home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.267 < prev    next >
Text File  |  1995-01-03  |  12KB  |  308 lines
  1. VIRUS-L Digest   Friday, 22 Dec 1989    Volume 2 : Issue 267
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. CERT Anonymous FTP available
  17. Re: Gatekeeper and Gatekeeper Aid (Mac)
  18. 1st Aid Software vs. WDEF (Mac)
  19. More information about virus hearing and CPSR statement
  20. Beware of AIDS fixes
  21. Motivations & Trends
  22. Finding the source of the "AIDS disk"
  23. New anti-virus and anti-trojan programs at SIMTEL20
  24.  
  25. ---------------------------------------------------------------------------
  26.  
  27. Date:    Thu, 21 Dec 89 11:39:40 -0500
  28. From:    Kenneth R. van Wyk <krvw@SEI.CMU.EDU>
  29. Subject: CERT Anonymous FTP available
  30.  
  31. An additional archive site is now available via Anonymous FTP.  The
  32. machine, cert.sei.cmu.edu, carries a complete set of all CERT
  33. advisories to date, the complete (unabridged :-) set of
  34. VIRUS-L/comp.virus archives, as well as several virus documents.
  35.  
  36. VIRUS-L/comp.virus information is in:
  37.  
  38.   ~ftp/pub/virus-l/archives
  39.   ~ftp/pub/virus-l/archives/predigest
  40.   ~ftp/pub/virus-l/archives/1988
  41.   ~ftp/pub/virus-l/archives/1989
  42.   ~ftp/pub/virus-l/docs
  43.  
  44. CERT advisories are in:
  45.  
  46.   ~ftp/pub/cert_advisories
  47.  
  48. This information is made available as a public service.  Submissions
  49. to the documentation collection are welcomed, appreciated, and should
  50. be sent to krvw@sei.cmu.edu.
  51.  
  52. Regards,
  53.  
  54. Ken
  55.  
  56. Kenneth R. van Wyk
  57. Moderator VIRUS-L/comp.virus
  58. Technical Coordinator, Computer Emergency Response Team
  59. Software Engineering Institute
  60. Carnegie Mellon University
  61. krvw@SEI.CMU.EDU
  62. (412) 268-7090  (24 hour hotline)
  63.  
  64. ------------------------------
  65.  
  66. Date:    21 Dec 89 16:51:03 +0000
  67. From:    bgsuvax!denbeste@cis.ohio-state.edu (William C. DenBesten)
  68. Subject: Re: Gatekeeper and Gatekeeper Aid (Mac)
  69.  
  70. dmg@retina.mitre.org (David Gursky) writes:
  71. > In VIRUS-L Digest V2 #265, "Carl_A.Fassbender" <YOOPER@MSU.BITNET> was
  72. > asking why the Gatekeeper & Gatekeeper Aid icon did not show up after
  73. > he made the files invisible.
  74. >
  75. > The Mac OS does not load INITs that are part of files with the
  76. > Invisible bit set.  [Editorial comment: Hey Apple!  Why?????]  If you
  77. > want to have Gatekeeper active, you must have the file visible on the
  78. > desktop.
  79.  
  80. Older versions of the system did not do this.  Apple started this
  81. practice shortly after scores hit the mac.  The reasoning is that
  82. there were if all inits had to be visible, then viruses would have a
  83. harder time hiding from the user.  I believe this to be a good
  84. decision.
  85.  
  86. On lab disks, I set the entire system folder invisible, but leave the
  87. files visible.
  88.  
  89. N.B. this is my interpretation and recollection of timeframes.
  90.  
  91. - --
  92. William C. DenBesten   is   denbeste@bgsu.edu  or   denbesten@bgsuopie.bitnet
  93.  
  94. ------------------------------
  95.  
  96. Date:    21 Dec 89 12:32:00 -0500
  97. From:    "WARTHMAN" <warthman@softvax.radc.af.mil>
  98. Subject: 1st Aid Software vs. WDEF (Mac)
  99.  
  100. In VIRUS-L Digest V2 #261, John Norstad writes:
  101.  
  102. > Unfortunately, when the WDEF virus first appeared, none of the
  103. > current versions of the most popular virus prevention tools were
  104. > able to detect or prevent WDEF infections. This includes Vaccine
  105. > 1.0.1, GateKeeper 1.1.1, Symantec's SAM Intercept 1.10, and HJC's
  106. > Virex INIT 1.12.
  107.  
  108. Although it may not be one of "the most popular virus prevention
  109. tools", I wish to point out that the Anti Virus Kit published by 1st
  110. Aid Software was able to detect the WDEF virus without modification to
  111. the software or to a resource list. The VirusGuard component of the
  112. package is a cdev which, like SAM Intercept, puts up an alert any time
  113. a suspicious activity is atempted. Unlike SAM Intercept and the other
  114. virus prevention tools, VirusGuard was not fooled by WDEF's attempt to
  115. bypass the protection.  This is an important characteristic of the new
  116. virus. WDEF appears to be a new generation of virus which not only
  117. tries to hide from humans but also goes to some length to hide from
  118. anti virus software. The war is escalating...
  119.  
  120. I beleive that 1St Aid Software in general, and Bob Reese in
  121. particular, deserve some recognition for being the _only_ tool to
  122. successfully handle WDEF. In fact, if this package was more widely
  123. used perhaps WDEF would have been caught sooner and would have spread
  124. far less than it appears to have...
  125.  
  126. 1St Aid Software can be contacted at (617)783-7118. Bob Reese can be
  127. reached via:
  128.    Compuserve 71141,3061
  129.       Applelink D3791
  130.  
  131. Disclaimer: I have no connection with the company or the products,
  132. aside from being a satisfied user.
  133.  
  134.                            -- Jim Warthman
  135.  
  136. ------------------------------
  137.  
  138. Date:    Wed, 20 Dec 89 17:06:21 -0800
  139. From:    <mrotenberg@cdp.uucp>
  140. Subject: More information about virus hearing and CPSR statement
  141.  
  142. I've received several requests for the CPSR statement and for more
  143. information about the computer virus hearing.  Please send this
  144. message along to other networks.
  145.  
  146. The House Judiciary Committee hearing on computer virus legislation
  147. will be aired on C-SPAN on Saturday, December 23 (8:45 am to 11:00 am
  148. EST) and Sunday, December 24 (1:30 am to 3:35 am EST).  For more
  149. information, contact C-SPAN at 202/628-2205. The date of the original
  150. hearing was November 8.
  151.  
  152. The witnesses included two members of Congress, and representatives
  153. from NIST, ADAPSO, CBEMA, and CPSR.
  154.  
  155. The prepared statement of CPSR is available from the Washington Office
  156. of CPSR for $5 to cover copying and postage.  The complete statement
  157. is 26 pages long and contains detailed notes about the virus
  158. controversy and computer security policy.  A short summary (about 10k)
  159. is available by e-mail.  If you would like either version, please send
  160. me an e-mail note and indicate your choice.  For the complete
  161. statement, I need your US mail address.
  162.  
  163. Best holiday wishes,
  164.  
  165. Marc.
  166.  
  167. Marc Rotenberg, Director
  168. Washington Office CPSR
  169. 1025 Connecticut Ave., NW
  170. Suite 1015
  171. Washington, DC 20036
  172. 202/775-1588 (voice)
  173.  
  174. cdp!mrotenberg@arisia.xerox.com
  175. rotenberg@csli.stanford.edu
  176.  
  177. ------------------------------
  178.  
  179. Date:    22 Dec 89 05:53:51 +0000
  180. From:    spaf@cs.purdue.edu (Gene Spafford)
  181. Subject: Beware of AIDS fixes
  182.  
  183. I've been reading a lot of the traffic about the AIDS trojan disk.
  184. I've noticed that a number of places are claiming they have programs
  185. that "fix" your disks and/or watch for reinfection.
  186.  
  187. I don't mean to impugn any of those efforts, but let me sound a few notes
  188. of caution about these, as with any security software you are offered:
  189.  
  190. 1) How do you know they work?
  191.  
  192. 2) How do you know they don't have bugs that might trash your system?
  193.  
  194. 3) How do you know that they aren't introducing some other trojan or
  195. virus into your system while cleaning up something else?
  196.  
  197. In particular, #3 concerns me.  Suppose the authors of the AIDS trojan
  198. are out there, and have created a "fixer" program that cleans up the
  199. AIDS problem but plants a new and far more damaging trojan on the
  200. victim's disk.  Just think -- everyone is in a panic about the AIDS
  201. bit, so they jump at the opportunity to get a fix.  Just think how
  202. much more wide-spread the result might be than the original AIDS
  203. problem.  Furthermore, since a fix might have to write to system files
  204. and do special operations, warning messages from virus monitors like
  205. FluShot+ might be ignored by users as these fixes are run.
  206.  
  207. Of course, #2 is a problem, too.  Buggy software is all too common,
  208. especially when it is written under pressure.
  209.  
  210. Be very sure you know what you're running.  If you don't get source
  211. code and build it yourself, be sure to ask yourself how you know it is
  212. doing what you think it is.
  213. - --
  214. Gene Spafford
  215. NSF/Purdue/U of Florida  Software Engineering Research Center,
  216. Dept. of Computer Sciences, Purdue University, W. Lafayette IN 47907-2004
  217. Internet:  spaf@cs.purdue.edu   uucp:   ...!{decwrl,gatech,ucbvax}!purdue!spaf
  218.  
  219. ------------------------------
  220.  
  221. Date:    22 Dec 89 06:19:13 +0000
  222. From:    spaf@cs.purdue.edu (Gene Spafford)
  223. Subject: Motivations & Trends
  224.  
  225. At various seminars during the past few months, I've been making a
  226. few statements about the motives behind viruses and related threats
  227. (like the AIDS diskette).  I'd like to share them with this audience,
  228. too.  I hope I'm wrong about these, but....
  229.  
  230. Theorem #1)  The majority of viruses written so far have been done for
  231. "sport," by people who have been trying to prove that they can write
  232. viruses.  Others are possible experiments that got away, and a few
  233. specific cases of revenge.
  234.  
  235. Theorem #2) Within a year or so, writing viruses for "sport" will
  236. almost cease to happen.  They are becoming so well known and such a
  237. nuisance, and software guards are such that casual attempts will not
  238. be tried nor will they be successful if tried.
  239.  
  240. Theorem #3) We will see more cases of viruses, etc. written as acts of
  241. political terrorism and as acts of extortion.  Examples of
  242. politically-related computer attacks have occurred recently: the
  243. Stoned (New Zealand) virus, the Dukakis Mac virus, the FuManchu virus,
  244. the NASA "wank" worm, and perhaps the current AIDS trojan horse.
  245. These will be much more cleverly written and well-funded attacks as
  246. time goes on.  (Imagine viruses that flash messages like: "Experiment
  247. with Computers, not Animals," "Save the Unborn," "Ban Nuclear Power,"
  248. "Free Palestine," etc.)
  249.  
  250. Theorem #4) Within the next few years, there will be at least one
  251. major problem where some purported anti-viral/security software will
  252. be made available, and it will contain a logic bomb or trojan horse in
  253. it that causes more damage than what it is supposed to fix.  (Minor
  254. thesis: the likely author of such software will be someone marketing
  255. commercial security software, and the logic bomb version will be a
  256. public-domain package not traceable to the author.  The purpose -- to
  257. discredit public domain anti-virus software.)
  258.  
  259. Theorem #5) Too many people will continue to seek a software solution
  260. even though the problem is only partially in software.  Thus, we
  261. aren't going to see an end to the problem for a long time to come.
  262.  
  263. Comments?  Discussion?
  264. - --
  265. Gene Spafford
  266. NSF/Purdue/U of Florida  Software Engineering Research Center,
  267. Dept. of Computer Sciences, Purdue University, W. Lafayette IN 47907-2004
  268. Internet:  spaf@cs.purdue.edu   uucp:   ...!{decwrl,gatech,ucbvax}!purdue!spaf
  269.  
  270. ------------------------------
  271.  
  272. Date:    Thu, 21 Dec 89 23:55:53 -0800
  273. From:    Nagle@cup.portal.com
  274. Subject: Finding the source of the "AIDS disk"
  275.  
  276.       It may yet be possible to trace this thing.  The perpetrators
  277. probably didn't plan on the U.S. invading Panama.  If the appropriate
  278. authorities in the UK make the proper requests of the US while there
  279. are still 24,000 US troops in Panama, the needed information might
  280. be extracted.
  281.                                         John Nagle
  282.  
  283. ------------------------------
  284.  
  285. Date:    Thu, 21 Dec 89 14:18:00 -0700
  286. From:    Keith Petersen <w8sdz@WSMR-SIMTEL20.ARMY.MIL>
  287. Subject: New anti-virus and anti-trojan programs at SIMTEL20
  288.  
  289. I have uploaded the following files to SIMTEL20, obtained from the
  290. HomeBase BBS:
  291.  
  292. pd1:<msdos.trojan-pro>
  293. AIDSOUT.ARC     AIDS Trojan remover, use after SCANV
  294. A-VIRUS1.ARC    Information on AIDs Trojan
  295. SCANRS52.ARC    Resident virus infection prevention program
  296. SCANV52.ARC     VirusScan, scans your disk for 56 viruses
  297.  
  298. - --Keith Petersen
  299. Maintainer of SIMTEL20's CP/M, MSDOS, & MISC archives [IP address 26.2.0.74]
  300. Internet: w8sdz@WSMR-SIMTEL20.Army.Mil, w8sdz@brl.arpa  BITNET: w8sdz@NDSUVM1
  301. Uucp: {ames,decwrl,harvard,rutgers,ucbvax,uunet}!wsmr-simtel20.army.mil!w8sdz
  302.  
  303. ------------------------------
  304.  
  305. End of VIRUS-L Digest
  306. *********************
  307. Downloaded From P-80 International Information Systems 304-744-2253
  308.