home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.43

< prev

next >

Wrap

Text File  |  1995-01-03  |  13KB  |  339 lines

---

1. VIRUS-L Digest              Friday, 10 Feb 1989         Volume 2 : Issue 43
2.  
3. Today's Topics:
4. Problems with Toshiba Laptop - virus? (PC)
5. Valentine's Day VTxxx trojan horse mail message
6. 'ALERT'virus - short follow-up  (Mac)
7. Thanks & virus query (PC)
8. Information Requested
9. Apple 2 Elk virus
10.  
11. ---------------------------------------------------------------------------
12.  
13. Date:     8-FEB-1989 14:44:41 GMT
14. From:     <DOONER@VAX1.LSE.AC.UK>
15. Subject:  Problems with Toshiba Laptop - virus? (PC)
16.  
17. Dear Moderator:
18.    I am very new to your VIRUS-L mailing list, and still somewhat
19. unfamiliar with viruses in general. Recently, however, I have noticed
20. some peculiar behavior with my Toshiba 1200 Laptop computer. It seems
21. to throw random "h"s on the screen from time to time. At first, fairly
22. infrequently, and then increasingly more so. At this point it throws
23. "h"s, backspaces, spaces so often it's as if it has a mind of its own.
24. At present I am having the keyboard diagnosed at the dealer, but its
25. behavior did not give me the feeling that it was actually a keyboard
26. problem. Does any of this sound remotely familiar?
27.    Any help would be greatly appreciated.
28.  
29. Thanks in advance,
30. Bob Dooner
31. London School of Economics
32. (Dooner@uk.ac.lse.vax1)
33.  
34. ------------------------------
35.  
36. Date:         Thu, 9 Feb 89 17:54:00 EST
37. Sender:       Virus Alert List <VALERT-L@IBM1.CC.Lehigh.Edu>
38. From:         Gary Ansok <ANSOK@STSCI.BITNET>
39. Subject:      Valentine's Day VTxxx trojan horse mail message
40.  
41. The following was posted on our local bulletin board, so we're
42. definitely getting into third- and fourth-hand information here.
43. This is really just a Trojan Horse rather than a virus, but I
44. thought I'd pass it along.
45.  
46. - ------------------------
47. Folks,
48.         What I am about to relate was triggered by a second-hand rumor,
49. but it reflects a very valid security concern and is something that we
50. may wish to deal with immediately.
51.  
52.         The rumor is that a Valentine's Day message has been prepared
53. that has the potential for causing lots of personal (and operational)
54. havoc.  Any user who reads this message, on a VAX system, using a
55. standard DEC terminal, will have all of his files deleted.  This little
56. nastygram is rumored to also put a sweet message and heart on the
57. screen while doing its dirty work.  A nice touch.
58.  
59.         At the risk of being alarmist, I suggest that we immediately
60. inform our users to be suspicious of any messages of unknown origin.
61. Information is limited and we do not know if it will appear or how to
62. recognize it if it does.  If I get more information I'll send it
63. along.
64. - -------------------------
65.  
66. I have a few questions for anyone who knows VTxxx terminals:
67.  
68. 1)  Is it possible to do this on a VT1xx or VT2xx terminal?  I know it
69.         is possible to cause the answerback message to be echoed, but
70.         I don't know of a command to load the answerback message from
71.         the host; it is possible to load a definition into a (shifted)
72.         function key, but that requires the user to press the key;
73.         I know of no command to echo the contents of the screen back
74.         to the host as input.
75.  
76. 2)  If it is possible, is there a setup option that will immunize the
77.         terminal from this particular disease?
78.  
79. This sort of attack has been known for years, especially on
80. forms-oriented terminals, but I had believed that my terminal (a
81. VT220) was not subject to this particular vulnerability.
82.  
83. Has anyone else heard about this?  Has anyone actually SEEN this
84. beast?  If you notice it ahead of time, it should be simple to
85. determine what it does and where it came from (unless it's
86. self-perpetuating like the XMAS EXEC -- but there's no easy list of
87. destinations on VAX/VMS).
88.  
89.         Gary Ansok
90.         <ANSOK@STSCI.BITNET>   or   <ANSOK@SCIVAX.STSCI.EDU>
91.  
92. P.S.  The lack of a way for this thing to hide its origins from anyone
93.         who is looking for it makes me wonder if it is real.  But I'll
94.         be looking over my incoming mail extra carefully for a few weeks
95.         anyway.  -- Gary
96.  
97. ------------------------------
98.  
99. Date:     Fri, 10 Feb 89 01:25:00 GMT
100. Sender:   Virus Alert List <VALERT-L@IBM1.CC.Lehigh.Edu>
101. From:     Danny Schwendener <SEKRETARIAT@CZHETH5A.BITNET>
102. Subject:  'ALERT'virus - short follow-up  (Mac)
103.  
104. >PS:  I (David Richardson) have never actually seen this, & I honestly hope
105. >it is a hoax (like the "modem  virus"), but it is too scary to ignore.
106.  
107. I'm very afraid it isn't a hoax. I spent a good part of the afternoon
108. trying to reach Thierry Delettre and the DTS of Apple France. I
109. reached both of them. Below are some precisions. For those who want
110. general info, check the posting made a few days ago.
111.  
112. - - The virus adds 1344 bytes to the CODE ID=1 resource of an application
113. - - it has been purposely written to attack applications from Apple Inc.,
114.   and does this by checking if CODE ID=1 is named "Main". Other applications
115.   won't be infected. non-application files won't be touched by the virus.
116. - - the code segment starts with the following byte sequence: 6000 0028
117.   (this is BRA *+42 for those of you without sixteen fingers) and
118.   contains the four letters 'ANTI' (I think right after this first
119.   instruction, but I'm not sure - the line noise was terrible). Note that
120.   the CODE ID=1 resource also contains a 4-byte segment header, so check
121.   for the sequence in bytes 5-8.
122. - - It loves MultiFinder. Seems to propagate faster through MultiFinder than
123.   through a standard Finder environment.
124. - - Vaccine detects it only if the "Always Compile MPW INITs" is unchecked
125.   (could someone explain me why?)
126.  
127. I should get a copy of the bugger by the end of next week, if the french
128. postal service doesn't go on strike again. Expect a report soon.
129.  
130. - -- Danny Schwendener
131.    ETH Macintosh Support, ETH-Zentrum, m/s PL, CH-8092 Zuerich, Switzerland
132.    UUCP:     macman@ethz.uucp     BITNET:    macman@czheth5a.bitnet
133.    Internet: macman@ifi.ethz.ch   AppleLink: macman%czheth5a.BITNET@DASNET#
134.  
135. ------------------------------
136.  
137. Date:         Thu, 9 Feb 1989 16:58 PAC
138. From:         Marty Zimmerman <MARTYZ@IDUI1.BITNET>
139. Subject:      Thanks & virus query (PC)
140.  
141. Thanks to all of you who responded to my question about (c) Brain.
142. Your help is greatly appreciated.
143.  
144. Now I have another question about an unidentified virus (?).  This one
145. turned up in a department on campus when they were checking their disks
146. for (c) Brain.  The symptoms are as follows:
147.  
148. 1) A strangely altered boot track (on 360K floppies) that Nortons says
149. is "not a boot track".  The machine appears to boot normally, though.
150. There are no messages that are obvious.  One of our Systems people is
151. currently disassembling it to find out what it does, but we do know that
152. it sets aside about 10K of RAM for itself before loading DOS.
153.  
154. 2) Alterations to the FORMAT.COM file, if it exists on the contaminated
155. disk.  The only obvious change is the prompt that asks the user to
156. press ENTER to begin formatting.  Now it says "Press <-' to begin".
157. In other words, it tries to draw out the ENTER/RETURN symbol.
158.  
159. Are we just getting paranoid, or does this sound familiar to anybody?
160. None of the disks in this department showed any signs of (c) Brain
161. infection.
162.  
163. Thanks again for your comments.
164.  
165. Marty Zimmerman
166. Computer Services
167. University of Idaho
168. <MARTYZ@IDUI1>
169.  
170. ------------------------------
171.  
172. Date:         Thu, 09 Feb 89 20:24:13 CST
173. From:         James Ford <JFORD1@UA1VM.BITNET>
174. Subject:      Information Requested
175.  
176. We are starting a Computer Post here, and one of the topics of
177. discussion will be viruses/trojans.  Does anyone have any suggestions?
178. The average age of the students involved is 14-17 (8th grade - 12th
179. grade).  Due to this, a "detailed" technical representation is not
180. necessary (and I probably wouldn't get it right, anyway..(grin)).
181.  
182. Please respond directly to me.
183.  
184.                        Thanks in advance,
185.  
186.                            James
187.  
188. P.S.  If someone has already done this to a similar age group, I would
189.       like to here from them.
190.  
191. Disclaimer:  Hacking can be fatal to your files.........
192.  
193. ------------------------------
194.  
195. From:       The Heriot-Watt Info-Server <infoadm@CS.HW.AC.UK>
196. Date:       Fri, 10 Feb 89 10:32:14 GMT
197. Subject:    Apple 2 Elk virus
198.  
199. Re: Bruce Howells request for information on the elk cloner virus for
200.     the Apple 2, I enclose a copy of an article from USENET posted by
201.     <PGOETZ@LOYVAX.BITNET> on April 26 1988, giving further details. Hope
202.     this is of some use.
203.  
204.  
205. Here are descriptions of a virus and a nasty program header which run
206. on the Apple II family.
207.  
208. ===============
209.                         The Elk Cloner V2.0
210.  
211.    I found the Elk Cloner V2.0 #005 on a disk of mine in 1981 or 82.
212. I'm fairly certain it could not have been written before the
213. publication of Beneath Apple DOS, so I would date it around
214. mid-1981...  It works exclusively with DOS 3.3.
215.  
216. THE VIRUS
217.  
218. 1.  It is installed by booting an infected disk.  I'm not sure how it
219. initially gains control; apparently it is loaded in with some trash
220. from T0 SA which DOS loads for no apparent reason.  (BTW, since
221. HackerDOS rearranges DOS on the disk, the Cloner would trash it.  It
222. might trash master disks, I don't know.)  If you use a modified DOS
223. which marks T2 S3-8 as free for use (as HackerDOS does), it would
224. overwrite any file stored there.
225.    A JMP $9B00 which was installed when the disk was infected jumps to
226. this code (I think) and loads the virus from T2 S3-S8 into $9000-95FF.
227.  
228. 2.  Next, it inserts its claws into DOS:
229.    A. Hooks into the Do Command code at $A180 and makes every command
230. reset the DOS parse state to 0.  I have no idea why it does this.  It
231. has no obvious effects.
232.    B. Hooks into the RUN, LOAD, BLOAD, and CATALOG commands to make
233. them check the disk accessed & infect it if necessary.
234.    C. Create a USR vector for the Cloner diagnostics:
235.  
236. B=USR(10)       Prints a cute poem:
237.  
238. ELK CLONER:
239.    THE PROGRAM WITH A PERSONALITY
240.  
241. IT WILL GET ON ALL YOUR DISKS
242. IT WILL INFILTRATE YOUR CHIPS
243. YES IT'S CLONER!
244.  
245. IT WILL STICK TO YOU LIKE GLUE
246. IT WILL MODIFY RAM TOO
247. SEND IN THE CLONER!
248.  
249. B=USR(11)       Prints ELK CLONER V2.0 #005 (version check)
250.  
251. B=USR(12)       Read the disk & prints BOOT COUNT: (#)
252.  
253. B=USR(13)       Infects a disk
254.  
255. 3. Increments the boot count
256.  
257. 4. Checks for any special event for this boot:
258.  
259. Boot # (hex)    Effect
260.  
261. A       Point reset vector to $FF69 (monitor)
262. F       INVERSE
263. 14      Click the speaker
264. 19      FLASH
265. 1E      Switch letters at $B3A7-B3AA so filetypes T I A B will appear as
266.         I T B A
267. 23      Change DOS signal character from ctrl-D to ctrl-E
268. 28      Lockout the computer on reset (dangerous one!)
269. 2D      Run the current program on any keypress (locks out the machine, also
270.           dangerous. BTW, this is done by setting the hibit of $00D6.)
271. 32      Print above poem on reset
272. 37, 3C, 46      Screw with the INIT code.  I think it will give you an I/O
273.           ERROR, but I haven't tried.  3C and 46 might be dangerous in that
274.           it might not init a whole disk.  I don't know.
275. 41      'Crash' to monitor on every DOS command
276. 4B      Reboot
277. 4C      Reboot
278. 4D      Reboot
279. 4E      Reboot
280. 4F      Write 0 to the boot count & start all over again!
281.  
282. 5. Sits back & infects disks.
283.  
284. This is how the program is structured:
285. 9000            Version number
286. 9001-9073       Setup
287. 9074-908F       [Check a disk for infection] code
288. 9090-90D9       Replacement code for LOAD, BLOAD, & CATALOG
289. 90DA-9178       [Infect] code
290. 9179            Read VTOC
291. 9181            Write VTOC
292. 91A8            Print routine
293. 91E4            Serial #
294. 91E5            Marked with a 0/1 if a disk is infected/uninfected
295. 91EC-9243       Diagnostics
296. 9244-9328       Poem
297. 9343-9435       Special events by boot count
298. 9500-9532       Code which loads Cloner on boot
299. 95E1-95FF       ASCII: MATT BE<ctrl-D>JOHN HINKLYJOHN HINKLE<ctrl-D>
300.                 (The author's hero?)
301.  
302. These are within the VTOC:
303. B3BE    Zeroed, I don't know why
304. B3BF    Boot count
305. B3C0    Zeroed, don't know why
306. B3C2    Infection mark: Version number (=(9000))
307.    There may be several versions out.  The version number would be used so
308. later versions would write over older versions, for a new improved
309. infection.
310.  
311. THE TEST
312.  
313. Any of these methods will work:
314.  
315. 1. Check T$11 S0 Byte 7. If it is non-zero, the disk might be infected.
316. 2. Check T1 S0 B$80-82. If they are 4C 00 9B, you have the Cloner.
317. 3. Check T2 S3 - T2 S8 for the Cloner.
318. 4. From Applesoft, immediately after boot, enter B=USR(11).
319.  
320. THE VACCINE
321.  
322.    If you write a 2 to T$11 S0 Byte 7, Cloner version 2 will not
323. infect that disk. I have verified this.
324.  
325. THE CURE
326.    Write something (like 00:1 AD 88 C0 4C 59 FF) to sector 0 so you
327. can't boot that disk.
328.  
329. PRECAUTIONS
330.    The Cloner will not work unless you boot an infected disk.  It
331. cannot infect a write-protected disk.  I have infected disks I use all
332. the time.  Just mark them as infected & don't boot them.
333.  
334. ------------------------------
335.  
336. End of VIRUS-L Digest
337. *********************
338. Downloaded From P-80 International Information Systems 304-744-2253
339.