home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.234

< prev

next >

Wrap

Text File  |  1995-01-03  |  20KB  |  447 lines

---

1. VIRUS-L Digest   Tuesday,  7 Nov 1989    Volume 2 : Issue 234
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Datacrime report at ERIM followup (PC)
17. Re: Where are the Sophisticated Viruses?
18. Re: Imbeded virus detection
19. Re: 2608- possible virus? (AMIGA)
20. Re: Macintosh Virus List (Mac)
21. dBase and Typo-COM viruses (PC)
22. Re: CRC's
23. SCANV42 and ASHAR Virus (Mac)
24.  
25. ---------------------------------------------------------------------------
26.  
27. Date:    Mon, 06 Nov 89 13:46:07 -0500
28. From:    Arthur Gutowski <AGUTOWS%WAYNEST1.BITNET@VMA.CC.CMU.EDU>
29. Subject: Datacrime report at ERIM followup (PC)
30.  
31. A couple of weeks back, I posted an article concerning a Datacrime hit
32. at the Environmental Research Institute of Michigan (ERIM).  More
33. recent info precludes any correlation of the hit with the discovery of
34. the name Siegmar Schmidt in the partition table.  I recieved a message
35. from Leo Stephens (also a subscriber to Virus-L), in which he said
36. that a friend of his had also discovered this name in the partition
37. table.  He also had found the name David Litton on some of his
38. machines at work, and others had no name at all.  A couple of people
39. who know more about partition tables and editors than I do suggested
40. that it was just the author of the editor taking credit for the
41. program by placing his name there (there is enough unused space in the
42. partition sector to do this harmlessly).  All of the other occurences
43. of names have come without any disk problems associated with a virus
44. (McAfee's Scanv46 and IBM's Virscan was used on on the above disks).
45. I guess the moral of the story is to just make sure pertinent data
46. does not change.  But, if anyone else can confirm that these names
47. aren't anything too out of the ordinary, it would set my mind (and
48. computer) at ease.
49.  
50. Again, my friend at ERIM did get hit by a Datacrime version either by
51. an bum copy of PKZ102.EXE or his FDISK program became
52. infected...Siegmar is innocent.
53.  
54. +--------------------------------------------------------------------+
55. | Arthur J. Gutowski                                                 |
56. | Antiviral Group / Tech Support / WSU University Computing Center   |
57. | 5925 Woodward; Detroit MI  48202; PH#: (313) 577-0718              |
58. | Bitnet: AGUTOWS@WAYNEST1   Internet: AGUTOWS@WAYNEST1.BITNET       |
59. +====================================================================+
60. | "To do is to be."  -Socrates  "To be is to do."  -Plato            |
61. | "Do-bee do-bee do."  -Sinatra  "Yabba dabba doo."  -Fred Flintstone|
62. +--------------------------------------------------------------------+
63.  
64. ------------------------------
65.  
66. Date:    Mon, 06 Nov 89 20:54:24 +0000
67. From:    madd@world.std.com (jim frost)
68. Subject: Re: Where are the Sophisticated Viruses?
69.  
70. CHESS@YKTVMV.BITNET (David.M..Chess) writes:
71. >You're forgetting one important kind of virus detector: a
72. >general modification-detector that does a check-code of some
73. >kind (CRC, MDC, or whatever), and alerts the user when
74. >a file's *contents* (not the date) change.
75. >I think even
76. >a virus that talked straight to the hardware to avoid
77. >"suspicious activity" detectors wouldn't get far before
78. >it was detected.                        DC
79.  
80. Sigh.  We're lucky that no very competent programmer has tried to
81. write a virus, all right.  Consider that there are three phases to any
82. virus, not including side-effects such as damaging data:
83.  
84.         1) infection
85.         2) propagation
86.         3) survival
87.  
88. A sophisticated virus spends almost all of its time surviving, so it's
89. the most interesting stage.  Survival traits include:
90.  
91.         * limiting propagation rates
92.         * limiting re-infections
93.         * detecting and avoiding "virus-protected" hosts
94.         * staying within normal system activity boundaries
95.         * hiding from standard system utilities
96.         * modifying hosts to make them more susceptible to
97.           re-infection
98.  
99. There are a lot more things that a sophisticated virus can do, but
100. these are food for thought.  Let's examine them in more detail.
101.  
102. Limiting Propagation Rates.  Simple viruses, and often not-so-simple
103. ones, will proliferate without bounds.  Rampant proliferation will
104. cause the virus to be noticed early in its lifetime and will probably
105. lead to its early demise.  The internet worm did not do this.
106.  
107. Limiting Re-Infections.  Most simple viruses don't detect systems
108. which have already been infected and will re-infect them.  Such
109. viruses will incrementally eat system resources until they are
110. noticed.  The internet worm did not do this.
111.  
112. Detecting and Avoiding "Virus-Protected" Hosts.  I have yet to see a
113. virus which looked at the state of a system to detect virus detection
114. mechanisms to nullify them and/or avoid infecting them.  There are a
115. variety of simple ways which a virus could do this, especially on
116. PC-based systems where hardware and software is extremely standard.  A
117. virus which did this might go undetected forever.  Of course it's
118. possible that such a beastie exists and is undetected.  Even CRC
119. detectors will not detect a properly written virus which avoids
120. systems with CRC detection mechanisms!
121.  
122. Staying Within Normal System Activity Boundaries.  Some viruses will
123. actively search devices which a user did not request activity from;
124. this activity will often be noticed.  A good many Apple II viruses had
125. this trait, and so did the internet worm.  It leads to early
126. detection.
127.  
128. Hiding From Standard System Utilities.  A sophisticated virus would
129. avoid showing anomalies when the system is perused with standard
130. system utilities such as those which display currently active
131. processes, memory or disk usage, etc.  Given the primitive state of
132. many PC operating systems, this capability is seldom needed, and it's
133. easy to remain unnoticed on larger systems without any effort at all.
134. The internet worm had some of these avoidance techniques which made it
135. much harder to track down.
136.  
137. Modifying Hosts To Make Them More Susceptible To Re-Infection.  A very
138. sophisticated virus could make subtle changes to an operating system
139. or operating system environment to make it easier to re-infect.  This
140. capability is generally useless amongst PCs but it's extremely easy to
141. make small modifications to many multiuser systems -- particularly
142. UNIX -- to make re-infection trivial.  I believe a recent VMS virus
143. did this by adding a user, although I'm not certain of that.
144.  
145. [Ed. The DECnet WANK worm did indeed add (or alter an existing)
146. username, FIELD.  It also modified .COM files (which are shell scripts
147. on VMS, similar to MS-DOS .BAT files) to do the same if run from a
148. privileged account.  Making any such changes to MS-DOS PCs would seem
149. redundant, IMHO.]
150.  
151. By now you should get the idea that almost every virus we've seen is
152. primitive, although several showed some of the survival traits which I
153. outline above.  Given the limited resources of PC environments, it's
154. unlikely that you'll get a very sophisticated virus.  The internet worm
155. was itself only sophisticated at infection; propagation and survival
156. techniques were woefully inadequate, although they need not have been
157. because the infected hosts could have supported a much more
158. sophisticated virus.
159.  
160. This is food for thought, but should give you an idea of just how
161. tough a virus could actually be.  Count our blessings now because you
162. won't believe how bad tomorrow's nightmares will be unless we start
163. teaching ethics to tomorrow's programmers!
164.  
165. jim frost
166. madd@std.com
167.  
168. ------------------------------
169.  
170. Date:    Sat, 03 Nov 89 14:47:35 +0000
171. From:    rwallace@vax1.tcd.ie
172. Subject: Re: Imbeded virus detection
173.  
174. PSYMCCAB@UOGUELPH.BITNET (Bob McCabe) writes:
175. >   As a consultant who writes software for the PC I am worried
176. > about the possibility of my programs getting infected and
177. > becoming vectors by which viri are spread.
178. >   In particular I am developing an application that will be hand
179. > carried from site to site to gather data by a number of users. If
180. > this program were to get infected it could cause wide spread loss
181. > of data to an important research project, not to mention other
182. > programs and data on affected systems. I am looking at including
183. > a check to see if there has been any change in the EXE files.
184. > Failure on such a check would cause the program to disable it's
185. > self and report a possible infection.
186.  
187. Easy enough to do: just have something like this (in C):
188.  
189. main (argc,argv)
190. {
191.         if (crc_check (argv[0])!=ORIGINAL_CRC_VALUE)
192.         {
193.                 printf ("Virus infection - now committing suicide!\n");
194.                 unlink (argv[0]);
195.                 exit (20);
196.         }
197.         ...
198. }
199.  
200. ok so you probably wouldn't want the program to actually commit
201. suicide but it looks good. Only problem is entering the original CRC
202. value as a constant because putting in the value into the program
203. would change the executable file and thereby the value ... maybe have
204. some unused static data you change the value of to compensate and make
205. the total CRC unchanged.
206.  
207. "To summarize the summary of the summary: people are a problem"
208. Russell Wallace, Trinity College, Dublin
209. rwallace@vax1.tcd.ie
210.  
211. ------------------------------
212.  
213. Date:    Mon, 06 Nov 89 12:05:32 +0000
214. From:    rwallace@vax1.tcd.ie
215. Subject: Re: 2608- possible virus? (AMIGA)
216.  
217. n8735053@unicorn.wwu.edu (Iain Davidson) writes:
218. > Well, while up in Vancouver, BC at an Amiga Users Group meeting, a
219. > interesting thing was demostrated.....
220. >
221. > I call it the "2608" virus. (don't know the offical name).
222. >
223. > It worked like the IRQ virus attaching itself to the first executable in
224. >   the startup-sequence.  But with a slight twist.  It would copy the
225. >   found executable to devs:"    " and copy itself into the old name in
226. >   the "C" directory (size 2608 bytes).
227.  
228. Sounds like BGS-9. Make sure you don't leave any copies on any working
229. disks because the version of BGS-9 I found trashes sectors of your
230. floppies.
231.  
232. "To summarize the summary of the summary: people are a problem"
233. Russell Wallace, Trinity College, Dublin
234. rwallace@vax1.tcd.ie
235.  
236. ------------------------------
237.  
238. Date:    Sun, 06 Nov 89 04:28:04 +0000
239. From:    <polari!robert@beaver.cs.washington.edu>,
240.          robert@polari.UUCP (robert)
241. Subject: Re: Macintosh Virus List (Mac)
242.  
243.  > Recently I have been writing an article on Macintosh infections.  In
244.  > writing the article I tried to compile an exhaustive list of Macintosh
245.  > viruses. Below is the list.  If anyone has anything to add to the list
246.  > I would appreciate them notifying me so I can update the list.  Thanks
247.  > much!
248.  
249.  Your list includes "SNEAK" and "San Jose Flu". I've never heard of the
250.  "San Jose Flu". Could you furnish more information about this one?
251.  
252.  The "SNEAK" is not a Macintosh virus. This is apparently a generic term
253.  (like "Trojan Horse" or "Time Bomb") for a type of virus. All uses of
254.  the term "SNEAK" that I have seen trace back to Robert Woodhead, the
255.  author of the Macintosh anti-virus program Interferon, and I suspect
256.  that Robert coined the term himself. The documentation for Interferon
257.  defines a "SNEAK" as follows:
258.  
259.  003    A SNEAK virus.  This is a virus that adds it's code to a
260.         common System folder file and changes it's type to INIT so
261.         that it is run at boot time.  Type 003 is a generic "Virus
262.         sniffer" that detects if common System folder files have
263.         been adulterated in this way.  If you get a type 003 virus,
264.         please get in contact, you may have discovered a new strain.
265.  
266. Interferon was one of the first Mac anti-virus programs and was, at the
267. time, an excellent (and free) virus detection program (though it should
268. NOT be used for virus removal!). The intent of the author was, apparently,
269. to provide checks for possible future viruses. Unfortunately, some software
270. that was released after Interferon tended to trigger this generic virus
271. check. The result was that Interferon would report a "SNEAK virus" in cases
272. where no virus actually existed. Early versions of Interferon found "SNEAK
273. virus" in the LaserWriter and LaserPrep files that were part of later system
274. software releases from Apple. Even Interferon 3.1, which is the latest
275. version of Interferon I have seen (dated May 16, 1988), reported the "SNEAK
276. virus" in TOPS version 2.1.
277.  
278. These early attempts by Interferon to detect unknown viruses with generic
279. checks bring out the dangers of such an approach. I get the impression
280. that the author of Disinfectant, John Norstad, has taken a more conservative
281. approach and checks only for KNOWN virus entities (resources and files).
282. I imagine that Robert Woodhead has taken a similar approach with Virex,
283. his newer commercial anti-virus program (replacing Interferon), though I
284. haven't had an opportunity to see Virex.
285.  
286.  ---------------------------------------
287.     Robert Riebman
288.     robert@polari
289.     Northwest Information Technology
290.     P.O. Box 3156
291.     Redmond, WA   98073
292.  ========================================
293.  
294. ------------------------------
295.  
296. Date:    06 Nov 89 20:45:07 +0000
297. From:    frisk@rhi.hi.is (Fridrik Skulason)
298. Subject: dBase and Typo-COM viruses (PC)
299.  
300. Alan J Roberts writes:
301. >
302. >        A number of folks have looked at the DBASE virus (Ross
303. >Greenberg's discovery), including Joe Hirst, Steffan Campbell and T.B.
304. >Allen, and the general consensus is that the virus is very similar in
305. >style to the TYPO virus (The COM version).  If the author of these two
306. >viruses is one and the same person, then perhaps the DBASE author has
307. >not completely been "re-habilitated" as Ross Greenberg has suggested.
308.  
309. I must disagree. The dBase and Typo-COM viruses are similar in some ways,
310. but there are also quite a few differences.
311.  
312. Similarities:
313.  
314. 1) Both viruses use an identical, but very unusual, method to transfer control
315.    back to the original program:
316.  
317.                 MOV        AX,100
318.                 JMP        AX
319.  
320. 2) Both viruses infect files with names ending in .COM, instead of checking
321.    the first two bytes to determine the type of the file. They will not
322.    infect .EXE files.
323.  
324. 3) The viruses use similar methods to determine if the system is alredy
325.    infected - defining new interrupt subfunctions.
326.  
327.                 dBase:                               Typo-COM:
328.  
329.                 MOV        AX,FB0A                   XOR        AL,AL
330.                 INT        21                        MOV        AH,DD
331.                 CMP        AX,0AFB                   INT        16
332.                 JE         infected                  CMP        AL,AH
333.                                                      JE         not_infected
334.  
335. Differences:
336.  
337. 1) Typo-COM will search for programs to infect, looking for *.COM files
338.    in the current directory. The dBase virus will infect a program when
339.    it is executed.
340.  
341. 2) Typo-COM will install itself in memory when the infected program
342.    terminates, (by using DOS functions 0 or 4C, or by a INT 20 call).
343.    dBase will install itself as soon as it has determined that it is not
344.    already present in memory.
345.  
346. 3) The code used to hook INT 21 is very dissimilar, the dBase virus using
347.    DOS functions, but Typo-COM using direct manipulation.
348.  
349.                 dBase:                           Typo-COM:
350.  
351.                 MOV AX,3521                      MOV AX,[84]
352.                 INT 21                           :
353.                 :                                MOV [84],SI
354.                 :                                SUB [84],98
355.                 MOV DS,DX                        :
356.                 MOV DX,new_21                    MOV AX,[86]
357.                 MOV AX,2521                      :
358.                 INT 21                           PUSH CS
359.                                                  POP [86]
360.  
361. 4) dBase hooks INT 21 when it is first executed. Typo-COM hooks INT 21,
362.    INT 20 and INT 16 at the same time, but when it installs itself in memory
363.    it restores INT 21 and INT 20.
364.  
365. 5) The "install in memory" procedure is VERY different. The dBase virus
366.    manipulates the MCB directly, in a way similar to the method used
367.    by the Icelandic virus. It will then transfer itself upwards in memory.
368.    Typo-COM will transfer itself down, overwriting the original infected
369.    program, as soon as the program exits (see [2] above.)
370.  
371. 6) Finally:  The Typo-COM is a "harmless" virus, meaning that it does no
372.    direct, permanent damage, like destroying data or formatting the hard
373.    disk. It contains a generation counter, but it does not seem to be used
374.    (reserved for future expansion ?) All it does is to produce a "typing
375.    error" every now and then. It is therefore in the "joke" category,
376.    along with Cascade, Ping-Pong and a few other viruses.
377.  
378.    The dBase virus is quite different. It will garble data when it is written
379.    and restore it when it is read back. If the system is not infected at the
380.    time, the data will be useless. This also applies if the virus is removed.
381.    But, if the file has not been written to for three months when it is
382.    read, the virus will do serious damage, erasing the first 100H sectors on
383.    drive D: E: .... Z: - or at least it was designed to do so. The author
384.    forgot one small detail, which will make the destruction rather
385.    unpredictable.
386.  
387.    This is a clear difference in attitude, which does not support the
388.    theory that the viruses have the same author
389.  
390. Comments, anyone ?
391.  
392. - -frisk
393.  
394.          Fridrik Skulason          University of Iceland
395.          frisk@rhi.hi.is           Computing Sevices
396.  
397.           Guvf yvar vagragvbanyyl yrsg oynax .................
398.  
399. ------------------------------
400.  
401. Date:    Mon, 06 Nov 89 22:48:39 +0000
402. From:    kichler@harris.cis.ksu.edu (Charles Kichler)
403. Subject: Re: CRC's
404.  
405. > A CRC will work if you:
406. > (1) Keep the polynomial secret and personal.
407. > (2) Keep   the  comparison  information  secret  and
408. >     personal.
409.  
410. I don't think this is fool-proof.  The problem is that the polynomial
411. and the comparison information must be known to the program.  Therefore,
412. if you know where to look IN THE PROGRAM, then you could find the
413. information.
414.  
415. I believe the only iron-clad method might be a hardware device which
416. could verify a programs "health".  I imagine it to be device akin to
417. those that attach to the serial port of a computer for copy protection.
418. The advantage is hardware is difficult to modify via software.  As of yet,
419. I haven't seen a program that can beat a write protect tab.
420.  
421. Charles "chuck" E. Kichler,        Intro. to PC Instructor/Co-ordinator
422. Computer & Info. Science    Kansas State Univ. * Yesterday,
423. Internet: kichler@harris.cis.ksu.edu           |  I knew the answers.
424. BITNET: kichler@ksuvax1.bitnet                 * Today,
425. UUCP: {rutgers,texbell}!harris!kichler         |  they changed the questions.
426.  
427. ------------------------------
428.  
429. Date:    Mon, 06 Nov 89 16:33:01 -0800
430. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
431. Subject: SCANV42 and ASHAR Virus (Mac)
432.  
433.     Tom Sheriff noted in a recent Virus-L listing that SCANV42
434. displays an unusual virus number and appears to show both the ASHAR
435. and the BRAIN virus whenever the BRAIN virus is encountered.  The
436. duplicate virus messages were caused by new strings added to version
437. 42, fixed in V44.  The "1d viruses found" message has also been fixed
438. in version 44.  (The "d" was an extraneous character caused by the
439. duplicate strings).
440. Alan
441.  
442. ------------------------------
443.  
444. End of VIRUS-L Digest
445. *********************
446. Downloaded From P-80 International Information Systems 304-744-2253
447.