home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker Chronicles 1 / HACKER1.ISO / misc / v05i014.txt

< prev

next >

Wrap

Internet Message Format  |  1992-09-27  |  19KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V5 #14
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Friday, 24 Jan 1992    Volume 5 : Issue 14
9.  
10. Today's Topics:
11.  
12. Re: Michelangelo questions (PC)
13. Re: VIRUS at AT286 in SCAN85 (PC)
14. SCAN configuration question (PC)
15. Re: WARNING - Michelangelo Virus (PC)
16. vsum info... (PC)
17. VIRSTOP Requirements (PC)
18. Printer sending to PC (was: Iraqi Computer Virus...) (PC)
19. .SYS Infector? Really? Info Please! (PC)
20. Re: SBC? (PC)
21. Re: WDEF (mac)
22. Re: WDEF (mac)
23. HELP re HP700 vs. PC viruses (PC) (HP700)
24. Re: Polymorphic viruses
25. New files on BEACH (PC)
26. Fprot v2.02 on risc (PC)
27.  
28. VIRUS-L is a moderated, digested mail forum for discussing computer
29. virus issues; comp.virus is a non-digested Usenet counterpart.
30. Discussions are not limited to any one hardware/software platform -
31. diversity is welcomed.  Contributions should be relevant, concise,
32. polite, etc.  (The complete set of posting guidelines is available by
33. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
34. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
35. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
36. Information on accessing anti-virus, documentation, and back-issue
37. archives is distributed periodically on the list.  Administrative mail
38. (comments, suggestions, and so forth) should be sent to me at:
39. krvw@CERT.SEI.CMU.EDU.
40.  
41.    Ken van Wyk
42.  
43. ----------------------------------------------------------------------
44.  
45. Date:    23 Jan 92 18:00:21 +0000
46. From:    paraska@oasys.dt.navy.mil (Peter Paraska)
47. Subject: Re: Michelangelo questions (PC)
48.  
49. In comp.virus, Michael_Kessler.Hum@mailgate.sfsu.edu writes:
50. >I had a Zenith 386 SX machine infected.  When booting up with the
51. >infected diskette, I get a "Disk read error" message.  When I reboot
52. >off the hard disk, I get a "Unable to read boot code from partition"
53. >message, and the computer is disabled unless I boot off the floppy.
54. >If I run a CHKDSK, I still get 655360 bytes total memory.  F-Prot 2.01
55. >recognizes the existence of the virus, but does not remove it.  The
56. >installation of VIRSTOP does not seem to affect the installation of
57. >the virus or the subsequent screen messages.  McAfee's CLEAN does
58. >remove it.
59. >
60. >Since the virus denies access to the hard disk as soon as it is
61. >installed, what is the meaning of the March 6th date?  Isn't the virus
62. >supposed to be dormant until that date?  Why does my experience not
63. >match Padgett's description of its activities?
64.  
65.   My 386DX with DTK's multi-I/O (2s/1p/1g w/ 2floppy & 2 IDE) card,
66. and Western Digital's WD93044A 43Mb harddrive was recently infected
67. with the Michelangelo Virus (detected by Mcaffee's SCANV85).  Several
68. bootable and non-bootable 5-1/4" (both 360K and 1.2M) floppies were
69. infected.  (My PC has a 1.2M A: drive and a 1.44M B: drive) No 3-1/2"
70. floppies were found to be infected, although several
71. non-write-protected ones were used while the hard disk was infected.
72. My harddrive is partitioned into to logigal drives C: and D:.
73.  
74.   Indications of the virus were SLOW floppy disk access with DRDOS 6.0
75. on both floppies and the 2,048 bytes missing just below the 640K
76. barrier, as reported by CHECKIT 3.0.  The slow floppy disk access was
77. partly due to DRDOS's practice of actually reading more data off the
78. floppy disk than MSDOS 5.0.
79.  
80.   Note that My PC booted just fine numerous times from the harddisk
81. when it was infected.  Maybe your disk hardware was interacting differently
82. with the virus, causing it to not boot from it. Just a guess.
83.  
84.   BTW, I used McAffee's CLEANV85 to "remove" the virus from my harddrive.
85. Luckily, I overrode my usual laziness and backed up C: and D: before
86. doing so. When I "CLEANED" the harddisk, the partition table became
87. corrupted and I was unable to acces my 37Mbyte D: partition.  I've read
88. here that CLEANV85 will clean the harddisk, so maybe my hardware didn't
89. allow the CLEAN program to work correctly (no surprise, since IDE's
90. are fluky anyway.)
91.  
92. Pete
93. - -----------------------------------------------------------------------
94. paraska@oasys.dt.navy.mil   {}  voice: (US)  (301)-227-1650 days
95.  
96. ------------------------------
97.  
98. Date:    Wed, 22 Jan 92 11:19:25 +0000
99. From:    tkorho@cs.joensuu.fi (Tommi Korhonen)
100. Subject: Re: VIRUS at AT286 in SCAN85 (PC)
101.  
102. bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
103.  
104. >> In Czechoslovakia, I got some new virus with the SCANV85.ZIP from some
105. >> BBS. It makes all .COM, .EXE and .ASM files 10 bytes longer, the first
106. >> 6 bytes are:
107. >>           F0 FD C5 AA FF F0
108. >> No antivirus program has i detected, except from those watching files'
109. >> length.
110.  
111. >:-))) C'mon, calm down, it's not a virus! Just you (or somebody else)
112. >are running SCAN with the /AV switch. This means to add checksum
113. >information to the files and the F0FDC5AAFFF0 is just the identifier
114. >that SCAN usues to tell whether the file is already "certified" or
115.  
116. >You can remove those by running SCAN again, this time with the /RV
117. >switch instead.
118.  
119. >Yeah, I think that SCAN is "clever enough" not to touch this file...
120. >> worked normally, several terminated just after calling them.
121. >Ha, this is not normal. They should run (unless they perform some kind
122. >of self-check themselves, but I don'T believe that this is your case).
123. >Maybe they are damaged by something else. Anyway, the problem that you
124. >are reporting, is caused by SCAN, not by a virus.
125. >Hope the above helps.
126.  
127. Thanks for the advice BUT:
128.  
129. Mine 286 did also JAM after i GOT THE SCAN85.ZIP!!!!!
130. Well, I have to admit that the extended/panded memory of mine isn't
131. working quite as it should, but now, after I got the scan it is
132. jamming more often than ever. And most of the time from COMMAND.COM!
133. Say I make a cd command and after pressing enter the gadget is stuck!
134. It happens every now and then.  I'd say once every 1 and a half hour.
135. I have not yet (after 3 active days) noticed any files missing. And
136. nothing is ever displayed, so if it is a virus, it has not gone off
137. yet. No scan nor any other program notices anything.  Not even memory
138. mappings. But still something weird is going on. Once (but only once)
139. the screen was blinking white and purple while the thing was jammed...
140. I had to reset the computer, as always when it jams.
141.  
142. After the first notions I have frequently scanned the whole computer,
143. with cv switch. But the only scan I have is this particular scan 85!!
144. So here is some info about the discussion. If you still think it is
145. not a virus, then good.  Is this just panic, or is it happening (on
146. the twilight zone)?  Programs, if they start, work so far normally...
147.  
148. Thanks for listening!! :))
149.  
150. - -- 
151.  T.Korhonen                        " Yeah, I said that. So what?
152. student of physics                   Come and kick my ass! "
153. you can reach me by mailing: tkorho@cs.joensuu.fi 
154.  
155. ------------------------------
156.  
157. Date:    Wed, 22 Jan 92 12:52:09 +0100
158. From:    Enda the Slamm head <SCP23018@IRTCCARL.BITNET>
159. Subject: SCAN configuration question (PC)
160.  
161. Could anybody tell me how to configure scan so that every time the a: and b:
162. drives are accessed it will automatically execute scan first and then do the
163. interrupt service routine for the disk access.  In other words what interrupt
164. vector is used for the disk service routine.
165.  
166.               Help greatly appreciated
167.                        Enda Purcell.
168.  
169.   ADDRESS :->  SCP23016@IRTCCARL.BITNET
170.  
171. ------------------------------
172.  
173. Date:    Wed, 22 Jan 92 16:43:43 +0000
174. From:    tong@ee.ubc.ca (ONG TONY TUNG L)
175. Subject: Re: WARNING - Michelangelo Virus (PC)
176.  
177. We've been hit here at the University of B.C., if anybody is
178. keeping track.
179. - -- 
180. ===============================================================================
181. =
182.   Wolfman        |  "Windoze + MessDOS doesn't work."  --Terje Bergesen
183. tong@ee.ubc.ca   |                                       comp.windows.ms
184. ===============================================================================
185. =
186.  
187. ------------------------------
188.  
189. Date:    Wed, 22 Jan 92 15:29:17 -0500
190. From:    hobbit@vax.ftp.com (*Hobbit*)
191. Subject: vsum info... (PC)
192.  
193. Forgive me if this is a faq; I haven't seen any recent references.  Is
194. there a plaintext version of vsumx.h! that is readable by humans
195. without use of a program?
196.  
197. _H*
198.  
199. ------------------------------
200.  
201. Date:    Wed, 22 Jan 92 15:41:00 -0600
202. From:    MARK@iscsvax.uni.edu
203. Subject: VIRSTOP Requirements (PC)
204.  
205. Some of our computers on campus do not have enough hard disk space to
206. install the entire F-PROT package, however, we would still like to run
207. VIRSTOP.  What files are necessary to run only VIRSTOP?  Is this
208. possible?
209.  
210. Thank you!
211.  
212. Marty Mark, University of Northern Iowa
213. mark@iscsvax.uni.edu
214.  
215. ------------------------------
216.  
217. Date:    Thu, 23 Jan 92 09:07:04 +0000
218. From:    Anthony Appleyard <XPUM04@prime-a.central-services.umist.ac.uk>
219. Subject: Printer sending to PC (was: Iraqi Computer Virus...) (PC)
220.  
221. On Sun, 19 Jan 92 22:05:00 -0500,  "David  Bridge"  <DAVID@SIMSC.BITNET>  (Iraqi
222. Computer Virus story Defended !) wrote:- "from "The Washington Post" Washington,
223. DC USA, Tuesday, January 14, 1992. Page A7.: COMPUTER VIRUS REPORT IS SIMILAR TO
224. SPOOF ..... virus in a computer printer being smuggled to Baghdad through Amman,
225. Jordan....  A  printer  is  a  receiving device. Data does not transmit from the
226. printer to the computer....".
227.  
228. A printer <does> send to the computer!, e.g. the "out of paper" signal  and  the
229. "hang on while I finish printing what you gave me before" signal. A printer does
230. not usually send bulk data because it has no means of receiving bulk data except
231. from the computer; but if the printer had its own microprocessor programmable by
232. user  or  supplier  or  virus/trojan, the printer could quite well keep emitting
233. copies of its virus.  Some  computers  are  quite  able  to  receive  data  from
234. printers,  e.g. I have a Cifer T4 terminal which can receive from its downstream
235. printer port in case that port is used for not a printer but e.g. an experiment.
236. {A.Appleyard} (email: APPLEYARD@UK.AC.UMIST), Thu, 23 Jan 92 08:51:52 GMT
237.  
238. ------------------------------
239.  
240. Date:    Thu, 23 Jan 92 14:05:00 -0700
241. From:    "Rich Travsky 3668 (307) 766-3663/3668" <RTRAVSKY@corral.uwyo.edu>
242. Subject: .SYS Infector? Really? Info Please! (PC)
243.  
244. What's this about a .sys infector? (Frisk Skulason mentions this in a
245. recent Virus-l digest.) Some more information please, this is news for
246. me.
247.  
248. Richard Travsky
249. Division of Information Technology     RTRAVSKY @ CORRAL.UWYO.EDU
250. University of Wyoming                  (307) 766 - 3663 / 3668
251.  
252. ------------------------------
253.  
254. Date:    24 Jan 92 16:02:23 +0000
255. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
256. Subject: Re: SBC? (PC)
257.  
258. kenm@maccs.dcss.mcmaster.ca (...Jose) writes:
259.  
260. >     Does anyone know anything about a virus that McAfee SCAN
261. > reports as SBC?  Neither SCAN 8.4 nor F-PROT seem to know about it
262. > (though f-prot 2.01's analyze will detect it in memory).
263.  
264. Ha, you managed to get infected by a pretty new virus - I received a
265. copy of it yesterday. Haven't disassembled it yet, but at first glance
266. it seems that:
267.  
268. 1) The virus is encrypted, but not polymorphic.
269.  
270. 2) It is memory resident; uses INT 21h/AX=4BFFh to detect its presence
271. in memory.
272.  
273. 3) It is a fast infector - infects both when you copy and execute
274. files.
275.  
276. 4) Infects both COM and EXE files. The EXE files are padded up to the
277. next multiple of 16 before they are infected.
278.  
279. 5) The virus is 1024 bytes long. The minimal lenght of the infectable
280. files seems to be 1536 bytes.
281.  
282. 6) The virus is semi-stealth, i.e. it hides the fact that the files
283. become 1024 +/- 16 bytes larger. You won't notice the file increase if
284. you use the DIR command.
285.  
286. 7) Couldn't find any intentional destructive routine in the virus
287. code.
288.  
289. There might be more, or some of the above might be incorrect, since I
290. haven't looked at the virus code very carefully; only glanced at it
291. while reading your message.
292.  
293. Hope the above helps.
294.  
295. Regards,
296. Vesselin
297. - -- 
298. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
299. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
300. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
301.  
302. ------------------------------
303.  
304. Date:    Thu, 23 Jan 92 12:39:03 -0500
305. From:    mlg@cblph.att.com (Michael L Goodrich)
306. Subject: Re: WDEF (mac)
307.  
308. brown20@obelix.gaul.csd.uwo.ca (Dennis Brown) writes:
309. >This is a request for information concering the virus WDEF.  It seems that I
310. >have contracted this virus and I am now trying to get rid of it.
311. >
312. >Here's the facts:Mac Plus
313. >         External HD
314. >
315. >About a week ago, while doing a routing copy of some files, I created a
316. >folder that is empty and is unremoveable.  Shortly after this, about 3/4 of
317. >the icons on my desktop dissappeared.  The missing files are still
318. >accessable to some programs (eg: the system that disappeared, still boots
319. >the drive when started up, and the cdev boomering can access files that it
320. >knows the path to even if it is one of the files that dissapeared).  I am
321. >told that this virus is searched for by the newest version of SAM, but are there
322. >any other programs out there that will find WDEF?
323.  
324. Dennis, 
325.     There are a few programs that will detect and eliminate the
326. WDEF virus and any relatives.  There is a quick way to get rid of it
327. on your hard disk by rebuilding your desktop file.  This can be done
328. by holding down the Command and the option keys while your Mac is
329. booting.  You should get a dialog box that asks if you want to rebuild
330. your desktop.
331.  
332. The program that I use to keep my hard disk relatively virus free is 
333. Disinfectant (current version 2.5.1) There are two parts to this program
334. 1. The viral scan and elimantion application
335. 2. The system init that prevents viri (??) from entering your hard disk.
336.  
337. This program is available from most users groups or from various
338. internet archives is if you have ftp capability from your host.
339.  
340. Gatekeeper and Gatekeeper Aid are two other system inits that will
341. keep a virus from invading your hard disk.  The problem with these
342. progarms is that they must be taught what programs are allowed to do
343. operations that look similar to what a virus does. (Some what time
344. consuming)
345.             Mike
346.             mlg@excalibur.cb.att.com
347.  
348. ------------------------------
349.  
350. Date:    Thu, 23 Jan 92 12:32:07 -0600
351. From:    werner@cs.utexas.edu
352. Subject: Re: WDEF (mac)
353.  
354.     you don't have a WDEF virus, you have a messed-up file-system
355.     (due to a bug in the OS one hears about from different sources);
356.  
357.     you can try running DiskFirstAid and Diskinfectant first,
358.     but it won't help, probably.
359.  
360.     back-up, reformat, reload you disk.
361.  
362.     btw, your report failed to indicate what OS-version you
363.     are running and why you assumed that you had WDEF; you
364.     also don't indicate that you have run DFA and any anti-viral
365.     utilities (and what they reported) - why not? all anti-virals
366.     (latest version) handle all known critters just fine (and
367.     WDEF for a couple of years now), and several free ones are
368.     available.
369.  
370.     rumours get started that way ...
371.  
372. ------------------------------
373.  
374. Date:    Thu, 23 Jan 92 13:32:37 +0000
375. From:    rocp@ghost.dsi.unimi.it (Pier Luigi Rocco)
376. Subject: HELP re HP700 vs. PC viruses (PC) (HP700)
377.  
378. I'm a student at Universita' degli studi di Milano (Italia) and I
379. cannot download PUBLIC MATERIAL from the net, because the responsable
380. say "It's not possible to verify all the software of the student for
381. virus, so it's possible to infect the computer system of the
382. university".
383.  
384. I (and other student) want a PC IBM compatible to download/upload
385. material on the net and use it at home.  I'm not a expert of virus,
386. but HOW CAN A VIRUS FOR A PC INFECT A HP700 SYSTEM????
387.                                                 Rocco Pier Luigi
388.                                              Howard Alaan Treesong
389. PS: Excuse for my english but I don't known it very well
390.  
391. ------------------------------
392.  
393. Date:    23 Jan 92 23:50:10 +0000
394. From:    vail@tegra.com (Johnathan Vail)
395. Subject: Re: Polymorphic viruses
396.  
397. frisk@complex.is (Fridrik Skulason) writes:
398.  
399.    Terms such as "Viruses using variable encryption with a variable
400.    decryption routine" are rather cumbersome, but no accurate single word
401.    has been found for those viruses, of which V2P6, Whale, Maltese
402.    Amoeba, Russian Mutant and PC-Flu 2 are examples.
403.  
404.    Until now.
405.  
406.    It is hereby proposed that the term "polymorphic" be used fore this
407.    class of viruses, but this term originated in one of the marathon
408.    5-hour telephone conversations I had with Alan Solomon on the subject
409.    of virus naming.
410.  
411. How about this additon the glossary:
412.  
413. polymorphic virus - A virus using variable encryption with a
414.     variable decryption routine to avoid detection by its
415.     "signature".  V2P6, Whale, Maltese, Amoeba, Russian Mutant
416.     and PC-Flu 2 are examples of this kind of virus.
417.  
418. Email any comments to me and I will post a new version to the net in a
419. few weeks.
420.  
421. jv
422.  
423. "Honesty without Fear" -- Kelvinator
424.  _____
425. |     | Johnathan Vail     vail@tegra.com     (508) 663-7435
426. |Tegra| jv@n1dxg.ampr.org    N1DXG@448.625-(WorldNet)
427.  -----  MEMBER: League for Programming Freedom (league@prep.ai.mit.edu)
428.  
429. ------------------------------
430.  
431. Date:    Thu, 23 Jan 92 15:29:40 -0600
432. From:    John Perry <perry@eugene.gal.utexas.edu>
433. Subject: New files on BEACH (PC)
434.  
435.  The following files have been added to the anti-vial archive on
436.  beach.gal.utexas.edu (129.109.1.207):
437.  
438.  FPROT202.ZIP
439.  VIRX19.ZIP
440.  
441.  If you have any trouble connecting, contact perry@beach.gal.utexas.edu
442.  or perry@utmbeach (Bitnet)
443.  
444.  --
445.  John Perry - perry@eugene.gal.utexas.edu
446.  
447. ------------------------------
448.  
449. Date:    Thu, 23 Jan 92 17:57:18 -0600
450. From:    James Ford <JFORD@UA1VM.BITNET>
451. Subject: Fprot v2.02 on risc (PC)
452.  
453. The file fprot202.zip has been ftped down from Simtel20 and placed on
454. risc.ua.edu (130.160.4.7) in the directory pub/ibm-antivirus.
455.  
456. Also, I attempted to ftp the file ccc21.zip (?), but was unable to access
457. the server using anonymous.  If someone has it, please upload it to ri
458. Downloaded From P-80 International Information Systems 304-744-2253
459.