home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.67

< prev

next >

Wrap

Text File  |  1995-01-03  |  17KB  |  412 lines

---

1. VIRUS-L Digest              Monday, 20 Mar 1989         Volume 2 : Issue 67
2.  
3. Today's Topics:
4. A New VIRUS Conference
5. (Mac) nVIR by Association
6. Re: nVIR2 (??) (Mac)
7. I need help with viruses (Mac)
8. File lock protection (Mac)
9. nVir2 on the Mac
10. Viruses in media
11.  
12. ---------------------------------------------------------------------------
13.  
14. Date:    Fri, 17 Mar 89 07:46 CST
15. From:    Ken  De Cruyenaere <KDC@UOFMCC.BITNET> 204-474-8340
16. Subject: A New VIRUS Conference
17.  
18.    The Computer Security Institute has put together a pretty interesting
19.    sounding conference in early May.  Details follow:
20.  
21.            COMPUTER VIRUSES '89 at the IBM & DEC Users Conference
22.                May 1-3, 1989 * Hyatt Regency O'Hare * Chicago
23.                   Sponsored by Computer Security Institute
24.  
25.                               PROGRAM OVERVIEW
26.  
27. * Partial list of speakers addressing virus-related topics:
28.  
29.      Eugene H. Spafford, Purdue University, will present an in-depth
30.           analysis of the Internet worm incident.
31.  
32.      Michael Karels, head of UNIX development at UC Berkeley and an
33.           Internet worm "swat team" member, will discuss how UNIX is
34.           meeting the virus challenge.
35.  
36.      Kenneth R. van Wyk, creator of Lehigh University's VIRUS-L bulletin
37.           board, who led the fight against the Lehigh virus, will talk
38.           about lessons learned.
39.  
40.      Richard D. Pethia, Carnegie Mellon University, will describe the
41.           first DARPA CERT (Computer Emergency Response Team), which he
42.           heads.
43.  
44.      Davis McCown, prosecutor in the "Texas Virus Trial" which
45.           convicted Donald Gene Burleson in September 1988, will
46.           recount the investigation, the trial, and what was learned.
47.  
48. - -----------------------------------------------------------------------------
49. * "Live" demonstrations of viruses, hacking, bulletin boards:
50.  
51.      Ross Greenberg, author of FLU_SHOT+, will demo viruses and describe
52.           PC Magazine's evaluation of 11 anti-virus products.
53.  
54.      Thomas V. Sobczak of Application Configured Computers will
55.           demonstrate hacking, underground bulletin boards, virus
56.           behavior, and public domain solutions.
57.  
58.      John McAfee, Computer Virus Industry Association, will demonstrate
59.           virus and anti-virus programs and present new statistical
60.           information on viruses.
61.  
62. - -----------------------------------------------------------------------------
63. * Information on new security-related products:
64.  
65.      CA-ACF2/VAX and CA-Top Secret/VAX, which can help unify security and
66.           access control in mixed IBM-DEC shops.
67.  
68.      ClydeSentry, LJK/Security, Secure Pak, and The Security Toolkit,
69.           for assessing and monitoring security in DEC environments.
70.  
71. - -----------------------------------------------------------------------------
72. * Exhibition -- A wide range of computer security products will be
73. displayed during this two-day show.
74.  
75. * Workshop Orientation -- 42 half-day sessions
76.  
77. * Discounts:  40% air travel discounts with United
78.              35-40% discount on Hyatt Regency O'Hare room rates
79.  
80.  
81. For more information, Contact:
82.                    Van McGuirk
83.                    Computer Security Institute
84.                    360 Church Street
85.                    Northborough, MA 01532
86.                    (508) 393-2600
87. - ---------------------------------------------------------------------
88. Ken De Cruyenaere - Computer Security Coordinator
89. Computer Services - University of Manitoba - Winnipeg, Manitoba, Canada
90. Bitnet: KDC@CCM.UManitoba.CA               (204)474-8340
91.  
92. ------------------------------
93.  
94. Date:         Fri, 17 Mar 89 09:17:08 EST
95. From:         Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
96. Subject:      (Mac) nVIR by Association
97.  
98. The nVIR virus must be executed in SOME way for it to infect a system.
99. Inserting a disk causes SYSTEM code to be executed, but none from the
100. inserted disk. I suggest you track this person down, and have him/her
101. do it again, with you watching. See if there are any funky INITs or
102. suchlike that s/he's using.
103.  
104.   --- Joe M.
105.  
106. ------------------------------
107.  
108. Date:     Fri, 17 Mar 89 12:20:05 PST
109. From:     SPOCK@CALSTATE.BITNET  (Commander Spock)
110. Subject:  Re: nVIR2 (??) (Mac)
111.  
112. Chances are you have nVIR, Type B, and someone who has a cute sense of
113. humor has simply renamed the resource ID.  If you can afford to spend
114. about $70, go out to a retail store and purchase a copy of "Virex" by
115. HJC Software.  It should alleviate the problem.
116.  
117. Hope this helps!
118.  
119. Robert S. Radvanovsky      spock%calstate.bitnet@cunyvm.cuny.edu (Internet)
120. California Polytechnic Univ. spock@calstate.bitnet                 (BITNET)
121. Pomona, California
122.  
123. P.S. Any questions?  Send them to me!  I'll try to help you as much as
124. possible.
125.  
126. ------------------------------
127.  
128. Date:    Fri, 17 Mar 89 18:07 EST
129. From:    "Sonja Kueppers (814)862-8079" <SEK101@PSUVM.BITNET>
130. Subject: I need help with viruses (Mac)
131.  
132. I am a lowly student employee of the Center for Academic Computing at
133. Penn State University, and I need help in convincing my bosses that it
134. is NOT necessary to add any other search strings to Virus Detective
135. 2.1.1.  Everyone here seems convinced that search strings like DATA ID
136. - -4001 and atpl ID 128, both of which are redundant to CODE JStart 7026
137. for our purposes-all we are trying to do is find the viruses anywhere
138. on the system disk so that we know to recopy the disk.
139.  
140. If you have any information which would help me convince my bosses of
141. this, please send it to me!  Thanks!
142. - -Sonja
143.  
144. ------------------------------
145.  
146. Date: Sat, 18 Mar 89 13:56:48 EST
147. From: joes@dorothy.csee.lehigh.edu (Joe Sieczkowski)
148. Subject: File lock protection (Mac)
149.  
150.  
151. >Set the file locked bit will prevent a virus from using the high level
152. >write routines to change the file.
153. >...
154. >To write to the locked file the virus writer on the Mac would probably
155. >have to use low level routines and do sector read/writes with manual
156. >update of the catalog.
157.  
158. I'm no MAC expert but I don't even think low level routines are necessary.
159. ie,
160.   if file locked then
161.       unlock file
162.       infect/change file
163.       lock file
164.   else
165.       infect/change file
166.  
167. Joe
168.  
169. ------------------------------
170.  
171. Date: 18 Mar 89 20:37 +0100
172. From: Markus Mueller <muellerm%inf.ethz.ch@RELAY.CS.NET>
173. Subject: nVir2 on the Mac
174.  
175. > is infected by a form
176. > of the nVir virus which we have not previously encountered.  We have
177. > numerous public domain virus programs (AntiPan, Interfereon, VirusRX,
178. > VirusDetectve, Ferret, KillScoresUs, AntiVirus, and Vaccine) but none
179. > of them has been able to adequately deal with the strain of nVir we
180.  
181. Looks like the same strain of nVIR that we have seen a couple of times
182. at ETH Zurich. Unlike the regular vNIR, this strain does not maintain
183. an nVIR 2 resource but hides that information somewhere else, causing
184. all disinfection programs to fail. The only way to get rid of this
185. nVIR strain is to reload all infected applications from clean copies.
186.  
187.    Markus Mueller
188.    Communications Systems Group
189.    Eidgenoessische Technische Hochschule
190.    CH-8092 Zurich
191.    Switzerland
192.  
193.    Switch : muellerm@inf.ethz.ch
194.    ARPA   : muellerm%inf.ethz.ch@relay.cs.net
195.    UUCP   : muellerm%inf.ethz.ch@cernvax.uucp
196.    X.400  : G=markus;S=mueller;OU=inf;O=ethz;P=ethz;A=arcom;C=ch
197.  
198. ------------------------------
199.  
200. Date:     Sat, 18 Mar 89 17:42 EST
201. From:     Dimitri Vulis <DLV@CUNYVMS1.BITNET>
202. Subject:  Viruses in media
203.  
204. Reprinted without permission from _The Office: Magazine of Information
205. Systems and Management_, March 1988. I have omitted about 50% of the
206. paper (that was not false and/or misleading):
207.  
208. >                The Computer Virus: is There a Real Panacea?
209. >
210. >What first began as a prank has since reached the point where everyone
211. >has cause to worry.
212. >
213. >                             By Scott W. Cullen
214. >
215. >You are sitting at your computer, working on an important report.
216. >Suddenly, the information on screen disappears and is replaced by the
217. >word ``Goodbye.''  Within seconds, this message vanishes from your
218. >view. You try to retrieve data only to discover it is gone, along with
219. >all the other files stored on that disk. You have just been attacked
220. >by a computer virus, and you are not alone.  It is estimated that
221. >nearly 350,000 computers were infected by some type of virus last
222. >year.
223.  
224. The introduction, and the accompanying cartoon, are a rip-off of the
225. Time magazine article.
226.  
227. >...
228. >
229. >A virus is a self-replicating block of code that enters a computer via
230. >diskette, over telephone lines, or manually. The one characteristic of
231. >a virus that distinguishes it from other codes is that it spreads the
232. >infection just as humans spread a biological virus---by contact. As
233. >healthy diskettes and programs come in contact with the disk drive of
234. >an infected computer, the virus, in the form of a format code, merges
235. >into that disk causing an infection.
236.  
237. A meaningless use of buzzwords.
238.  
239. >According to Jon David, a Tappan, N.Y.-based computer consultant,
240. >``Viruses usually affect specific operating environments. When those
241. >environments change, a virus may act differently. It may pose no
242. >danger in one but wreak havoc in another.''
243. >
244. >A virus may destroy data, reformat a disk, weak out its drive, or
245. >flash a harmless message on screen. ``The most insidious problem is a
246. >virus that spreads itself and causes occasional errors,'' says Larry
247. >DeMartin, president of Computer Integrity Corp.
248. >
249. >Many viruses are self-replicating, often consuming significant space
250. >in a computer's memory and eventually jamming the machine. Even
251. >computers utilizing voice synthesizers have been stricken with audible
252. >disturbances. A virus not only affects PCs; it can attack mainframes
253. >and minicomputers.
254.  
255. That is, the same virus infects PCs, minis and mainframes?
256.  
257. >Most viruses have what is described as a Trojan Horse feature or
258. >trigger that instructs it to act at a predetermined time or event such
259. >as a specific number of program executions. This may happen the same
260. >day or years later.
261.  
262. That's not what I mean by a Trojan horse...
263.  
264. >...
265. >
266. >The first virus was created in the 1960s as a game. Kept secret for
267. >nearly 20 years, the formula was reveled in a 1983 speech by Ken
268. >Thompson, a software engineer who wrote the first version of the Unix
269. >computer operating system.  One year later, a columnist for a
270. >scientific journal mailed readers, who sent in a $2 postage fee,
271. >guidelines for creating their own viruses. Since that time, malicious
272. >hackers have been hovering over keyboards honing unhealthy programs.
273.  
274. I don't think I have to comment on this...
275.  
276. >One of the first destructive viruses to gain notoriety was the
277. >``Pakistani Virus,'' which first appeared in early 1986. Created by a
278. >computer store owner in Lahore, Pakistan, as retribution against users
279. >who made illegal copies of his customized programs, the virus was
280. >inserted in brand-name software and later sold to American tourists.
281. >Because these customers often exchanged disks or made bootleg copies
282. >for friends, the virus spread to nearly 100,000 floppy disks, often
283. >wiping out data.
284.  
285. I don't know where the number came from. The story differs
286. significantly from what has been reported by others.
287.  
288. >...
289. >
290. >The media blitz following the November 1988 epidemic affecting users
291. >of the low-security InterNet message exchange network turned a hacker
292. >into a celebrity and spawned a score of imitators. Some of these
293. >hackers even broke into the same network less than a month after the
294. >earlier incident. Apparently network users were circulating
295. >information on methods to prevent unauthorized access, and
296. >inadvertently tipped off hackers to the formula for plugging into
297. >unprotected networks.
298. >
299. >Shared information networks such a InterNet are designed for easy
300. >access and are more susceptible to a virus that those providing
301. >sensitive information.  Even though these networks are harder to
302. >penetrate because of the complex series of access codes or passwords,
303. >computer experts believe that no system or network is virus-proof.
304. >``There is always an entry point, even in a diskless system with no
305. >outside connection,'' explains Del Jones, president, National LAN
306. >Laboratory...
307.  
308. No comment.
309.  
310. >...
311. >
312. >Computer security methods vary. Perhaps the most drastic is turning
313. >off a machine and leaving it off. Another alternative is disconnecting
314. >it from telephone lines. Securing operations by restricting or
315. >monitoring computers and their facilities access is a more reasonable
316. >means of protection which many organizations have adopted. ``Companies
317. >are not afraid of virus attack, but of using system use,'' said Mr.
318. >David.
319. >
320. >An infected computer can be costly. According to the Computer Virus
321. >Industry Assn., an organization made up of software manufacturers who
322. >make anti-virus products, the cost to clean up last November's
323. >InterNet virus was estimated at about $96 million. Of 50,000 possible
324. >computers, 6200 were infected and shut down for nearly 16 hours. The
325. >group says it took an average of 12 programmers at each site some 36
326. >hours to evaluate every compute that may have been infected. The cost
327. >of each immobilized computer was put at $372 per hour, the association
328. >reported.
329.  
330. Somebody ought to do something about this CVIA. As far as I know, 6000
331. was a very rough estimate. All these exact numbers look very
332. suspicious.
333.  
334. >...
335. >
336. >The past five months have seen heavy interest in anti-viral products.
337. >After last year's highly-publicized incident, manufacturers of these
338. >programs experiences as much as a 50% sales increase.
339. >
340. >Some 30 products are available, ranging from detective programs which
341. >screen software for viruses, to recovery/corrective products which
342. >help a system recover from a virus attack by purging it. These
343. >programs cost from $10 to several hundred dollars.
344.  
345. That's unfortunate, since most of them are worthless/harmful.
346.  
347. >...
348. >
349. >Some programs require users to boot-up once in the morning, others
350. >require this more frequently. ``The more checking you do, the more
351. >secure you are,'' said Mr. David, ''and if you get protection that
352. >costs five minutes of time in the morning, it's worth it.''
353. >
354. >According to Mr. DeMartin, programs used the most often should be
355. >checked frequently. One such product checks for any program
356. >modification and also indicates direct human tampering, hard disk
357. >errors and operating system failures. Mr. DeMartin believes that a
358. >virus deserves its own protection mechanism because all previous
359. >computer diseases could be cured by yesterdays back-up tape.
360.  
361. Again, meaningless use of buzzwords.
362.  
363. >...
364. >
365. >                Sidebar: How to Reduce the Risk of Infection
366. >
367. >All software should be purchased from known, reputable sources and be
368. >in its original shrink-wrap or sealed diskette containers when
369. >received.
370. >
371. >New software should be reviewed carefully by a system manager and
372. >quarantined on an isolated computer before installation on a
373. >distributed system. This will reduce the risk of contamination.
374. >
375. >A back-up copy of software and data should be made at least one a
376. >month, with the back-up copy stored for at least one year before
377. >reuse. This will allow restoration of a system that has been
378. >contaminated by a ``time-released'' virus. A plan that includes
379. >``grandfathered'' rotation of back-up copies will further reduce risk.
380. >
381. >System administrators should restrict access to programs and data on a
382. >``need-to-use'' basis. This isolates problems and facilitates
383. >diagnosis.
384. >
385. >Many ``shareware'' and ``freeware'' programs are invaluable
386. >applications.  However, they are the prime entry point for system
387. >viruses. Skeptical review of such programs is prudent. Also, extended
388. >preliminary quarantine is essential before introducing these programs
389. >on a distributed system
390. >
391. >System managers should make plans for quick removal from service of
392. >all copies of a suspect program, and immediately back up all related
393. >data. These plans should be made known to users.
394.  
395. Meaningless buzzwords; apparently, this refers to networks rather than
396. PCs.
397.  
398. I am not aware of any reliable statistics comparing the number of
399. virus infections via shrink-wrapped software with that via software
400. downloaded from bulletin boards. My personal estimate is that a
401. shrink-wrapped disk, especially one from a large, badly managed
402. company, is approximately 3 times as likely to be infected with a
403. virus than a program picked at random from a reputable BBS.
404.  
405. - -DV
406.  
407. ------------------------------
408.  
409. End of VIRUS-L Digest
410. *********************
411. Downloaded From P-80 International Information Systems 304-744-2253
412.