home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.232

< prev

next >

Wrap

Text File  |  1995-01-03  |  13KB  |  323 lines

---

1. VIRUS-L Digest   Monday,  6 Nov 1989    Volume 2 : Issue 232
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Missing 200K Trojan Horse? (PC)
17. The Brain Virus (PC)
18. Virus List - Notes (Mac)
19. Digital signatures for virus protection
20. Re: Greg Gilbert's virus list (Mac)
21. Re: Identify Ashar Virus
22. Re: Identify Ashar Virus
23. Morris to be tried
24.  
25. ---------------------------------------------------------------------------
26.  
27. Date:    Fri, 03 Nov 89 14:03:35 -0500
28. From:    Peter Jaspers-Fayer <SOFPJF%UOGUELPH.BITNET@IBM1.CC.Lehigh.Edu>
29. Subject: Missing 200K Trojan Horse? (PC)
30.  
31.    I know this is probably not a virus (SCANV45 does not see anything),
32. but it DID seem to migrate from one PC to another.  What happened was
33. that someone called me saying that they were missing about 200K of RAM,
34. even after disabling CONFIG.SYS & AUTOEXEC.BAT.  He reported that
35. re-SYS-ing the HD fixed the problem, and we closed it... But then someone
36. (who had been trading CD-ROM software with the 1st guy) complained about
37. exactly the same symptoms.  I managed to grab a copy of the DOS startup
38. files, and found only ONE difference between the IBMDOS.COM on their HD
39. and the one on the original DOS 3.1 diskette.  3 bytes were changed.
40. DEBUG output follows:
41.  
42. - -N IBMDOS.HD  * This is the hidden file Ibmdos.com on the hard disk.
43. - -L
44. - -D 6AC0
45. 303F:6AC0  03 8B 37 43 43 26 88 56-00 26 88 76 01 53 51 52   ..7CC&.V.&.v.SQR
46. 303F:6AD0  E8 41 B0 26 B8 00 20 36-3B 06 36 00 76 04 36 A3   .A.&.. 6;.6.v.6.
47. 303F:6AE0  36 00 5A 59 5B 8C D8 5E-1F 26 89 76 12 26 8C 5E   6.ZY[..^.&.v.&.^
48. 303F:6AF0  14 1E 56 FE C6 FE C2 8E-D8 83 C5 20 E2 C3 5E 1F   ..V........ ..^.
49. - -U 6AD0
50. 303F:6AD0 E841B0        CALL 1B14
51. 303F:6AD3 26            ES:
52. 303F:6AD4 B80020        MOV  AX,2000            <----------- Huh?
53. 303F:6AD7 36            SS:
54. 303F:6AD8 3B063600      CMP  AX,[0036]
55. 303F:6ADC 7604          JBE  6AE2
56. - -Q
57. - -N IBMDOS.FPY * This is the hidden file Ibmdos.com on the original floppy
58. - -L
59. - -D 6AC0
60. 303F:6AC0  03 8B 37 43 43 26 88 56-00 26 88 76 01 53 51 52   ..7CC&.V.&.v.SQR
61. 303F:6AD0  E8 41 B0 26 8B 46 02 36-3B 06 36 00 76 04 36 A3   .A.&.F.6;.6.v.6.
62. 303F:6AE0  36 00 5A 59 5B 8C D8 5E-1F 26 89 76 12 26 8C 5E   6.ZY[..^.&.v.&.^
63. 303F:6AF0  14 1E 56 FE C6 FE C2 8E-D8 83 C5 20 E2 C3 5E 1F   ..V........ ..^.
64. - -U 6AD0
65. 303F:6AD0 E841B0        CALL 1B14
66. 303F:6AD3 26            ES:
67. 303F:6AD4 8B4602        MOV  AX,[BP+02]         <----------- Huh ?
68. 303F:6AD7 36            SS:
69. 303F:6AD8 3B063600      CMP  AX,[0036]
70. 303F:6ADC 7604          JBE  6AE2
71. - -Q
72. - -------------------------------------------------------------------------
73.  
74.    I do not have any idea how the file got changed.  The date-stamps were
75. changed (in both cases).  The attribute flags (Sys, R/O, Hidden, Arch all
76. set) were not changed.  SOMETHING re-wrote 3 bytes of IBMDOS.COM, even
77. though it was R/O, and the write was such that the date-stamp was changed
78. to the current date.  As far as we can tell, the missing 200K was the only
79. symptom.  The CD-ROM stuff they were working on was using the
80. Microsoft-Extensions software, plus the usual .SYS files for CDs.
81.  
82. Does anyone have any ideas what happened here?
83.  
84.  /PJ
85.                      -------------------------------
86. Notices you don't want to find printed on the back of your computer:
87. "NO USER SERVICEABLE PARTS INSIDE",  "SOME ASSEMBLY MAY BE REQUIRED",
88. and everyone's favorite "BATTERIES NOT INCLUDED".
89.  
90. ------------------------------
91.  
92. Date:    Fri, 03 Nov 89 14:52:43 -0600
93. From:    HISLE@VAX1.UMKC.EDU
94. Subject: The Brain Virus (PC)
95.  
96. Can anyone refresh me on the damage that the "Brain" virus can do to a
97. diskette.  I have infected diskettes as identified by IBM's VIRSCAN.
98. Any information is appreciated.  HISLE@VAX1.UMKC.EDU
99.  
100. ------------------------------
101.  
102. Date:    Fri, 03 Nov 89 16:16:33 -0500
103. From:    Joe McMahon <XRJDM%SCFVM.BITNET@VMA.CC.CMU.EDU>
104. Subject: Virus List - Notes (Mac)
105.  
106. I believe that the Peace virus appeared first - at least it was the first
107. discussed, with nVIR and Scores following, in that order. I keep repeating
108. this, but no one ever seems to see it:
109.  
110.          ----  There is no such thing as a SNEAK virus !!!  ----
111.  
112. This was simply a convenient name for a particular virus-like code
113. pattern that Bob Woodhead's "Interferon" program looked for - for
114. those who are interested, an immediate branch out of CODE 0 to some
115. other CODE segment.  There is no specific virus called SNEAK, and
116. there never has been. Bob has mentioned before that he's sorry he used
117. this unfortunate appelation.  Me, too. Please, tell your friends,
118. there's no such thing. If you read the Interferon documentation, this
119. is all explained in it.
120.  
121. As to the San Jose Flu, I've never heard of it, and I don't believe
122. that it's ever been discussed here. If you have more details, I'd like
123. to see them.
124.  
125. Everything else looks OK. Thanks for taking the time, Greg.
126.  
127.  --- Joe M.
128.  
129. ------------------------------
130.  
131. Date:    Fri, 03 Nov 89 16:58:48 -0800
132. From:    well!rsa@apple.com (RSA Data Security)
133. Subject: Digital signatures for virus protection
134.  
135. The most effective method available to detect *any* change to a
136. program is through the use of digital signatures.  A "message digest"
137. (much more mathematically secure than a checksum) is encrypted with
138. the private key of a public key cryptosystem (the private key may be
139. yours or someone you trust).  The verification process is then as
140. follows:
141.  
142. - -     recompute the message  digest
143. - -     decrypt the encrypted message digest with the public key
144.         of the "signer" - the public key need not be secret
145. - -     compare the two
146.  
147. If they match, the file is unaltered.  No one can recompute and
148. attach a mailicious signature since only the signer holds the private
149. key.  One paper by Maria Pozzo & Terry Gray of UCLA in January 1987
150. describes in detail how an operating system can use digital
151. signatures based on public key cryptosystems to execute only
152. "trusted" programs.
153.  
154. Since no one can "forge" a signature, it is possible that
155. software developers can "sign" their programs, essentially taking
156. responsibility for their contents.  This would provide a strong
157. incentive for the publisher to ensure a program was clean before
158. signing it.  Note: there are simple, effective ways to validate
159. public keys before using them to verify signatures.
160.  
161. There are inexpensive commercial products available now for DOS, Mac
162. OS, UNIX and VMS that do exactly this.  They use a *secure* message
163. digest algorithm which is 60 times faster than DES on 32 bit
164. machines.  The digest size is 128 bits (anything less is *not*
165. cryptographically secure - there are a number of papers on the
166. subject).
167.  
168. Simple uses of DES has even been shown to be unsafe for checksums; it
169. is vulnerable to attacks based on the birthday paradox which says
170. that as the number of *useful* message variants approaches the square
171. root of the total number of possible checksums (2^64 with DES), the
172. probability that an attacker can match a checksum with a useful
173. modified message exceeds 50%.  Since (at least in DOS) you can add
174. any number of bits to the end of a program without affecting its
175. execution, programs are particularly vulnerable.
176.  
177. Disclaimer: RSA Data Security designs, develops and markets the
178. above mentioned software.
179.  
180. Jim Bidzos
181.  
182. ------------------------------
183.  
184. Date:    Sat, 04 Nov 89 09:17:38 -0500
185. From:    dmg@lid.mitre.org (David Gursky)
186. Subject: Re: Greg Gilbert's virus list (Mac)
187.  
188. In Virus-L V2 #231, "Gregory E. Gilbert" <C0195%UNIVSCVM.BITNET@VMA.CC.CMU.EDU>
189. writes about a list of Mac Viruses.  Greg's list contains several noteworthy
190. errors.
191.  
192. 1 -- SNEAK is not a virus.  SNEAK is a term Robert Woodhead uses to denote code
193.      that is suspicious, but is not part of any known virus.  For example, if
194.      you run Interferon 3.1 on Tops 2.1, you will get a SNEAK warning because
195.      of the way Tops is written.
196.  
197. 2 -- The "San Jose Flu" was an early name given to Scores.  Scores was first
198.      detected by Dave Lavery over at NASA Headquarters here in Washington DC.
199.      Two weeks after being found at NASA (thus the name "NASA Virus"), it was
200.      found in the San Jose area (hence the name "San Jose Flu").  Both were
201.      found to be the same virus.
202.  
203.      Scores gets its name from a file it creates in the System Folder entitled
204.      "Scores"
205.  
206. 3 -- While not a mistake per se, Greg should point out that the Dukakis Virus
207.      is a virus directed at applications built with Hypercard (in Apple
208.      paradigm:  Hypercard Stacks).  Dukakis presents no threat (in a strict
209.      interpretation of the term) to other applications.  [In other words,
210.      Dukakis can only infect Hypercard Stacks, but not applications such as
211.      Excel, Versaterm, Canvas, and so on.]
212.  
213. David Gursky
214. Member of the Technical Staff
215. Special Projects Department, W-143
216. The MITRE Corporation
217.  
218. ------------------------------
219.  
220. Date:    06 Nov 89 03:38:42 +0000
221. From:    munnari!stcns3.stc.oz.AU!dave@uunet.UU.NET (Dave Horsfall)
222. Subject: Re: Identify Ashar Virus
223.  
224. In article <0007.8911032030.AA16863@ge.sei.cmu.edu>,
225.     SHERIFF@steffi.acc.uncg.edu writes:
226.  
227. | When we run Viruscan 0.7V42 on an infected disk, here is what we see:
228. |
229. | Disk B: contains 1 directories and 5 files.
230. |  ld viruses found.  "
231. |
232. | Please also observe that the number of viruses found is oddly noted.
233.  
234. Obviously the result of a `printf("... %ld viruses found.", ...)'
235. without the `%'.  Doesn't do much to inspire confidence in the
236. program's author, does it?
237.  
238. On another note, I'm curious to learn just how generic the virus
239. problem is.  We've seen the Internet worm, the DECNET worm, the
240. Christmas Tree virus, many PC/Macintosh/Amiga viruses etc etc.
241.  
242. Anyone seen a CP/M virus yet?  My home system is a CP/M-80 box,
243. and I need to know whether to worry or not :-)
244.  
245. - --
246. Dave Horsfall (VK2KFU),  Alcatel STC Australia,  dave@stcns3.stc.oz.AU
247. dave%stcns3.stc.oz.AU@uunet.UU.NET,  ...munnari!stcns3.stc.oz.AU!dave
248.  
249. ------------------------------
250.  
251. Date:    06 Nov 89 11:06:05 +0000
252. From:    wsinrn@urc.tue.nl (Rob J. Nauta)
253. Subject: Re: Identify Ashar Virus
254.  
255. In article <0007.8911032030.AA16863@ge.sei.cmu.edu> SHERIFF@steffi.acc.uncg.edu
256.  writes:
257. >When we run Viruscan 0.7V42 on an infected disk, here is what we see:
258. >
259. >" Found Pakistani Brain Virus in boot sector.
260. >  Found Ashar Virus in boot sector.
261. >
262. >Disk B: contains 1 directories and 5 files.
263. > ld viruses found.  "
264. >
265. >Please also observe that the number of viruses found is oddly noted.
266.  
267. That's something I noticed too. On a disk with the pingpong virus, viruscan
268. 0.7V42 says (and some earlier versions did too)
269.   Found pingpong virus in bootsector
270.   Found pingpong virus-Version B in bootsector
271.  
272. Disk A: contains 1 directories and xx files.
273.   ld viruses found.
274. The ld viruses found is an interesting bug... Also bootsector viruses seem ti
275. be reported twice.
276.  
277. Greetings
278. Rob
279.  
280. ------------------------------
281.  
282. Date:    Mon, 06 Nov 89 07:03:15 -0500
283. From:    Kenneth R. van Wyk <krvw@SEI.CMU.EDU>
284. Subject: Morris to be tried
285.  
286.  
287. >From the Washington Post -- 5 November 1989:
288.  
289. U.S. Judge Rules Computer `Worm' Case to Be Tried  (Associated Press)
290.  
291.    SYRACUSE, N.Y. -- A federal judge ruled Friday that the case of
292. a former graduate student accused of unleasing a "worm" program into
293. thousands of computers nationwide can go to trial.
294.  
295.    U.S. District Judge Howard Munson rejected pleas from the lawyer
296. for Robert T. Morris Jr. to dismiss a felony computer-fraud charge
297. on the grounds that information leaked by the Justice Department
298. would prevent him from receiving a fair trial.  Munson set the trial
299. to begin Nov. 29.
300.  
301.    Morris's lawyer, Thomas Guidoboni, contended the Justice Department
302. improperly revealed to a reporter before Morris was indicted in
303. July that Morris had given a statement to prosecutors and that the
304. department was considering whether he should be allowed to plead
305. guilty to a misdemeanor.
306.  
307.    In November 1988, a "worm" program that prosecutors said Morris
308. created clogged a network of about 6,000 computer shared by colleges,
309. research centers and the military.  It took several days to cleanse
310. the network of the program, which multiplies out of control.
311.  
312.    Morris, 24, of Arnold, Md., became the first person in the country
313. to be charged criminally under the 1986 Computer Fraud and Abuse Act
314. when he was indicted on a charge of gaining unauthorized access to
315. computers and causing losses in excess of $1,000.  He faces up to
316. five years in prison and a $250,000 fine if convicted.
317.  
318. ------------------------------
319.  
320. End of VIRUS-L Digest
321. *********************
322. Downloaded From P-80 International Information Systems 304-744-2253
323.