home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.195

< prev

next >

Wrap

Text File  |  1995-01-03  |  16KB  |  350 lines

---

1. VIRUS-L Digest   Tuesday, 19 Sep 1989    Volume 2 : Issue 195
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Article on Datacrime virus
17. re: Iceland/Saratoga viruses (PC)
18. October 12/13 (PC)
19. VirusDetective questions (Mac)
20. Re: Virus? or what? (PC)
21. TYPO vs. Ping-Pong (PC)
22. More on October 13 virus (PC)
23.  
24. ---------------------------------------------------------------------------
25.  
26. Date:    Mon, 18 Sep 89 08:23:21 -0400
27. From:    "Bruce Guthrie" <BGU%NIHCU.BITNET@VMA.CC.CMU.EDU>
28. Subject: Article on Datacrime virus
29.  
30.               "Computer Virus Sparks a User Scare"
31.   "Some Analysts Say the 'Friday the 13th' Fears Are Overblown"
32.                          by John Burgess
33.                Washington Post, Sep 17 1989, pg H3
34.  
35.      A computer "virus" that springs to life destructively on
36. Friday the 13th is on the loose, and across the country computer
37. users are rushing helter-skelter to protect their machines
38. against it.
39.      Yet, with fewer than 10 verified sightings in a country with
40. tens of millions of computers, some experts are saying the threat
41. is being absurdly overblown.
42.      "At this point, the panic seems to have been more
43. destructive than the virus itself," said Kenneth R. Van Wyk, a
44. security specialist at Carnegie-Mellon University's Software
45. Engineering Institute.  He has been taking 20 phone calls a day
46. for advice on the subject.
47.      Written as pranks or tools of sabotage, viruses are software
48. programs designed to spread surreptitiously through computer
49. interconnections and the exchange of the floppy magnetic storage
50. disks on which computer programs and data are recorded.
51.      Once introduced into a machine, they transmit their own
52. instructions to the computer, causing it to destroy data or
53. display a surprise message on the screen.
54.      The new one is known variously as the Datacrime, Columbus
55. Day, and Friday the 13th virus.  Aimed at IBM-compatible personal
56. computers, it is designed to lie dormant and unnoticed in a
57. machine until Oct. 13, a Friday, and then activate as soon as an
58. unwitting user turns on the machine and "executes" a program.
59. (Many computers have internal calendars that make such
60. date-activated instructions possible.)
61.      At that time, a message flashes on the screen:
62.  
63.                         DATACRIME VIRUS.
64.                      RELEASED 1 MARCH 1989.
65.  
66.      Simultaneously, the virus erases a section of the machine's
67. disk storage unit that serves as an index to the information on
68. the disk [the FAT].  People with something more than basic
69. technical knowledge can fix the problem and recover the data,
70. however.
71.      The federal government views viruses as a grave threat to
72. the nation's information systems and has set in motion special
73. programs to guard computers against them and to punish people who
74. introduce them.
75.      The phenomenon received widespread public attention last
76. fall, when a virus written by a Cornell University graduate
77. student swept through the federally supported Internet research
78. network, replicating itself automatically over and over and
79. temporarily tying up 6,000 machines in one day.
80.      The Datacrime virus, however, is targeted at computers that
81. for the most part are not linked in networks.
82.      And it comes at a time when publicity has led many users to
83. take the basic precautions of "safe computing," avoiding free
84. software that is posted on bulletin boards, where the viruses may
85. lurk, and using only programs that come in factory-sealed
86. containers.
87.      The Software Engineering Institute knows of fewer than 10
88. cases, Van Wyk said.
89.      International Business Machines Corp. said Thursday is it
90. not directly aware of any.  "If it was out there in any number,"
91. said Bill Vance, director of secure systems for IBM, "it would be
92. spreading and be more noticeable."  October 13, he said, is not
93. likely to be "a major event."
94.      At Centel Federal Systems of Reston, however, a different
95. mood prevails.  It has been operating a toll-free hotline on the
96. virus, with six people working full-time.  It has received more
97. than 1,000 calls, according to Tom Patterson, senior analyst for
98. security operations at the federal systems unit, which is owned
99. by independent telephone company Centel Corp. of Chicago.
100.      Patterson said he began working on the virus about five
101. weeks ago, after receiving a tip from an acquaintance in Europe
102. that hackers there were planning to modify an existing virus and,
103. by dialing up electronic bulletin boards across the Atlantic,
104. release it in this country.
105.      Subsequent investigation turned up specimens in this country
106. fitting the description he had received.  Patterson said he had
107. dissected a version of it and, in tests, found that it could
108. penetrate a number of software products that are supposed to keep
109. viruses out.  In recent days, he found one on the machines of a
110. Centel client.  "The virus is out there," Patterson said.  "It's
111. real."
112.      Also active in the campaign is John McAfee, a
113. virus-protection specialist based in Santa Clara, Calif., who
114. runs a bulletin board on which he offers anti-viral programs.
115. His phone line has been constantly busy in recent days.
116.      Concern has heightened with each new report of the virus in
117. the computer trade press and on at least one wire service, the
118. Associated Press, leading some security specialists to see the
119. panic as a self-fulfilling prophecy by the media.
120.      Others wonder whether companies that make anti-viral
121. products are not happy to see the scare being pumped up.
122.      "The more panicked people get," said Jude Franklin, general
123. manager of Planning Research Corp.'s technology division, "the
124. more people who have solutions are going to make money."
125.      For $25, which it says is necessary to cover the cost of a
126. disc, shipping, and handling, Centel is offering software written
127. by McAfee that searches for the virus.
128.      Patterson said Centel would be losing money on the discs [!]
129. but is doing it anyway.  "I'm not trying to hype this," he said.
130. "I'm working 20-hour days...  to get the word out."
131.  
132. ------------------------------
133.  
134. Date:    Mon, 18 Sep 89 11:44:14 -0400
135. From:    "Y. Radai" <RADAI1@HBUNOS.BITNET>
136. Subject: re: Iceland/Saratoga viruses (PC)
137.  
138.   David Chess writes:
139. >There seem to be three different viruses in this general family:
140. >
141. > - One is a resident EXE-file infector that infects every tenth
142. >   EXE file executed, and sometimes will mark a free cluster on a
143. >   hard disk as bad (the "damage" routine).  I've seen this one
144. >   called the "Saratoga 1".
145. > - The second ... is just like the first, except that it checks
146. >   the segment of the INT13 vector, and if it's not 0070 or F000,
147. >   it doesn't do anything.   I've seen this called the "Saratoga 2",
148. >   and also the "Icelandic Disk-Crunching virus" ....
149. > - The third differs from the first in that it bypasses INT21 ... and
150. >   doesn't have the "mark a cluster bad" code.  It doesn't have the
151. >   INT13 check that the second version does.   Fridrik Skulason calls
152. >   this, quite reasonably, the "Icelandic Virus, version 2".
153. >
154. >Does this check correctly with everyone?  ....
155.  
156.   The facts reported by David are correct, except that the first ver-
157. sion infects every *second* EXE file executed instead of every tenth
158. one.
159.  
160.   Btw, though it was originally reported that the Saratoga was disco-
161. vered "some months earlier" than the first Icelandic virus, it later
162. turned out that the Saratoga is actually a hack of Icelandic-1.
163.  
164.   Since I recently tried to clarify for myself the same question which
165. David raises, I can present the following table summarizing the main
166. differences between the versions:
167.  
168. Version:                  Saratoga       Icelandic-1       Icelandic-2
169.                           --------       -----------       -----------
170. File length increase(*):       642               656               632
171. Infects 1 file out of every      2                10                10
172. DOS services via interrupts?   Yes               Yes                No
173. Marks a cluster as bad?        Yes               Yes                No
174. Checks Int 13h Segment?         No               Yes                No
175. Signature(**):                PooT       18 44 19 5F       18 44 19 5F
176. First appearance:          July 89    June (Feb?) 89           July 89
177.  
178. (*)  The total length is rounded up to the next higher multiple of 16,
179. if necessary.  (This happens with *any* EXE-infecting virus.)
180. (**) This is the last 4 bytes of the virus (used to determine if a
181. file is already infected).
182.  
183.   I consider the bypassing of interrupts which Icelandic-2 performs
184. to be very significant.  I think ARC513.EXE (a hacked version of SEA's
185. ARC) also did this, but it was a Trojan, not a virus.  Among viruses,
186. I heard of a strain of the Jerusalem virus which infects by direct
187. BIOS access instead of by Int 21, though I'm not sure if that strain
188. ever spread publicly.  At least one version of the Vienna virus (not
189. the one in Ralf Burger's book) is worthy of mention here since it
190. overwrites 1 out of 8 files with code containing a far jump to the
191. BIOS initialization routine.  Have I forgotten any cases?
192.   The important thing about all this is that although the spreading of
193. such viruses has been predicted for a long time, the authors of most
194. monitoring programs, such as FluShot+, have either failed to find a
195. solution or have ignored these predictions entirely.  As far as I
196. know, there is only one program so far which can stop such viruses and
197. Trojans, and that is Fridrik Skulason's F-LOCK.  If anyone knows of
198. any other such program, I'd like to hear of it.
199.  
200.                                           Y. Radai
201.                                           Hebrew Univ. of Jerusalem
202.  
203. ------------------------------
204.  
205. Date:    Mon, 18 Sep 89 12:22:00 -0500
206. From:    Meesh <ACS1W@uhvax1.uh.edu>
207. Subject: October 12/13 (PC)
208.  
209. I'm the editor of our university's computing newletter.  I need to
210. know how users can detect the October 12/13 virus ahead of time.  Is
211. there a way at all?  I don't want to alarm users, but I feel they
212. should know about the possible existence of this problem.
213.  
214. Thanks.
215.  
216. [Ed. In VIRUS-L volume 2 issue 192, Charles M. Preston
217. <portal!cup.portal.com!cpreston@sun.com> states that a) Viruscan V36
218. can detect Datacrime and that b) Datacrime can be identified by the
219. hex string EB00B40ECD21B4 (1168 version) or 00568DB43005CD21 (1280
220. version).  Note that a hex string search can be done via the DEBUG 'S'
221. command (e.g., "S CS:100 FFFF hex_string" at the DEBUG prompt), if
222. my memory of MS-DOS is correct.]
223.  
224. Michelle Gardner
225. Coordinator, Information Services
226. Information Technology
227. University of Houston
228.  
229. ------------------------------
230.  
231. Date:    18 Sep 89 20:53:56 +0000
232. From:    awinterb@udenva.cair.du.edu (Richard Nixon)
233. Subject: VirusDetective questions (Mac)
234.  
235. Has anyone used VirusDetective for the Mac?  We've
236. used it, but it seems to detect viruses in files that
237. we doubt are affected.
238.  
239. How reliable is this bit of software?
240.  
241.                    ...!ncar!udenva!awinterb
242.                      or according to rumor
243.                         awinterb@du.edu
244.  
245. ------------------------------
246.  
247. Date:    Mon, 18 Sep 89 14:30:23 -0400
248. From:    dmg@retina.mitre.org (David Gursky)
249. Subject: Re: Virus? or what? (PC)
250.  
251. Interesting that a new virus ("3555") should show up so soon after the
252. stories about the alleged Datacrime attack, set for Oct. 13.,
253. especially one that has some resemblence to Datacrime.
254.  
255. BTW, the Washington Post ran an article on Computer Viruses in
256. yesterday's Business section.  Ken Van Wyk is quoted extensively,
257. which probably accounts for the article's general sanity (vis-a-vis
258. some "Sky is falling" type articles).
259.  
260. David Gursky
261.  
262. ------------------------------
263.  
264. Date:    Tue, 19 Sep 89 00:36:29 +0000
265. From:    frisk@rhi.hi.is (Fridrik Skulason)
266. Subject: TYPO vs. Ping-Pong (PC)
267.  
268. I just finished examining the Typo virus. This virus is rather new - it
269. was first detected in Israel this summer. It creates errors in printouts,
270. by (sometimes) replacing some characters or digits.
271.  
272.     (By the way - a surprisingly large number of viruses seems to have
273.     originated in Israel.  First to arrive were the two versions of the
274.     April 1. virus (sURIV 1.0 and sURIV 2.0) that later were merged into
275.     one virus, (sURIV 3.0) which evolved into the well-known Jerusalem
276.     virus (sUMsDos) variant. That virus was then used as a basis for the
277.     "Fu Manchu" virus.
278.  
279.     Later the two boot sector viruses, Typo and SWAP, arrived.
280.  
281.     Finally, just a few days ago a new virus, MIX1 was reported.
282.  
283. Anyhow - as has been reported before (Y. Radai and others) the TYPO virus
284. is closely related to the Ping-Pong or "Italian" virus, which is one of
285. the most common viruses around.
286.  
287. In fact, the viruses are so similar that some anti-virus programs even
288. identified Typo as the Italian virus. This is not so surprising, since the
289. boot sectors are almost identical. Almost - but not quite. The differences
290. between the boot sectors are:
291.  
292.     Some local variables have been moved. For example, the word
293.     containing the location of the original boot sector is now located
294.     two bytes earlier than before.
295.  
296.     The signature (two bytes that the virus uses to see if a diskette
297.     has already been infected) has been changed.
298.  
299.     The activation times have been changed. Ping-Pong had an "activation
300.     window" (a second or so long) every half hour. Typo will become
301.     active 112.5 seconds after power-on, and will stay active most of
302.     the time.
303.  
304. The major differences between the two viruses are in the other part of the
305. virus code, which is not stored in the boot sector, but in the cluster the
306. viruses mark as "bad" in the FAT.
307.  
308. Of course, there are quite a few interesting things the viruses have in
309. common.
310.  
311.     Typo contains the same "bug" as Ping-Pong does, that prevents it
312.     from working on '286 and '386 machines.
313.  
314.     It is possible to remove Typo with some programs designed to
315.     remove Ping-Pong.
316.  
317. Since the signature is stored in the same place on both viruses, it is
318. possible to inoculate diskettes against one of them, but not both.
319.  
320.          Fridrik Skulason          University of Iceland
321.          frisk@rhi.hi.is
322.  
323.           Guvf yvar vagragvbanyyl yrsg oynax .................
324.  
325. ------------------------------
326.  
327. Date:    19 Sep 89 08:42:00 +0700
328. From:    "Hartmut Haberland,03.1.5" <hartmut@jane.RUC.dk>
329. Subject: More on October 13 virus (PC)
330.  
331. Danish TV (Channel 2) had a brief report on the October 13 virus in
332. the evening news yesterday. It has obviously emerged at the Danish
333. Post Giro office in Copenhagen and created a lot of panic. The report
334. was the usual sort of journalists' blather, basically implying that
335. Viruses are God's punishment for pirate copying. Still, one gets
336. nervous. I'll take a backup of all harddisks here at Roskilde
337. University just before the date (something one should do anyway ...),
338. I mean in our department, but what else can one do? Please advise (I'm
339. following the newsletter, of course) ...
340.  
341. Hartmut Haberland
342. hartmut@jane.ruc.dk          or          RUCHH@NEUVM1 (on what some people
343.                      call Because It's There NET)
344.  
345. ------------------------------
346.  
347. End of VIRUS-L Digest
348. *********************
349. Downloaded From P-80 International Information Systems 304-744-2253
350.