home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / scc / ddn-security-9204 < prev    next >
Encoding:
Text File  |  1992-02-09  |  6.3 KB  |  131 lines
  1.  
  2. **************************************************************************
  3. Security Bulletin 9204                  DISA Defense Communications System
  4. February 10, 1992           Published by: DDN Security Coordination Center
  5.                                       (SCC@NIC.DDN.MIL)   1-(800) 365-3642
  6.  
  7.                         DEFENSE  DATA  NETWORK
  8.                           SECURITY  BULLETIN
  9.  
  10. The DDN SECURITY BULLETIN is distributed by the DDN SCC (Security
  11. Coordination Center) under DISA contract as a means of communicating
  12. information on network and host security exposures, fixes, and concerns
  13. to security and management personnel at DDN facilities.  Back issues may
  14. be obtained via FTP (or Kermit) from NIC.DDN.MIL [192.112.36.5]
  15. using login="anonymous" and password="guest".  The bulletin pathname is
  16. scc/ddn-security-yynn (where "yy" is the year the bulletin is issued
  17. and "nn" is a bulletin number, e.g. scc/ddn-security-9204).
  18. **************************************************************************
  19.  
  20. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  21. !                                                                       !
  22. !     The following important  advisory was  issued by the Computer     !
  23. !     Emergency Response Team (CERT)  and is being relayed unedited     !
  24. !     via the Defense Information Systems Agency's Security             !
  25. !     Coordination Center  distribution  system  as a  means  of        !
  26. !     providing  DDN subscribers with useful security information.      !
  27. !                                                                       !
  28. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  29.  
  30. ===========================================================================
  31. CA-92:02                        CERT Advisory
  32.                                February 6, 1992
  33.                          Michelangelo PC Virus Warning
  34.  
  35. ---------------------------------------------------------------------------
  36.  
  37. The Computer Emergency Response Team/Coordination Center (CERT/CC) has
  38. received information concerning a personal computer virus known as
  39. Michelangelo.  The virus affects IBM PCs and compatibles.  A description
  40. of the virus, along with suggested countermeasures, is presented below.
  41.  
  42. ---------------------------------------------------------------------------
  43.  
  44. I.   Description
  45.  
  46.      The Michelangelo virus is a computer virus that affects PCs
  47.      running MS-DOS (and PC-DOS, DR-DOS, etc.) versions 2.xx and
  48.      higher.  Note, however, that although the virus can only execute
  49.      on PCs running these versions of DOS, it can infect and damage PC
  50.      hard disks containing other PC operating systems including UNIX,
  51.      OS/2, and Novell.  Thus, booting an infected DOS floppy disk on
  52.      a PC that has, for example, UNIX on the hard disk would infect
  53.      the hard disk and would probably prevent the UNIX disk from
  54.      booting.  The virus infects floppy disk boot sectors and hard
  55.      disk master boot records (MBRs).  When the user boots from an
  56.      infected floppy disk, the virus installs itself in memory and
  57.      infects the partition table of the first hard disk (if found).
  58.      Once the virus is installed, it will infect any floppy disk that
  59.      the user accesses.
  60.  
  61.      Some possible, though not conclusive, symptoms of the
  62.      Michelangelo virus include a reduction in free/total memory by
  63.      2048 bytes, and some floppy disks that become unusable or display
  64.      "odd" graphic characters during "DIR" commands.  Additionally,
  65.      integrity management products should report that the MBR has been
  66.      altered.
  67.  
  68.      Note that the Michelangelo virus does not display any messages on
  69.      the PC screen at any time.
  70.  
  71. II.  Impact
  72.  
  73.      The Michelangelo virus triggers on any March 6.  On that date,
  74.      the virus overwrites critical system data, including boot and
  75.      file allocation table (FAT) records, on the boot disk (floppy or
  76.      hard), rendering the disk unusable.  Recovering user data from a
  77.      disk damaged by the Michelangelo virus will be very difficult.
  78.  
  79. III. Solution 
  80.  
  81.      Many versions of anti-virus software released after approximately
  82.      October 1991 will detect and/or remove the Michelangelo virus.
  83.      This includes numerous commercial, shareware, and freeware
  84.      software packages.  Since this virus was first detected around
  85.      the middle of 1991 (after March 6, 1991), it is crucial to use
  86.      current versions of these products, particularly those products
  87.      that search systems for known viruses.
  88.         
  89.      The CERT/CC has not formally reviewed, evaluated, or endorsed any
  90.      of the anti-virus products.  While some older anti-virus products
  91.      may detect this virus, the CERT/CC strongly suggests that sites
  92.      verify with their anti-virus product vendors that their product
  93.      will detect and eradicate the Michelangelo virus.
  94.  
  95.      The CERT/CC advises that all sites test for the presence of this
  96.      virus before March 6, which is the trigger date.  If an infection
  97.      is discovered, it is essential that the user examine all floppy
  98.      disks that may have come in contact with an infected machine.
  99.  
  100.      As always, the CERT/CC strongly urges all sites to maintain good
  101.      backup procedures.
  102.  
  103. ---------------------------------------------------------------------------
  104.  
  105. The CERT/CC wishes to thank for their assistance: Mr. Christoph
  106. Fischer of the Micro-BIT Virus Center (Germany), Dr. Klaus Brunnstein
  107. of the Virus Test Center (Germany), Mr. A. Padgett Peterson, P.E., of
  108. the Technical Computing Center at Martin-Marietta Corp., and Mr. Steve
  109. R. White of IBM's Thomas J. Watson Research Center.
  110.  
  111. ---------------------------------------------------------------------------
  112.  
  113. If you believe that your system has been compromised, contact CERT/CC or
  114. your representative in FIRST (Forum of Incident Response and Security Teams).
  115.  
  116. Internet E-mail: cert@cert.sei.cmu.edu
  117. Telephone: 412-268-7090 (24-hour hotline)
  118.            CERT/CC personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
  119.            on call for emergencies during other hours.
  120.  
  121. Computer Emergency Response Team/Coordination Center (CERT/CC)
  122. Software Engineering Institute
  123. Carnegie Mellon University
  124. Pittsburgh, PA 15213-3890
  125.  
  126. Past advisories, information about FIRST representatives, and other
  127. information related to computer security are available for anonymous ftp
  128. from cert.sei.cmu.edu (192.88.209.5).
  129.  
  130.  
  131.