home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.66

< prev

next >

Wrap

Text File  |  1995-01-03  |  15KB  |  353 lines

---

1. VIRUS-L Digest              Friday, 17 Mar 1989         Volume 2 : Issue 66
2.  
3. Today's Topics:
4. re: Virus hysteria.
5. overprotection, lowercase VM filenames, corporate espionage
6. Re: File lock protection?  (Mac)
7. Virus Publicity & the Media
8. Re: File lock protection?  (Mac)
9. notarization
10. New virus (PC)
11. nVIR infection on MAC
12.  
13. ---------------------------------------------------------------------------
14.  
15. Date: Tue, 14 Mar 89 15:07 EST
16. From: Eric Thies <ETHIES@UNCG.BITNET>
17. Subject: re: Virus hysteria.
18.  
19. >Date:     Mon, 13 Mar 89 08:40 EST
20. >From:     Cincinnati Bengals. <KUMMER@XAVIER.BITNET>
21. >Subject:  Virus hysteria.
22. >
23. >     I was wondering if anyone has comments on the way reports of
24. >viruses seem to be given too much attention by the media.  As an
25. [...]
26. >Surely this is newsworthy, but front page?  This seems comparable to
27. >placing reports on the front page every time the common cold breaks
28. >out on campus.  Comments?
29.  
30. Yeah.  We got about the same reaction a while back when we had a few
31. problems with a virus.  And about a week later, the internet virus
32. hit.  The papers sort of lumped everything together; one even claimed
33. that we had 25 or so computers hit by the internet virus.  Actually we
34. had 25 or so floppy disks hit by the PC virus and weren't touched by
35. the internet virus (we aren't on the internet (yet) :-)
36.  
37. I get the feeling that computer viruses are the new boogie man.  For
38. most people, computers are these big, mysterious things which sort of
39. 'control' things...and the idea that these viruses can 'destroy
40. everything' is terribly frightening to most.  This parallels the fear
41. that the word Communist used to (and for some still does) invoke.
42.  
43. Something that most don't know much about and that can destroy
44. everything...  something we can't control...since it has
45. control...makes us feel HELPLESS.  The media love to pick up on things
46. that scare the hell out of folks...fear and sex sell.  Just wait for a
47. virus that draws sexy pictures...:-)
48.  
49. >Tom Kummer
50.  
51. - -eric
52. ++==++==++==++==++==++==++==++==++==++=++==++==++==++==++==++==++==++==++
53. Eric Thies, Systems                    ethies@uncg.bitnet
54. Academic Computer Center               ethies%uncg.bitnet@cunyvm.cuny.edu
55. Univ. of N. Carolina at Greensboro     ethies@ecsvax.uncecs.edu
56. Greensboro, NC 27412-5001  Tel: (919) 334-5350   "Peace, love, waterbed."
57. ++==++==++==++==++==++==++==++==++==++==++==++==+==++==++==++==++==++==++
58.  
59. ------------------------------
60.  
61. Date:         Wed, 15 Mar 89 04:22:11 EST
62. From:         Steve <XRAYSROK@SBCCVM.BITNET>
63. Subject:      overprotection, lowercase VM filenames, corporate espionage
64.  
65. I just wanted to comment on some things:
66.  
67.    Reed Rector suggests that he'd be willing to pay more for a program
68. that incorporated some kind of anti-viral or virus-detection feature.  I
69. wouldn't.  First of all, I am very picky and have enough trouble finding
70. software that has precisely the features I want, so I could care less
71. about an added new-fangled and probably ineffective anti-viral feature.
72. Second, I rarely come across viruses (none so far that I know of.  In
73. fact I don't think I even know anybody who has actually seen a virus.
74. Yes, I got a copy of CHRISTMA EXEC, but I wasn't stupid enough to run
75. it...).  Second, I prefer to protect myself by keeping backup copies of
76. things I care about (on write-locked diskettes); this is also good
77. protection against the most common problem I encounter: corrupted
78. portions of a disk (NOT due to a virus or the like, but instead due to
79. a bad or marginal sector, or a program that doesn't check to see that
80. you haven't switched diskettes before it writes).  Sophisticated file
81. encryption schemes would waste my time (but it wouldn't hurt to have
82. checksums somewhere so I could check the integrity of my files should I
83. ever suspect viral activity).  I am in agreement with what Don Alvarez
84. said so very well about all this a few months ago.
85.  
86.    Bruce Ide mentions a program that changes all your (VM) filenames to
87. lowercase on an IBM mainframe system.  I encountered lowercase
88. filenames by accident initially (created by one of my own programs).
89. I now have EXECs which rename mixed-case filenames to or from uppercase.
90. This sort of thing is really not a problem.  And there's always VMBACKUP
91. (automatic backups) if one finds a few files missing...
92.  
93.    Joe Sieczkowski raises the very interesting issue of a company
94. patching a trapdoor into a competitor's computer.  I would think that no
95. company would be willing to risk their reputation on such an escapade.
96. The secret would very likely come out eventually (or even serve very well
97. as blackmail material for a disgruntled systems programmer).  However...
98.  
99. Steve Woronick         | Disclaimer:  Always check it out for yourself...
100. Physics Dept.          |
101. SUNY at                |
102. Stony Brook, NY  11794 |
103. Acknowledge-To: <XRAYSROK@SBCCVM>
104.  
105. ------------------------------
106.  
107. Date:     Wed, 15 Mar 89 09:10 EST
108. From:     "Brian D. McMahon" <BRIAN@UC780.BITNET>
109. Subject:  Re: File lock protection?  (Mac)
110.  
111. >MacUser magazine reported in the Tip Sheet section of their April
112. >issue that locking individual files using the Locked bit of the Finder
113. >info (using the Locked button in the Get Info window, or a file
114. >utility program) will prevent virus infection.
115. [ . . . ]
116. >My question -- will this really accomplish anything?  Can any known
117. >viruses infect an application file that has its Locked bit set?
118.  
119. No.  A file that has been locked by software can also be *unlocked* by
120. software.  On the Mac, this is darn near trivial -- I think it would
121. be a matter of only a few bytes of code in the virus, to call the
122. appropriate unlocking routine.  (Where is my _Inside Macintosh_ when I
123. need it?)  While I don't know for certain whether any of the known
124. nasties actually do this, relying on software locks is definitely
125. unsafe.
126.  
127. >Mark H. Anbinder
128. >Department of Media Services
129. >Cornell University
130.  
131. Brian McMahon    <BRIAN@UC780>
132. Administrative Computing
133. University of Maryland University College
134.  
135. ------------------------------
136.  
137. Date:     Wed, 15 Mar 89 09:02 MDT
138. From:     "Craig M." <SIERRA@USU.BITNET>
139. Subject:  Virus Publicity & the Media
140.  
141. I agree with Tom Kummer--I think there is too much "sensationalizing"
142. of a virus outbreak.  An even more obvious example than the front-page
143. newspaper article is our University of Utah's Mac outbreak.  It not
144. only hit the Deseret News and Salt Lake Tribune (although not front
145. page), all three network station carriers reported it on the evening
146. news.  It also hit a cable news station, but it was later at night.
147.  
148. They must think that something like this is outstanding and will
149. capture more-than-normal public attention; I can't imagine what else
150. it could be.
151.  
152. ------------------------------
153.  
154. From: Danny Schwendener <macman%ifi.ethz.ch@RELAY.CS.NET>
155. Subject: Re: File lock protection?  (Mac)
156.  
157. >MacUser magazine reported in the Tip Sheet section of their April
158. >issue that locking individual files using the Locked bit of the Finder
159. >info (using the Locked button in the Get Info window, or a file
160. >utility program) will prevent virus infection.
161.  
162. All currently known viruses will fail to infect a file if the latter
163. is locked. All viruses (current and future) will fail if the *disk*
164. the file is on is locked. The difference is that locking a file merely
165. causes a bit in the file information to be changed, while
166. (hardware-)locking a disk physically disables all write-accesses to
167. the volume.
168.  
169. Software-locking of files or volumes may be bypassed, albeit not
170. easily. Moreover, some applications, which save their settings in the
171. data fork or in a resource within the application file, won't work
172. correctly if they have been previously locked. So it is not a good
173. idea to rely on software-locking as only protection against viruses.
174.  
175. - -- Danny Schwendener
176.    ETH Macintosh Support
177.  
178. ------------------------------
179.  
180. Date:  Thu, 16 Mar 89 08:55 EST
181. From:  Lambert@DOCKMASTER.ARPA
182. Subject:  notarization
183.  
184. >You STILL need a clean channel for transmitting the decryption key;
185. >else anyone can modify a decrypted version of the signature file,
186. >encrypt it again with another public key set and distribute the
187. >new decryption key with the new signature file.  This is a trivial
188. >step for anyone who actually desires to modify the signature file.
189. >Public-key cryptography is just begging the question.
190.  
191. Not true.  All signatures for a hierarchical notarization system
192. would be verifiable to a single primary authority.  The ONLY
193. trusted distribution required for the system would be the
194. public certificate of the "root" certification authority.
195.  
196. The following illustration should clarify this proposal.
197.  
198. Pa      is the public certificate of authority "A"
199. Sa(Pb)  is the public certificate of "B" signed by "A"
200.  
201.                                    Pa
202.                              |
203.                    -------------------
204.                    |                  |
205.                    | Sa(Pb)           | Sa(Pc)
206.               ------------       ------------
207.               |          |       |          |
208.               |          |       |          |
209.              Sb(Pd)     Sb(Pe)  Sc(Pf)     Sc(Pg)
210.  
211. A more formal description  can be found in ISO DIS 9594-8
212. where ASN.1 is used to define a certificate as:
213.  
214. Certificate  ::= SIGNED SEQUENCE {
215.         signature             AlgorithmIdentifer,
216.         issuer                Name,
217.         validity              Validity,  -- a time period
218.         subject               Name,
219.         subjectPublicKeyInfo  SubjectPublicKeyInfo}
220.  
221. The important part of this certificate defintion is
222. that the certification authority (CA) binds the
223. subjects name, the subjects public information,
224. and the certification authorites name (issuer) together
225. with a digital signature.
226.  
227. Extending the definitions in 9594-8 for the notarization of files
228. a posible "dataseal" would be:
229.  
230. DataSeal  ::= SIGNED SEQUENCE {
231.         filename              OCTET STRING,
232.         filelength            INTEGER,
233.         algid                 AlgorithmIdentifer,
234.         issuer                Name,
235.         filehashvalue         ENCRYPTED OCTET STRING
236.                               -- where the octet string is the
237.                               -- result of the hashing of
238.                               -- data in 'filename'
239.         }
240.  
241. The definition above would allow the sealed data, the "dataseal"
242. and the certificates to be distributed separatly.
243.  
244.  
245. Paul A. Lambert                  Motorola GEG, Secure Network Section
246. Lambert -at docmaster.ncsc.mil   8201 E. McDowell
247. (602) 441-3646                   Scottsdale, Az. 85252
248.  
249. ------------------------------
250.  
251. Date: Thu Mar 16 09:16:13 1989
252. From: utoday!greenber@uunet.UU.NET
253. Subject: New virus (PC)
254.  
255. Just a quick note on a relatively new virus, and a "directed" virus at
256. that:
257.  
258. One of my larger clients called me in because they discovered that
259. some of their dBase files were corrupt. Wanted me to fix them up.
260. When I got there, I discovered that a database file (all have .DBF
261. extensions) worked on machine A, but when the files were copied to
262. floppy, they didn't work on machine B.  But they would work on a
263. machine which had Machine A's copy of DBASE brought over to it.
264.  
265. Upon investigation, I discovered a small TSR virus on Machine A.  It
266. had infected the DBASE program which was later run on MAchine C, hence
267. why it worked there.
268.  
269. The virus, after spreading to all .COM and .EXE files in the current
270. directory, would look for an open operation on a .DBF file.  All
271. writes to the file would have two bytes transposed at random. These
272. bytes' offsets were stored in a file called "BUG.DAT" (a hidden file)
273. in the .DBF's directory.  Subsequent reads of this data would cause
274. the transposition of the same data, and everything would look nifty.
275. After this code had run for 90 days (after the BUG.DAT file was 90
276. days old), it would trash the disk (eat the FAT and root directory).
277.  
278. Getting rid of the virus wasn't difficult: just copy in new
279. executables from your backup.  However! If you did this, your data is
280. history - nothing to transpose it back into "real" form.  What I did
281. was to debug the heck out of the virus, find the *write* transposition
282. and null it out, then read each corrupted data file and write it back
283. out.  Look for the sequence
284.    "MOV  AL, ds:[bx+si]
285.     MOV  AH, ds:[dx+di]
286.     XCHG AH, AL
287.     MOV  ds:[bx+si], al
288.     MOV  ds:[bx+di], ah"
289.  
290. and either null out the XCHG operation or all of the above.  This
291. effectively will remove the transposition only only on the write (for
292. some reason, the reverse transposition on the read used substantially
293. different code).
294.  
295. After nulling it out, simply use the infected DBASE program to read
296. all the corrputed files and to write them back out to a new file.
297. Viola! Now, copy over the infected code with your backup copy of the
298. executable and things should work out well.
299.  
300. Since this is a TSR virus, make sure to do a boot operation after
301. you've done the "repair" on the DBASE program.  Obviously, you'll have
302. to disinfect all the other programs on your disk as well.  Look for
303. the sequence "ssi" at offset location 7. If found, you've found an
304. infected file.
305.  
306. The scary part: if you're infected and just remove the infection, your
307. data becomes worthless.
308.  
309. I've only seen this virus at one site so far.
310.  
311. Ross M. Greenberg
312. UNIX TODAY!             594 Third Avenue   New York   New York  10016
313. Review Editor           Voice:(212)-889-6431  BBS:(212)-889-6438
314. uunet!utoday!greenber   BIX: greenber  MCI: greenber   PCMagNet: 72241,36
315.  
316. ------------------------------
317.  
318. Date: 17 March 1989, 01:30:05 ECT
319. From: Anders Christensen   +47-7-59-3004 <ACHRISTE@NORUNIT.BITNET>
320. Subject: nVIR infection on MAC
321.  
322. Some users at our university claim that their Macintoshes have been
323. infected by nVIR after they inserted and then removed an infected
324. diskette, without executing any program on (or booting from) the
325. infected diskette.
326.  
327. One of the users claims this happened:
328.    - He booted from a writeprotected 'clean' original diskette
329.    - He formated the harddisk, and moved the system and some other
330.         software there (all writeprotected and 'clean')
331.    - He then tested the system with VirusDetective and Interferon
332.         without getting any warnings
333.    - Then he inserted an infected diskette, and removed it immediately
334.         without running any program
335.    - He then ran VirusDetective and Interferon and got a message that
336.         the harddisk has been infected by nVIR.
337.  
338. The above would be possible if the Mac loaded executable code from the
339. diskette into memory and started executing it whenever a diskette is
340. inserted. Is there any Mac-Wizard who can tell me if Macs behave like
341. this or not?
342.  
343. Anders Christensen
344. User Consultant
345. Computer Center (RUNIT-D)
346. Norwegian Institute of Technology
347.  
348. ------------------------------
349.  
350. End of VIRUS-L Digest
351. *********************
352. Downloaded From P-80 International Information Systems 304-744-2253
353.