home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.264

< prev

next >

Wrap

Text File  |  1995-01-03  |  19KB  |  399 lines

---

1. VIRUS-L Digest   Tuesday, 19 Dec 1989    Volume 2 : Issue 264
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Re: AIDS disk (PC)
17. Motivation behind the AIDS trojan
18. WDEF protection strategy for servers (Mac)
19. WDEF virus.... (Mac)
20. AIDS TROJAN STAGE 2 UPDATE (PC)
21. Re: AIDS Trojan Update (PC)
22. AIDS Trojan Update #4 (PC)
23. Legal Ramifications of PC-Cyborg License
24. The missing viruses (PC)
25.  
26. ---------------------------------------------------------------------------
27.  
28. Date:    18 Dec 89 21:49:52 +0000
29. From:    attcan!ram@uunet.UU.NET (Richard Meesters)
30. Subject: Re: AIDS disk (PC)
31.  
32. martin@EASBY.DURHAM.AC.UK (Martin Ward) writes:
33. > I feel that I should point out that the effects of this disk are
34. > entirely in accordance with the standard warrenty used by most
35. > commercial software developers (the ones which disclaim that the
36. > programs are fit for any purpose at all, that XXX will disclaims all
37. > responsibility for any damage or loss caused etc.) Either these
38. > warrenties are ILLEGAL or the perpetrators of this disk are entirely
39. > within their legal rights to do what they have done. Does anyone (eg a
40. > lawyer) know which is the case?
41.  
42. I'm afraid I can't agree with you, Martin.  Warranty implies that the
43. product was purchased and you are following the terms of the purchase
44. agreement.  The trojan runs for a time and then demands that you pay
45. for the product (Which, as it has been presented appears to be a
46. demo.)  If you don't pay the price, the trojan, in effect, kidnaps
47. your data and holds it for ransom.
48.  
49. Illegal, or at least extremely Immoral (presumably the former).
50.  
51. Regards,
52. Richard Meesters
53.  
54. ------------------------------
55.  
56. Date:    18 Dec 89 22:47:23 +0000
57. From:    Steven Den Beste <denbeste@BBN.COM>
58. Subject: Motivation behind the AIDS trojan
59.  
60. Like everyone who's heard of this thing, we here have been asking
61. "What are they trying to accomplish that makes them willing to spend
62. this much money?"
63.  
64. I've come up with a model for their motivation which I think explains
65. everything. I'd be very interested in any reactions to it:
66.  
67. 1. They deliberately distributed two versions of the program. One
68. version fires immediately, while the other stays silent for 90
69. reboots. I'll call these "scrambled" and "infected" systems
70. respectively.
71.  
72. 2. It is my guess that there are very few copies of the
73. fire-immediately version. It is my guess that this version was
74. deliberately mailed later than the others.
75.  
76. 3. The purpose of the fire-immediately version is to make an example
77. of a few users. It is my guess that the authors thought they had
78. hidden things sufficiently well that a person who knew his system was
79. infected still could not find and remove the infection. This then
80. explains why the scrambled systems indentify clearly which program
81. caused the scrambling.
82.  
83. 4. Therefore: A lot of people receive the disks "for free" and install
84. immediately. Infection becomes rampant.
85.  
86. 5. A few people get their systems scrambled immediately. Word gets out
87. that the program is dangerous - but not immediately in most cases.
88.  
89. 6. People with infected systems are given 90 reboots (presumably at
90. least a couple of months under normal usage) to send in their money
91. and get a dis-infector disk back.
92.  
93. 7. Each system derives part of its encryption key from local
94. information. Thus the dis-infector disk can only be used on the system
95. for which it was returned. An organization with 10 infected systems
96. has to pay 10 times, and receive 10 disks.
97.  
98. 8. The money must be sent through a dummy corporation in Panama, with
99. its notoriously unstrict banking laws. Payment is in US dollars
100. because that's what Panamanian banks deal in.
101.  
102. 9. For a person whose system is infected but not yet scrambled, an
103. obvious tactic is to do a file-by-file backup onto disks or tape (as
104. opposed to a block-level backup), followed by a disk reformat and
105. rebuild, and restoration of the files. To thwart that end, I predict
106. that the trojan has inserted itself into one or more executable files
107. which would be expected to be retrieved in the backup. This may not
108. include the full encryption algorithm - a simple "destroy all data and
109. make the disk image unusable" would do. If several people get nailed
110. in this way, word spreads and most people won't try to escape this way
111. anymore. [If one is careful about what is restored and what gets
112. recovered from original release disks, this approach should be pretty
113. safe. But the kind of people who would routinely install a program
114. like this in the face of a "shrink-wrap" license are likely to have
115. other software they use for which original release disks are not
116. readily available. It would be my guess that such programs would be
117. particularly inviting targets. Likewise, the process of a file-by-file
118. backup and restore on an almost full 100 MB. disk is not a pleasant
119. prospect. It might actually cost more in floppy disks and time than
120. the decryptor costs.]
121.  
122. 10. The reason the disk was not distributed in the US and that the
123. "license" doesn't allow it to be used here is that the behavior of
124. this program is in direct violation of the federal "virus" law. It
125. would be very interesting to know if there are any directly applicable
126. statute in Great Britain preventing this kind of activity. If not,
127. then the authors of this would be outside of the purvue of criminal
128. law, and protected against civil suit by their "license". They might
129. actually get away with it.
130.  
131. 11. The motivation behind all this, then, is extortion. The cover
132. story of an AIDS database may or may not be a sick attempt at an
133. analogy. It may instead be a deliberate choice of a subject likely to
134. intrigue many people into installing the program on their systems.
135. (No-one has made any comment about what, if any, cover program is on
136. the distribution disk. Does it really contain an AIDS database?)
137.  
138. 12. Lastly, it is my guess that the authors have badly underestimated
139. both the quantity and quality of the effort which has been and will be
140. applied to defending against this trojan (see point 3 above). This
141. story is not yet completely written, though - it may be that only the
142. first layer of defenses have been opened to our vision, and that this
143. thing runs much deeper (see point 9 above).
144.  
145. 13. How do we find them?
146.         a. Follow the bank accounts from which the mailing lists were bought
147.            and from which the rent money in London was paid. (Probably tough.)
148.         b. Follow the bank accounts in Panama. (Forget it!)
149.         c. Send in your money and try to figure out where the decryptor
150.            disk was sent. (IF it gets sent. There is no guarantee that
151.            they'll follow through on the bargain.)
152.         d. Try to trace where they bought their computers originally
153.            to do the development. (Sure thing.)
154.         e. Just where DO we (editorial "we") start looking, and what do we
155.            do with them when they're found? Is there actually any way to
156.            bring these guys to justice under British, Swedish or West German
157.            law? Could they be extradited from Nigeria or somewhere like that?
158.  
159.  
160. Steven C. Den Beste        ||  denbeste@bbn.com (ARPA/CSNET)
161. BBN Communications Corp.   ||  {apple, usc, husc6, csd4.milw.wisc.edu,
162. 150 Cambridge Park Dr.     ||   gatech, oliveb, mit-eddie,
163. Cambridge, MA 02140        ||   ulowell}!bbn.com!denbeste (USENET)
164.  
165. ------------------------------
166.  
167. Date:    Mon, 18 Dec 89 19:19:00 -0500
168. From:    When I grow up I wanna be a Redneck <ACSAZ@SEMASSU.BITNET>
169. Subject: WDEF protection strategy for servers (Mac)
170.  
171.     Just an idea that may make most of our lives a bit easier.  On our
172. servers at SMU students often save their papers on the system disks.
173. Well as anybody knows this is not cool when they fill up.  Soo I throw
174. them away.  Not nice but I thought it got the job done until I noticed
175. that the desktop remembers the icons (and other stuff) that these
176. files contained.  Sooo I did some thinking and locked the desktops.
177. The result is that when papers are saved their icon's are not so
178. throwing them away still restores the disk to it's original free
179. space.  Hmmmmm (I said to my self) Wouldn't this work well in
180. preventing those disks from getting WDEF?  If the message from the
181. last Virus-l was true then this should halt the spread of our new
182. little virus.  But only use it if you do not expect the contents of
183. your disk to change - as in adding or removing files.  I hope this
184. works.
185.                                    - Alex Zavatone Mac Software
186.                                      Southeastern Mass U
187.  
188. ------------------------------
189.  
190. Date:    19 Dec 89 01:04:18 +0000
191. From:    gford%nunki.usc.edu@usc.edu (Greg Ford)
192. Subject: WDEF virus.... (Mac)
193.  
194. Sure enough, my Mac II had WDEF on it.  It's first attack (on four
195. partitions) was December 9.  Funny thing was, immediately prior to my
196. discovery of this virus, my Mac II had been experiencing these same
197. symptoms of slow-closing windows.  In fact, it was common for the
198. mouse-depression lines in the go-away box of the window to take up to
199. 5 seconds to appear and for the window to close.  This follows what
200. has been said about the virus earlier.  The other problem I had (which
201. has now gone away since erradication 5 days ago) was that when opening
202. a large file from the HD (Rodime, 140 Meg, Internal), it would often
203. crash during the read, and MacBugs would say it was damaged.  This
204. scared me because I haven't done a backup since September (I know, I
205. know no flames please), and this crash was coupled with the sound that
206. the HD makes when it starts up (you Rodime people know what I mean -
207. that click, and spinning sound).  Anyway, the problem has gone away,
208. and those same files open fine now that WDEF is gone.  Anyone else had
209. this problem?
210.  
211. As a side note, every single Mac on campus is infected near as I can
212. tell.  One lab with ~80 macs was infected in all 10 macs I randomly
213. sampled.  I gave the lab-room operator a copy of Disinfectant 1.5, but
214. he (get this) was unsure what to do with it.  I hope they've cleaned
215. it up.  If this thing (WDEF) passes from disk to disk just by
216. inserting an infected disk into a mac, can you imagine the headache
217. created by users who have they're own disks?  The whole lab can become
218. reinfected in one day.  What a mess.
219.  
220. *******************************************************************************
221. * Greg Ford                             GEnie:    G.FORD3                     *
222. * University of Southern California     Internet: gford%nunki.usc.edu@usc.edu *
223. *******************************************************************************
224.  
225. ------------------------------
226.  
227. Date:    Mon, 18 Dec 89 20:46:00 -0500
228. From:    IA96000 <IA96@PACE.BITNET>
229. Subject: AIDS TROJAN STAGE 2 UPDATE (PC)
230.  
231. Forgot to mention this in yesterday's update. Sorry about that!
232.  
233. PKSCRYPT.EXE is a fine shareware program designed by Lloyd Miller in
234. Canada, a year or two ago. It is a public key encryption program
235. and can be used (at least SWE used it) to decrypt files encrypted by
236. the AIDS trojan. It is available on many BBS's and Lloyd runs a FIDO
237. BBS in Canada.It is available at (201) 249-1898 as CRYPT.ZIP
238.  
239. Start off using 13 digit (numbers not characters) decryption keys.
240. Three of the digits will be the major and minor numbers of your DOS
241. version. For example DOS 4.01 would be 401, etc; Two of the digits will
242. be the last two digits in the length of command.com if it was on the
243. disk when stage two was triggered.
244.  
245. It is not yet known what is used for these two digits if command.com
246. was not present.
247.  
248. Hope this helps somewhat!
249.  
250. ------------------------------
251.  
252. Date:    19 Dec 89 07:24:21 +0000
253. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
254. Subject: Re: AIDS Trojan Update (PC)
255.  
256. Alan_J_Roberts@cup.portal.com writes (on behalf of John McAfee):
257. |       Our investigation has turned up surprise: PC Cyborg
258. | Corporation has indeed been registered in the country of Panama.
259.  
260. Is anyone aware of any attempts to actually *pay* for these disks?
261. I'm curious as to what sort of response this would meet.  Also, is the
262. information on these disks of any worth, or can one claim the "AIDS
263. information" is just a ploy to propagate a Trojan?  Perhaps this is
264. really a monumental blunder in the name of copy protection.
265.  
266. Jim Wright
267. jwright@atanasoff.cs.iastate.edu
268.  
269. ------------------------------
270.  
271. Date:    Tue, 19 Dec 89 00:29:59 -0800
272. From:    Alan_J_Roberts@cup.portal.com
273. Subject: AIDS Trojan Update #4 (PC)
274.  
275. A forward from John McAfee:
276. ==========================================================================
277.  
278.         It's now reasonably certain that there exists only one version
279. of the AIDS Trojan that has been mailed so far.  All copies that have
280. been reported so far (31) have the same file size - 146188, date -
281. 9-28-89, and time - 4:28 P.  File compares have been performed on nine
282. of the 31 samples and they compare exactly.  All have been programmed
283. in Microsoft Quick Basic Version 3 and none have padding bytes at
284. either end of the program.  The samples have been taken from England,
285. Germany, Sweden, Finland, France and the one reported case in the U.S.
286. Diskettes from two different mailing lists were included in the
287. sample.
288.         The significant reported contradictions in the behaviour of
289. the trojan now appear to be cleared up.  The difference in the
290. reported activation trigger is now known to be caused by the varying
291. inputs to the AIDS Information program when it is executed.  The
292. Information program modifies the count field according to the final
293. "score" on the quiz.  Those who fall in the high risk categories are
294. given the most time; those whose answers place them in low risk
295. categories have their count fields decremented substantially.  If the
296. AIDS program is never executed, the user has 90 reboots before
297. activation.
298.         The reported differences in the occurance of the SHARE.EXE
299. program after activation are now known to be caused by differences in
300. printer configurations and printer status.  If no printer is attached
301. to LPT1, or if the printer is turned off after the initial activation,
302. no SHARE.EXE program of share message is produced.
303.         The encryption of the file names and extensions is now also
304. known to be constant for all samples.  There is no encryption key or
305. encryption algorithm.  The file names are modified by using a simple
306. character substitution which is constant for all samples and execution
307. environments.  The extensions are likewise substituted.  For example:
308. All COM files are given the extension AK, EXE files are changed to AU
309. and BAT files are changed to AG.  If a file extension is unknown to
310. the trojan, then it leaves the extension as is.  Disappointingly
311. trivial, considering the complexity of the remainder of the trojan
312. code.
313.         It is also known now that the INSTALL program will place and
314. activate the time bomb with or without the accompanying AIDS program.
315. This seems to imply that the install program may have been written for
316. additional purposes.  Watch out for potential additional mailings
317. covering completely different subject matter.
318.  
319. John McAfee
320.  
321. ------------------------------
322.  
323. Date:    19 Dec 89 09:19:37 +0000
324. From:    bb@beach.cis.ufl.edu (Brian Bartholomew)
325. Subject: Legal Ramifications of PC-Cyborg License
326.  
327. I too would like to hear the opinions of a competent legal counsel
328. regarding the legality of PC-Cyborg's actions.  I feel that the
329. current crop of microcomputer licenses bear more resemblance to the
330. screenplay for a con job, than a contract describing a reasonable use
331. of a product for a reasonable compensation.  For a long time, there
332. have been laws in effect that state that a product purchased should
333. perform in a manner similar to the way that it is advertised.  A
334. article of machinery purchased as a "car" should perform at least
335. minimally as a "car".  In the absence of pride, responsibility, and
336. craftsmanship on the part of the maker, the law should be written to
337. protect the consumer; a license disclaiming all connection with the
338. product except the collection of profit does not do this.  Law is like
339. programming; the media the artist works in is the imagination, and
340. vision is only limited by the limitations that are inherited from
341. history.  Make the law serve the people, not the lawyers.
342.  
343. "Any sufficiently advanced technology is indistinguishable from a rigged demo."
344. -
345.  -------------------------------------------------------------------------------
346. Brian Bartholomew       UUCP:       ...gatech!uflorida!beach.cis.ufl.edu!bb
347. University of Florida   Internet:   bb@beach.cis.ufl.edu
348.  
349. ------------------------------
350.  
351. Date:    Tue, 19 Dec 89 10:49:33 +0000
352. From:    frisk@rhi.hi.is (Fridrik Skulason)
353. Subject: The missing viruses (PC)
354.  
355. A few PC viruses have been reported but not made generally available
356. to the virus research community. The "missing" viruses are listed
357. below. If anyone can confirm the existence of any of them, I would
358. appreciate it.
359.  
360. 2730. It seems that this "virus" does not exist.
361.  
362. Agiplan. This virus was described in a W-German newspaper. It is a bit
363.         similar to the "Zero-Bug" virus. Both add 1536 bytes to the start
364.         of .COM programs they infect.
365.  
366. Fallboot. A BSV that is reported by the VIRSCAN program from IBM. Produces
367.         a display similar to that produced by 1701/1704.
368.  
369. Missouri, Nichols. Two boot sector viruses that were reported by
370.         McAfee/Homebase, but are not included in a recent list by him.
371.  
372. Screen. Reported by Ross Greenberg, it may be just a variant of the South
373.         African virus. Ross said it was uploaded to his BBS earlier this
374.         year. He described it in an article in BYTE.
375.  
376. Jerusalem variants. Of the 13-14 different Jerusalem variants, only five
377.         are "available".
378.  
379. Palette. Adds 1538 bytes to .COM files.
380.  
381. In addition the following viruses have been mentioned, but probably they
382. do not exist:
383.  
384. Cookie. .COM infector
385.  
386. Retro
387.  
388. Hyperspace
389.  
390. The rest of the PC viruses is probably in the hands of most virus researchers
391. by now.
392.  
393. - -frisk
394.  
395. ------------------------------
396.  
397. End of VIRUS-L Digest
398. Downloaded From P-80 International Information Systems 304-744-2253
399.