home *** CD-ROM | disk | FTP | other *** search
/ BBS in a Box 5 / BBS in a Box -Volume V (BBS in a Box) (April 1992).iso / Files / Word / U-V / Virus < prev    next >
Encoding:
Text File  |  1988-04-09  |  12.4 KB  |  244 lines  |  [TEXT/MSWD]
  1. This originally appeared on the Washington Apple Pi TCS
  2.  
  3. All information is from Dave Lavery.
  4. If you encounter this virus please contact at him at:
  5.       (202) 453-2720 (work) [the area code might be 703 or 301)
  7. We have discovered a new virus that is circulating through the  
  8. Macintosh community.  This is not the now-infamous MacMag virus,  
  9. but is a completely new and, as far as I can tell, unreported  
  10. version. As of this date, we have not determined exactly what the  
  11. virus does other than replicate itself.  Because we do not know  
  12. exactly what this thing does yet, we are very concerned about the  
  13. possibility of any invisible operations and "time bombs" that it  
  14. may contain.  The presence of the virus in the Macintosh memory  
  15. does causes several symptoms, which have caused losses of data.   
  16. These symptoms include difficulty running MacDraw, difficulty  
  17. printing from any applications (especially MacDraw),  difficulty  
  18. using the "Set Startup" option, difficulty running Excel,  
  19. corruption of Excel files, and frequent crashes when starting  
  20. applications.  This virus has existed since at least February,  
  21. 1988, and may have been around as early as September, 1987. 
  22.  
  23. Identification of "infection": 
  24.  
  25. It is possible to determine if this virus has infected your  
  26. Macintosh with the following procedure:  1) Open the System Folder  
  27. of the Macintosh and locate the "Note Pad File" and "Scrapbook  
  28. File".  2) Examine the icons used on these files and check that  
  29. they resemble the small Macintoshes seen on the "System" and  
  30. "Finder" icons.  If they do not, and instead resemble the standard  
  31. Macintosh document icon (an upright piece of paper with the upper  
  32. right corner folded forward), you are probably infected.  3) To  
  33. verify infection, execute ResEdit or some other utility which can  
  34. see "invisible" files.  Examine the System Folder.  4) If the  
  35. System Folder contains two invisible files named "Desktop" and  
  36. "Scores", you are definitely infected. 
  37.  
  38. The infection process: 
  39.  
  40. The virus transmits itself from Macintosh to Macintosh by invading  
  41. a standard executable application file on a contaminated  
  42. Macintosh.  When this contaminated application is copied to a  
  43. "sterile" Macintosh, the virus attacks the new system by making  
  44. these changes to the System Folder:  three INIT resources are  
  45. added to the "System" file.  If the files "Note Pad File" and  
  46. "Scrapbook File" do not exist in the System Folder, they are  
  47. created.  The type and creator fields of the "Note Pad File" are  
  48. changed from "ZSYS" and "MACS" to "INIT" and "ZSYS", respectively,  
  49. and an INIT resource is added to the file.  The type and creator  
  50. fields of the "Scrapbook File" are changed from "ZSYS" and "MACS"  
  51. to "RDEV" and "ZSYS", respectively, and an INIT resource is added  
  52. to the file.  Two new, invisible file are added to the system  
  53. folder, named "Desktop" and "Scores", each with an atpl, DATA and  
  54. INIT resource.  These changes are summarized below: 
  55.  
  56.  FILE           TYPE CREATOR NEW? INVIS?  RESOURCES     SIZE      
  57.  System         ZSYS  MACS    No    No   INIT ID=6      772 bytes 
  58.                                               ID=10    1020 bytes 
  59.                                               ID=17     480 bytes 
  60.  Desktop        INIT  FNDR   Yes   Yes   atpl ID=128   2410 bytes 
  61.                                          DATA ID=-4001 7026 bytes 
  62.                                          INIT ID=10    1020 bytes 
  63.  Note Pad File  INIT  ZSYS    No    No   INIT ID=6      772 bytes 
  64.  Scores         RDEV  ZSYS   Yes   Yes   atpl ID=128   2410 bytes 
  65.                                          DATA ID=-4001 7026 bytes 
  66.                                          INIT ID=10    1020 bytes 
  67.  Scrapbook File RDEV  ZSYS    No    No   INIT ID=17     480 bytes 
  68.                                               ID=6      772 bytes 
  69.  
  70. Note that, unlike the MacMag virus, no "nVIR" resource are used  
  71. anywhere.  The modified files, "Note Pad" and "Scrapbook", still  
  72. appear to function normally with the Note Pad and Scrapbook Desk  
  73. Accessories, and any existing contents of the file's Data Fork are  
  74. not disturbed. 
  75.  
  76. Once the system files on the target Macintosh have been infected,  
  77. the virus will then begin to attack applications.  Not every  
  78. application is attacked by the virus - the determination of  
  79. whether or not to infect an application is apparently a random  
  80. decision (at this point, no discernible pattern has been found,  
  81. except that "Finder" and "MultiFinder" are usually attacked).   
  82. Applications that are attacked on one Macintosh may remain  
  83. "sterile" on another Mac, and vice versa.   
  84.  
  85. As each application is attacked, the virus installs a new CODE  
  86. resource into the application.  The identification of this new  
  87. resource is variable, depending upon the existing resources within  
  88. the application.  The virus looks for the first available CODE  
  89. resource slot, then places the new resource one position above  
  90. that.  For example, HyperCard contains CODE resources 0 through  
  91. 20, leaving an ID of 21 as the first available resource ID.  The  
  92. virus placed the new CODE resource in the application as CODE  
  93. ID=22. 
  94.  
  95. The second step of the infection of the application is the  
  96. modification of the CODE ID=0 resource of the application.  The  
  97. virus modifies the eleventh word of this resource, which is the  
  98. start of the application's jump table.  Where the application  
  99. would normally jump to the CODE ID=1 segment, the virus modifies  
  100. this pointer to refer to the new CODE resource that has just been  
  101. installed.  The example below shows the first sixteen words of a  
  102. installed.  The example below shows the first sixteen words of a  
  103. "sterile" and infected version of HyperCard: 
  104.  
  105.           Sterile                Infected 
  106.     0000 1EF0 0000 559C    0000 1EF0 0000 559C 
  107.     0000 1ED0 0000 0020    0000 1ED0 0000 0020 
  108.     0008 3F3C 0001 A9F0    0008 3F3C 0016 A9F0 
  109.     0000 3F3C 0001 A9F0    0000 3F3C 0001 A9F0 
  110.     ...                    ... 
  111.  
  112. Note that the eleventh word has been changed from "0001" to  
  113. "0016", which points to the new CODE ID=22 resource (hex 16 =  
  114. decimal 22).  Also note that during our examination of suspected  
  115. applications, we found that at least one compiler - LightSpeed C,  
  116. I think -  normally places non-"0001" values in the eleventh word  
  117. of the CODE ID=0 resource.  To verify infection if the eleventh  
  118. word is not "0001", check to see that the tenth word is NOT "4EED"  
  119. and that the eleventh word points to another CODE resource.  If  
  120. both of these are true, then the application is infected. 
  121.  
  122. The new CODE resource is a copy of the virus code, is of size  
  123. 7026, and is executed when the infected application is invoked.   
  124. When the virus completes execution, it returns to the invoked  
  125. application, which appears to proceed normally.  The first sixteen  
  126. words of the virus are: 
  127.  
  128.     0000 0001 xxxx 3F3C  
  129.     0001 A9F0 4EBA 002E 
  130.     204D D0FC 0020 43FA  
  131.     FFEC 20D9 2091 204D  
  132.     ... 
  133.  
  134. The third word of the virus code is variable, and appears to be  
  135. based on the return address used when the execution of the virus  
  136. is completed. The virus further modifies the code of the  
  137. application in a manner which has not been fully deciphered.  This  
  138. was determined by attempting to recover the HyperCard application  
  139. by removing the new CODE ID=22 resource and patching the eleventh  
  140. word of the CODE ID=0 resource.  Any attempt to run the rebuilt  
  141. application resulted in a system bomb, intimating that the virus  
  142. has modified other sections of the application which prevented  
  143. it's complete exorcism. 
  144.  
  145. Vaccinating your Macintosh: 
  146.  
  147. If your Macintosh is infected, the contaminated system files and  
  148. applications must be completely removed from the Macintosh, and  
  149. new ORIGINAL copies should be installed.  When removing the virus  
  150. from the Macintosh system files, you cannot just go in with  
  151. ResEdit and delete the offensive INIT resources - this virus is  
  152. apparently intelligent enough to recognize this attempt, and  
  153. modifies it's resource identification and memory location when  
  154. probed by resource utilities.  ResEdit "thinks" that the virus  
  155. resources have been deleted, but they have been renamed and will  
  156. return when the Macintosh is restarted.  The system must be  
  157. sterilized by: 
  158.  
  159. 1) Examine EVERY application (including any in the System Folder,  
  160. and on EVERY diskette you may have) you have with ResEdit, and  
  161. check if a new CODE resource has been added and if the CODE ID=0  
  162. resource has been modified to refer to the new CODE.  This is the  
  163. most tedious part of the process, and will probably take quite a  
  164. bit of time. I have about 160MB of stuff on two 100MB drives, and  
  165. this step took about three hours. If the application has been  
  166. infected, list it. 
  167.  
  168. 2) Using ResEdit, open the infected System Folder and locate the  
  169. "Desktop" file.  Select the file and use the "Get Info" option on  
  170. the  "File" menu.  When the file information window opens, turn  
  171. off the "Invisible" bit, then close the window and save the file  
  172. information.  Do the same for the "Scores" file. 
  173.  
  174. 3) Locate a sterile system diskette (preferably one of the "System  
  175. Tools" diskettes from Apple), LOCK IT, and boot from it. 
  176.  
  177. 4) Throw away the following files from the infected System Folder:  
  178. "System", "Finder", "MultiFinder", "Desktop", "Scores", "Scrapbook  
  179. File", and "Note Pad File".  Once these files are in the Trash  
  180. Can, EMPTY THE TRASH IMMEDIATELY!  Note: this is the minimum  
  181. required to remove the System portion of the virus - my personal  
  182. preference is to delete the ENTIRE System Folder, not just the  
  183. suspect files in it. 
  184.  
  185. 5) Locate all of the applications which you listed in Step 1.   
  186. Throw them away, and empty the Trash Can. 
  187.  
  188. 6) Shut down the Macintosh, and turn the power off.  Wait at least  
  189. 30 seconds for memory to clear before rebooting again from the  
  190. sterile diskette (this may not really be necessary, but better  
  191. safe than sorry). 
  192.  
  193. 7) Reinstall the Macintosh operating system from the System Tools  
  194. diskette to your Macintosh. 
  195.  
  196. 8) Locate your original copies of the deleted applications  
  197. software.  Before reinstalling the applications, examine each one  
  198. with ResEdit to be sure that it is sterile.  If there is no  
  199. problem, reinstall the application.   
  200.  
  201. A word of warning: 
  202.  
  203. The "Vaccine" CDEV which is currently appearing on bulletin boards  
  204. is only marginally useful in fighting this virus - if your system  
  205. is already infected when you install Vaccine, you will not get any  
  206. warning from Vaccine that the virus exists.  If you have Vaccine  
  207. installed on a sterile system, and this virus is introduced at a  
  208. later time, Vaccine will only warn you of the virus attack, but  
  209. will not prevent infection. 
  210.  
  211. I do not know how far this virus has spread, or where it came from  
  212. (although we are working on that).  The information contained  
  213. above reflects only what we know so far about this virus - I do  
  214. not know if it has any maliciously destructive functions which  
  215. have not yet activated, or if it does anything other than  
  216. replicate.  I do know that it is extremely virulent - it has  
  217. defensive mechanisms built in to protect itself from deletion,  
  218. most of it's resources are protected, and it places multiple  
  219. copies of it's components throughout the system to avoid  
  220. single-point-of-failure destruction.  This thing is an order of  
  221. magnitude more sophisticated than the MacMag virus, and is  
  222. considerably tougher to kill. 
  223.  
  224. So far, the virus appears to only affect system files and  
  225. application files.  Data files (documents, spreadsheet data,  
  226. HyperCard stacks, etc.) do not appear to be affected, and do not  
  227. seem to transmit the virus. 
  228.  
  229. While not apparently maliciously destructive, I have established  
  230. that the mere presence of this virus in the system is sufficient  
  231. to cause the printing and application instability problems (like  
  232. the ones we have been experiencing).  Once the virus has been  
  233. removed, all of our reported Macintosh problems have gone away.  I  
  234. believe that whoever wrote this could not foresee enough of the  
  235. potential system configurations to prevent an occasional collision  
  236. between the virus and other active applications and printer  
  237. drivers. 
  238.  
  239. Apple in Cuppertino has become intimately aware of this virus in  
  240. the last two days.  They are going to be working on a more  
  241. complete disassembly of the virus, and will hopefully be able to  
  242. determine exactly what this thing does. 
  243.