the virus was disassembled to make the other changes.
243.  
244. Initialising the disk sub-system before attempting to read or write is the
245. more orthodox practice.  A conventional programmer might well wish to
246. conform to 'standard', but it is difficult to believe that a programmer
247. would bother to change this to the alternative method.
248.  
249. If a pseudo company name is to be created, implying two brothers (or other
250. close family tie), the probable result would be 'ashar & ashar'.  The most
251. feasible explanation for the final 's' is that it was already there, and
252. therefore easier to leave as 'ashar & ashars'.  This is consistent with
253. this change having been done before disassembly.
254.  
255. Similarly, the spacing in the 'VIRUS_SHOE' version around the sub-string
256. 'v9.0' is too consistent for it to be a later addition - particularly as
257. there is no apparent reason for the corresponding gap in the 'ashar'
258. version.
259.  
260. The rest of the changes are tied together.  The Brain virus is filled with
261. misdirection concerning the volume label.  The embedded string at offset
262. 4A6H appears to be the label as used.  Changing it will not affect the
263. virus.  The next thing a close examination might reveal is the encrypted
264. ' (c) ashar ' immediately before the other string.  This is obviously not
265. the label either.  I have seen a number of otherwise competent programmers
266. foxed by the actual label routine.  The label is embedded in code which is
267. executed, but does very little, before it is used as data.  It is my belief
268. that having been disappointed twice, and having failed to discover the
269. label, the programmer ripped out everything he (or she) did not understand.
270. This included the redirection of the read to the boot sector, and the way
271. that room has been left for the DOS system files in both the FAT and the
272. directory.
273.  
274.          Joe Hirst
275.          British  Computer  Virus  Research  Centre
276.          12 Guildford Street               Brighton
277.          East Sussex        BN1 3LS         England
278.          Telephone:    Domestic          0273-26105
279.                        International  +44-273-26105
280.  
281.  
282. ------------------------------
283.  
284. Date:    Thu, 27 Jul 89 09:04:28 -0400
285. From:    Kenneth R. van Wyk <krvw@SEI.CMU.EDU>
286. Subject: Robert T. Morris, Jr. indicted for Internet Worm
287.  
288. Forwarded from various lists:
289.  
290. By James Rowley
291. Associated Press Writer
292.  
293.         WASHINGTON (AP)  A Cornell University  graduate student blamed
294. for a rogue computer program that infected as  many as 6,000 computers
295. with an electronic virus was indicted today on a felony computer-crime
296. charge.
297.         Robert Tappan Morris  was indicted by a  federal grand jury in
298. Syracuse,  N.Y.,  on one count  of accessing without authorization  at
299. least six computers in which the federal government has an interest.
300.         Morris, who has   been  criticized by  a  Cornell   University
301. commission that investigated last  November's computer virus incident,
302. is the first person  to be charged under the  Computer Fraud and Abuse
303. Act of 1986, the Justice Department said in a statement released here.
304.         Morris,  who is on leave  from  Cornell, could face a possible
305. five-year sentence and a $250,000 fine if convicted of the charge.  He
306. could also be required to pay restitution to universities and military
307. bases where computers were paralyzed by the virus.
308.         Morris has told friends he created the virus but didn't intend
309. for it to invade  computers around  the country. The virus infected as
310. many  as  6,000 university and  military   computers on the nationwide
311. ARPANET     network, which  is  used    by  universities and  military
312. contractors to transmit non-classified data.
313.         The network was virtually shut down for several days, although
314. no information stored in computers was lost.
315.         The indictment charged that Morris ``intentionally and without
316. authorization''  accessed  computers  located at  the   University  of
317. California   at Berkeley;   the    National   Aeronautics   and  Space
318. Administration in Moffett   Field, Calif.; Purdue  University  in West
319. Lafayette,  Ind.;  the  U.S.  Air  Force  Logistics Command at  Wright
320. Patterson Air Force Base in Dayton, Ohio, and others not specified.
321.         By    accessing   these   computers,  Morris  ``prevented  the
322. authorized use of one or more of these  federal interest computers and
323. thereby caused a loss to one or more others'' of more than $1,000, the
324. indictment charged.
325.         The indictment did not specify  how much damage was caused  by
326. the computer virus.
327.  
328. ------------------------------
329.  
330. End of VIRUS-L Digest
331. *********************
332. Downloaded From P-80 International Information Systems 304-744-2253
333.