home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.95

< prev

next >

Wrap

Text File  |  1995-01-03  |  11KB  |  268 lines

---

1. VIRUS-L Digest              Friday, 21 Apr 1989         Volume 2 : Issue 95
2.  
3. Today's Topics:
4. Administrative trivia
5. Reading the boot block (PC)
6. Virus disassemblies (PC)
7. Virus Cookbook for MS/PC-DOS (PC)
8. New document for anonymous FTP
9.  
10. ---------------------------------------------------------------------------
11.  
12. Date:    Thu, 20 Apr 89 16:36:44 EDT
13. From:    luken@ubu.cc.lehigh.edu (Kenneth R. van Wyk)
14. Subject: Administrative trivia
15.  
16. Just a bit of trivia for you all.  VIRUS-L turns 1 year old this
17. Saturday, April 22, 1989.  We're now up to about 1175 direct
18. subscriptions on the mailing list, and the comp.virus Usenet newsgroup
19. should be available shortly.
20.  
21. I think that, if nothing else, we've helped increase awareness.  That,
22. in itself, is progress.
23.  
24. Thanks everyone,
25.  
26. Ken
27.  
28. ------------------------------
29.  
30. Date:    Thu, 20 Apr 89 20:32:42 CDT
31. From:    "Len Levine" <len@evax.milw.wisc.EDU>
32. Subject: Reading the boot block (PC)
33.  
34. >From:         Peter Jaspers-Fayer <SOFPJF@UOGUELPH.BITNET>
35. >Subject:      CheckSum Methods of Virus Detection (PC)
36. >
37. >No check is made of the BOOT sector.  Which brings me to the following
38. >questions:
39. >
40. >1) Does anyone have a similar program that DOES checksum the BOOT sector in
41. >   several sections?
42.  
43. The command:
44.  
45. debug <filetest.go >nul:
46.  
47. With the following contained in the file 'filetest.go':
48.  
49. - --- begin ---
50. L cs:1000 2 0 10
51. r cx
52. 200
53. n c:\boot.blk
54. w cs:1000
55.  
56. quit
57. - --- end ---
58.  
59. will put the boot block into a file 'boot.blk'.  It uses the
60. system program debug.  I got this idea from the network from a
61. user Forrest Gehrke (feg@clyde.ATT.COM).  Note that everything
62. from the 'L' in the first line to the 't' in 'quit' must be
63. included, especially the blank line before the 'quit'.  I used a
64. capital L for clarity, a lower case character works just fine.
65.  
66. The code does this:
67.  
68.   l cs:1000 2 0 10
69.  
70. This command will load the 10h sectors of the hard disk (2)
71. starting with sector 0 contiguously into memory starting at
72. location cs:1000.
73.  
74.   r cx
75.   cx:0000   (This is what the DEBUG will come back with.  That
76.              message will be lost if you use the >nul:
77.              command suggested.)
78.   :200      (You key in the 200  for the number of bytes
79.              you want to write).
80.  
81.   n d:\foo   (Naming filename FOO on drive d:)
82.  
83.   w cs:1000 (Write starting at address cs:1000)
84.             DEBUG will respond with a message saying it is writing
85.             200 bytes. That message will be lost if you use the
86.             >nul: command suggested.
87.  
88.   q         (quit DEBUG)
89.  
90. Any errors that I made are of course my own, not his.  The file
91. 'boot.blk' can then be tested by the usual means.
92.  
93. Note that a virus that affects every read made from the disk,
94. detects an attempt to read the boot block, and passes you a copy
95. of the good boot block instead of the infected one, will defeat
96. this.  If so, a very well written virus was encountered.
97.  
98. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
99. | Leonard P. Levine               e-mail len@evax.milw.wisc.edu |
100. | Professor, Computer Science             Office (414) 229-5170 |
101. | University of Wisconsin-Milwaukee       Home   (414) 962-4719 |
102. | Milwaukee, WI 53201 U.S.A.              Modem  (414) 962-6228 |
103. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
104.  
105. ------------------------------
106.  
107. Date:    Thu, 20-Apr-89 17:11:42 PDT
108. From:    portal!cup.portal.com!Gary_F_Tom@Sun.COM
109. Subject: Virus disassemblies (PC)
110.  
111. Earlier this month, Jim Goodwin gave me a file containing numerous
112. virus disassemblies and asked me to forward it to the researchers
113. subscribing to VIRUS-L.  I consulted with Ken van Wyk on this, knowing
114. that the distribution of virus disassemblies is a rather sensitive
115. issue.  Ken graciously offered to allow Jim to post a message to
116. VIRUS-L describing his virus disassemblies and explaining how to
117. contact him to obtain them.  The following is Jim's message:
118.  
119.  ---- start of forwarded message ----
120. Original-Date: 04/19/89 12:03:15
121. Original-From: JIM GOODWIN
122.  
123. Mr. van Wyk: I appreciate your position on the distribution of
124. disassembled viruses, and while we differ somewhat in our opinions on
125. this issue, it was very gracious of you to express your respect for my
126. own position.  I think we can gain a great deal from a detailed
127. analysis of existing viruses, both from an antiviral development
128. standpoint and from a psychological standpoint.  Much can be discerned
129. about the nature of a perpetrator's mind from an analysis of his code.
130. I have just finished the disassembly of the 1704 virus, for example,
131. and can now tell you quite a bit about the perpetrator of this virus.
132. The virus was surprising in a number of respects.  It has two levels
133. of encryption, which made it extremely difficult to disassemble, and
134. it has the most advanced activation mechanism I have yet seen in a
135. virus. The activation involves randomizations, tests for machine
136. types, tests for clock types and screen types, date checks and a host
137. of other parameters.  It is also the first virus I've come across
138. that will NOT infect a true IBM PC.  It will only infect clones.  The
139. code to test for the true blue IBM machine was quite simple, and
140. follows:
141.  
142. .     (Checks copyright at ROM address 0F000:0E008H)
143. .     MOV   CS:[BX+DS:161H],AX
144. .     MOV   CS:[BX+DS:163H],ES
145. .     MOV   AX,0F000H
146. .     MOV   ES,AX
147. .     MOV   DI,0E008H
148. .     CMP   WORD PTR ES:[DI+6], 4249H   ; Check 'IB'
149. .     JNZ   A_CLONE
150. .     CMP   WORD PTR ES:[DI+8],4DH      ; Check 'M'
151. .     JZ    KILLVIRUS
152.  
153. In spite of some creativity and ingenuity within this virus, there
154. were some telltale signs of a programmer that had done little "system
155. level" programming before.  The virus, for example, cannot infect any
156. file greater than 64K in size, and is unable to infect EXE files (only
157. COM files).  There is nothing inherent in the virus architecture to
158. prevent it, it simply appears that the designer was unfamiliar with
159. EXE header formats and felt uncomfortable with segment register
160. manipulations for large files.  Also, the designer's use of interrupts
161. 1C and 28 appear to be very inefficient.  In spite of this, the virus
162. is effective at identifying itself (through an interrupt 21 link) and
163. avoiding conflicts with other memory resident processes. The telltale
164. key to the sophistication level of the programmer, however, was the
165. use of interrupt 21 for the infection process.  Using this interrupt,
166. almost any virus protection product will be able to stop it or detect
167. it.  We tried a number of products against it and they all worked,
168. even Flu-shot+, which is able to catch only the crudest of viruses.
169. So the designer was apparently unfamiliar with I/O techniques that
170. would avoid filter detection.  All in all it is quite a schizophrenic
171. virus.
172.  
173. In any case, I thank you for the opportunity to post this message
174. telling everyone that my virus disassembles (12 to date) are available
175. to select researchers.  They may obtain them by calling Mr. McAfee's
176. Homebase Virus board at 408 988 4004 and leaving me a message.
177.  
178. I have read, by the way, the Virus-L message log (provided by Gary
179. Tom) and found it of interest.  It seems that the work you folks are
180. doing meshes well with the research done by Mr. McAfee and his team in
181. California. They have been very helpful in logging infection
182. occurrences and collecting live viruses.  The Sentry program by Mr.
183. McAfee has also been invaluable in the collection process and should
184. be used by any team that is attempting to "trap" viruses in a large
185. host collection base (we have it in over 6,000 systems now and it has
186. caught us a total of 31 new viruses).  He has just made the program
187. public domain so there's no excuse for anyone not to use it.
188.  
189. I would also like to take this opportunity to thank Gary Tom for his
190. tireless assistance in forwarding information between us.
191.  
192. If I can be of any assistance in explaining any of the material that
193. you already have, then please feel free to contact me.
194.  
195. Jim Goodwin  From the Homebase Virus BBS
196.  
197. 408 988 4004
198.  
199.  ---- end of forwarded message ----
200.  
201. I am mailing John McAfee's Sentry program to Ken in uuencoded ARC
202. format so that it can be considered for addition to the
203. lll-winken.llnl.gov and LISTSERV archives.  It is available for
204. downloading from John's Homebase BBS.  John also has a virus message
205. section on his BBS that he has recently opened up for public access;
206. VIRUS-L subscribers are invited to call up his BBS and check it out.
207.  
208. Gary Tom, Tandem Computers Inc., Cupertino, CA
209. garyt@cup.portal.com
210. sun!portal!cup.portal.com!garyt
211.  
212. [Ed. Sentry is now on lll-winken.llnl.gov for anonymous FTP in the
213. file ~ftp/src/pc/sentry.arc.  Thanks!]
214.  
215. ------------------------------
216.  
217. Date:    19 April 89, 10:43:20 EDT
218. From:    <MTSJMC@GSUVM1.BITNET>
219. Subject: Virus Cookbook for MS/PC-DOS (PC)
220.  
221. I have a problem. I would like to modify the behavior of a .EXE file
222. to solve it. I believe that the techniques for doing this are the same
223. as those which a virus might employ in its effort to infect such a
224. file.  "Infecting" .COM files is simple enough, but the particular
225. program I would like to modify is a .EXE file.
226.  
227. The program is TELIX, a pretty good little shareware communications
228. program which, to my constant irritation, does not support F11 and F12
229. on the enhanced keyboard. I can write the patch to fix the keyboard
230. problem, but I don't know how to infect the .EXE file with the
231. solution.
232.  
233. If one of you kind folks could tell me how a virus program propagates
234. itself to a .EXE file, I promise not to use the information for
235. unscrupulous purposes. (I'm not a mad scientist. I just want to
236. install a patch.)
237.  
238.                             Hopefully,
239.                             Jeff Clough
240.  
241. Programmer for the august body of the Computer
242. Center of Georgia State University.
243. MTSJMC@GSUVM1.BITNET or 404-651-4537.BELLNET
244.  
245. ------------------------------
246.  
247. Date:    Fri, 21 Apr 89 08:38:12 EDT
248. From:    luken@ubu.cc.lehigh.edu (Kenneth R. van Wyk)
249. Subject: New document for anonymous FTP
250.  
251. I've just placed the following virus paper on lll-winken.llnl.gov for
252. anonymous FTP:
253.  
254. Developing Virus Identification Products
255. by Tim Sankary
256.  
257. The filename is ~ftp/virus-l/docs/identify.txt.  Thanks, Mr. Sankary.
258.  
259. Enjoy,
260.  
261. Ken
262.  
263. ------------------------------
264.  
265. End of VIRUS-L Digest
266. *********************
267. Downloaded From P-80 International Information Systems 304-744-2253
268.