home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / network / 9206 < prev    next >
Encoding:
Text File  |  2003-06-11  |  6.0 KB  |  138 lines
  1. **************************************************************************
  2. Security Bulletin 9206                  DISA Defense Communications System
  3. February 24, 1992           Published by: DDN Security Coordination Center
  4.                                       (SCC@NIC.DDN.MIL)   1-(800) 365-3642
  5.  
  6.                         DEFENSE  DATA  NETWORK
  7.                           SECURITY  BULLETIN
  8.  
  9. The DDN SECURITY BULLETIN is distributed by the DDN SCC (Security
  10. Coordination Center) under DISA contract as a means of communicating
  11. information on network and host security exposures, fixes, and concerns
  12. to security and management personnel at DDN facilities.  Back issues may
  13. be obtained via FTP (or Kermit) from NIC.DDN.MIL [192.112.36.5] using 
  14. login="anonymous" and password="guest".  The bulletin pathname is
  15. scc/ddn-security-yynn (where "yy" is the year the bulletin is issued
  16. and "nn" is a bulletin number, e.g., scc/ddn-security-9206).
  17. **************************************************************************
  18.  
  19.                      New Macintosh Virus Discovered
  20.  
  21. Virus: MBDF A
  22. Damage: minimal, but see below
  23. Spread: may be significant
  24. Systems affected:  Apple Macintosh computers.  The virus spreads on 
  25.                    all types of systems except MacPlus systems and
  26.                    (perhaps) SE systems; however, it may be present 
  27.                    on MacPlus and SE systems and not spread.
  28.  
  29. A new virus, currently named "MBDF A", has been discovered on Apple
  30. Macintosh computer systems.  The virus does not intentionally cause
  31. damage, but it does spread widely.  Instances of the virus have been
  32. found at a number of sites worldwide.
  33.  
  34. The virus has been discovered in games at several archive sites.
  35. At those sites, the games "Obnoxious Tetris" and "Ten Tile Puzzle" are
  36. definitely infected.  It is possible that other files may be infected
  37. at some archive sites.  You should be especially suspicious of any games
  38. named "tetris-rotating" or "Tetricycle".  
  39.  
  40. The virus does not necessarily exhibit any symptoms on infected
  41. systems.  Some abnormal behavior has been reported that may possibly be
  42. traced to the virus.  These include Mac crashes and malfunctions in 
  43. various programs.
  44.  
  45. Some specific symptoms include:
  46.  
  47.     * Infected Claris applications will indicate that they have
  48.       been altered and will refuse to run.
  49.  
  50.     * The "BeHierarchic" shareware program ceases to work correctly.
  51.  
  52.     * Some programs will crash if something in the menu
  53.       bar is selected with the mouse.
  54.  
  55. The virus works under both System 6 and System 7.
  56.  
  57. If you have downloaded any files from an archive site recently,
  58. especially games, please do not use them or distribute copies of them
  59. to anyone else until you are certain they are not infected.
  60. Furthermore, we very strongly recommend that you DO NOT get any files
  61. from the archive sites until the moderators at those sites have had an
  62. opportunity to remove any infected files.
  63.  
  64. Currently, the virus is not found by (or evades) most anti-virus
  65. tools.  Authors of all the major Macintosh anti-virus tools --
  66. including commerical products such as SAM, Rival and Virex, and
  67. shareware and freeware programs such as Disinfectant, Gatekeeper, and
  68. Virus Detective -- have been informed of this new virus.  All are
  69. planning to release updates to their software within the next few
  70. days.  These releases will be through the normal distribution
  71. channels.
  72.  
  73. Specific information on some of these products follows:
  74.  
  75.     Tool: Disinfectant
  76.     Revision to be released: 2.6
  77.     Where to find: usual archive sites and bulletin boards --
  78.                    ftp.acns.nwu.edu, sumex-aim.stanford.edu,
  79.                    rascal.ics.utexas.edu, AppleLink, 
  80.                    America Online, CompuServe, Genie, Calvacom,
  81.                    MacNet, Delphi, comp.binaries.mac
  82.     When available: (expected) late 2/21/92
  83.  
  84.     Tool: Rival
  85.     Revision to be released: 1.1.10
  86.     Where to find it: AppleLink, America Online, Internet, Compuserve.
  87.     When available: 2/21/92
  88.     Other info: The only change with 1.1.9 is the ability to detect
  89.                 this vaccine (MBDF A).
  90.  
  91.     Tool: Virex INIT and application
  92.     Revision to be released: 3.6 (for both products)
  93.     Where to find: Microcom, Inc (919) 490-1277
  94.     When available: User definable virus string available 2/21/92
  95.                     3.6 versions available 2/24/92
  96.     Comments:
  97.     Virex 3.6 (app and INIT) will detect and repair the virus.  All
  98.     Virex subscribers will automatically be sent an update on
  99.     diskette.  All other registered users will receive a notice with
  100.     information on how to update prior versions so that they will 
  101.     be able to detect MBDF.  This information is also available on 
  102.     Microcom's BBS.  (919)419-1602.
  103.  
  104.     Tool: Virus Detective
  105.     Revision to be released: 5.0.1
  106.     Where to find: Usual bulletin boards will announce a new search
  107.                    string.  Registered users will also get a mailing 
  108.                    with the new search string.
  109.     When available: now (2/20/92) 
  110.     Comments: search string is 
  111.               "Resource MBDF & ID=0 & WData A9ABA146*4446#4A9A0"
  112.  
  113.  
  114. Special thanks to the people at Claris who included self-check code
  115. in their Macintosh software products.  Their foresight resulted in
  116. an early detection of the virus and has thus helped the entire Mac
  117. community.  We strongly encourage other vendors to consider doing the
  118. same with their products.
  119.  
  120. The SCC wishes to acknowledge Mr. Gene Spafford of Purdue University
  121. as the author of this document.
  122.  
  123. ****************************************************************************
  124.  
  125. The point of contact for MILNET security-related incidents is the
  126. Security Coordination Center (SCC).
  127.  
  128. E-mail address: SCC@NIC.DDN.MIL
  129.  
  130. Telephone: 1-(800)-365-3642
  131.            NIC Help Desk personnel are available from 7:00 a.m.-7:00 p.m. EST,
  132.            Monday through Friday except on federal holidays.
  133.  
  134. ****************************************************************************
  135.  
  136.  
  137.  
  138.