home *** CD-ROM | disk | FTP | other *** search

---

/ DP Tool Club 8 / CDASC08.ISO / VRAC / VL6_116.ZIP / VL6-116.TXT

Wrap

Internet Message Format  |  1993-09-02  |  32KB

---

1. From Fidoii.CC.Lehigh.EDU!lehigh.edu!virus-l  Tue Aug 31 02:43:36 1993 remote from vhc
2. Received: by vhc.se (1.65/waf)
3.     via UUCP; Tue, 31 Aug 93 18:01:17 1
4.     for mikael
5. Received: from fidoii.CC.Lehigh.EDU by mail.swip.net (5.65c8-/1.2)
6.     id AA25642; Tue, 31 Aug 1993 13:01:17 +0200
7. Received: from Fidoii.CC.Lehigh.EDU ([127.0.0.1]) by Fidoii.CC.Lehigh.EDU with SMTP id <4144-2>; Tue, 31 Aug 1993 06:43:38 EDT
8. Message-Id: <9308311044.AA16260@agarne.ims.disa.mil>
9. Reply-To: virus-l@lehigh.edu
10. Originator: virus-l@lehigh.edu
11. Sender: virus-l@lehigh.edu
12. Precedence: bulk
13. From: VIRUS-L Moderator <virus-l@assist.ims.disa.mil>
14. To: Multiple recipients of list <virus-l@lehigh.edu>
15. Subject: VIRUS-L Digest V6 #116
16. X-Listprocessor-Version: 6.0a -- ListProcessor by Anastasios Kotsikonas
17. X-Comment: Virus Discussion List
18. Date: Tue, 31 Aug 1993 06:43:36 EDT
19.  
20. VIRUS-L Digest   Tuesday, 31 Aug 1993    Volume 6 : Issue 116
21.  
22. Today's Topics:
23.  
24. Re: origin of term virus
25. Re: A new virus information source
26. Request for Assistance
27. just wondering... os/2... (PC) (OS/2)
28. Re: E-Rillutanza virus? (PC)
29. Re: E-Rillutanza virus? (PC)
30. New virus (?) (PC)
31. MBR infection recovery software (PC)
32. Automated Virus Writing Programs (PC)
33. Re: Anti-virus software usable on LAN's (PC)
34. DIR-2 and STONED in Israel (PC)
35. New virus (off-road) (PC).
36. Form virus (PC)
37. Re: Information on the 'Trident' Virus (PC)
38. Bizarre F-Prot corruption (PC)
39. scan read only network drive ? (PC)
40. McAfee scan with /ext option (PC)
41. Stamford virus (PC)
42. Write protect ... (HELP!) (PC)
43. Datacrime (PC)
44. FORM Virus Unremovable ? (PC)
45. TBAV 6.04 vs Mcafee's antivirus (PC)
46. Integrity Master V2 arrives! (PC)
47.  
48. VIRUS-L is a moderated, digested mail forum for discussing computer
49. virus issues; comp.virus is a gatewayed and non-digested USENET
50. counterpart.  Discussions are not limited to any one hardware/software
51. platform - diversity is welcomed.  Contributions should be relevant,
52. concise, polite, etc.  (The complete set of posting guidelines is
53. available by FTP on CERT.org or upon request.)  Please sign submissions
54. with your real name; anonymous postings will not be accepted.
55. Information on accessing anti-virus, documentation, and back-issue
56. archives is distributed periodically on the list.  A FAQ (Frequently
57. Asked Questions) document and all of the back-issues are available by
58. anonymous FTP on CERT.org (192.88.209.5).
59.  
60. Administrative mail (e.g., comments, suggestions, beer recipes)
61. should be sent to me at: krvw@ASSIST.IMS.DISA.MIL.
62.  
63. All submissions should be sent to: VIRUS-L@Lehigh.edu.
64.  
65.    Ken van Wyk
66.  
67. ----------------------------------------------------------------------
68.  
69. Date:    Sun, 22 Aug 93 01:21:03 -0400
70. From:    hagbard@gagme.chi.il.us (Brian W. Dunn)
71. Subject: Re: origin of term virus
72.  
73. David Strip <drstrip@isrc.sandia.gov> wrote:
74. >don't know if it's the first ref, but "virus" in a remarkably prescient use
75. >appears in the SF novel "When Harley was One" by David Gerrold (whose fame
76. >lies in his authorship of the Star Trek episode "The Trouble with Tribbles".
77.  
78. Also appears in John Brunner's _Shockwave Rider_ along with worms etc.
79.  
80. hagbard
81.  
82. - -- 
83. Who is John Galt?
84.  
85. This is my public key for PGP. 
86. Hagbard Celine
87. - -----BEGIN PGP MESSAGE-----
88. Version: 2.2
89.  
90. iQCVAgUAK5lN0vTKAIGN5yLZAQEu5AP6AqFqHBzphx8EWmSDKuYLkdRlaEpDpWxd
91. N/lxpa5aqBfy/Zv8LX9bxoHAyKLPG05LA3st6MKJrbUTs+AsmF9riR/gE5qwDymN
92. EwdV3iReBCgxYemdHZki8nnS3mr1OkqlzxcC4XW2/Q5ptvCZ6RA8vvDZ0krw4Qd6
93. 2L+RiS1Qvl0=
94. =/Z3A
95. - -----END PGP MESSAGE-----
96.  
97. ------------------------------
98.  
99. Date:    Tue, 24 Aug 93 12:58:07 -0000
100. From:    leveret@warren.demon.co.uk (Nick Leverton)
101. Subject: Re: A new virus information source
102.  
103. A.APPLEYARD@fs1.mt.umist.ac.uk writes:
104. >
105. >  IPE Corporation Ltd (9-10 Alfred Place, London WC1E 7EB, England,
106. >tel. (UK) 071 436 2244) have started to publish a periodical called
107. >"Secure Times" about computer viruses and antivirals. The first
108. >edition (numbered "vol 1, Sept 1993") arrived today as a free
109. >distribution; it is of four A4 sides including an article about Tremor
110. >virus.
111.  
112. I received a copy. It is heavily laced with promotion for McAfee's
113. software, for whom they are the UK agents.
114.  
115. Nick Leverton
116.  
117. ------------------------------
118.  
119. Date:    Tue, 24 Aug 93 09:16:09 -0700
120. From:    aryeh@mcafee.com (McAfee Associates)
121. Subject: Request for Assistance
122.  
123. REQUEST FOR ASSISTANCE:  Internationalization of McAfee Associates'
124. Software Screen Messages:
125.  
126. One of the most innovative and well-received features in our software has
127. been the ability for it to display messages in languages other than English.
128. McAfee Associates has prided itself in providing all of our users around
129. the world with a way to run VIRUSCAN in their own language.  Language files
130. translated and updated by McAfee Authorized Agents in their respective
131. markets can be obtained by downloading from our Licensee BBS or contacting
132. those Agents (contact information is provided in the AGENTS.TXT file
133. included in all of our .ZIP files).
134.  
135. Languages currently provided by Authorized Agents include: Danish, Finnish,
136. Swedish, Norwegian, German (both Swiss and German dialects), Italian, and
137. Portuguese languages.
138.  
139. Language files translated by McAfee Associates or other interested parties
140. are available for download from HOMEBASE BBS, CompuServe (GO MCAFEE),
141. Internet: mcafee.com, and America On-Line.
142.  
143. Languages currently supported by files available for general download
144. include:  French, Spanish, and Bulgarian.
145.  
146. If you have experience in translating technical (computer) documentation
147. between English and other languages, and have an interest in translating
148. the screen messages into a language not already supported, we would
149. appreciate hearing from you.  A typical message file is approximately 300
150. lines long, and once updated may need slight changes (10-20 lines) every
151. other month.  We can't offer any compensation for this, other than free
152. registration for your personal use of McAfee shareware products. You will,
153. however, have our--and our users'--gratitude.
154.  
155. If you are interested in translating or updating message files for us,
156. please send e-mail to to either Aryeh Goretsky (AOL: mcafee  INTERNET:
157. aryeh@mcafee.com, COMPUSERVE: 76702,1714) or Igor Grebert (INTERNET:
158. sunset@mcafee.com).
159.  
160. Thank you.
161.  
162. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
163. McAfee Associates, Inc.  | Voice (408) 988-3832 | INTERNET: aryeh@mcafee.COM
164. 2710 Walsh Ave, 2nd Floor| FAX   (408) 970-9727 | IP# 192.187.128.1
165. Santa Clara, California  | BBS   (408) 988-4004 | CompuServe ID: 76702,1714
166. 95051-      USA          | USR HST Courier DS   | America Online: McAfee
167.  
168. ------------------------------
169.  
170. Date:    Wed, 25 Aug 93 20:25:23 -0400
171. From:    IZZYOY9@mvs.oac.ucla.edu
172. Subject: just wondering... os/2... (PC) (OS/2)
173.  
174.    Mose of these pc viruses are MSDOS based, right?  What percentage
175. do you think would be able to infect a system using OS/2 and the HPFS
176. instead of FAT?  Are there any OS/2 specific virii?
177.  
178. ------------------------------
179.  
180. Date:    Fri, 20 Aug 93 21:52:42 -0400
181. From:    sci00019@leonis.nus.sg (CHENG MUN WAI)
182. Subject: Re: E-Rillutanza virus? (PC)
183.  
184. William H. Lambdin (73044.2573@compuserve.com) wrote:
185. : Date:    Wed, 11 Aug 93 04:44:02 -0400
186. : From:    sci00019@leonis.nus.sg (CHENG MUN WAI)
187.  
188. : >What I want to know is that have anyone had a similar report using F-Prot
189. : >which scan106 missed. 
190.  
191. I've also used F-Prot to scan my hardisk and indeed had several COM files
192. that were suspicious of being infected with the E-Rilluttanza virus. I've
193. send those files to Mcafee. I hope they can help.
194.  
195. To my own problem I deleted those suspected files and copied uninfected
196. files over it.
197.  
198. This virus could be a Trojan virus but I don't think any virus could be
199. benign.
200.  
201. Mun Wai.
202.  
203. ------------------------------
204.  
205. Date:    Fri, 20 Aug 93 21:59:28 -0400
206. From:    sci00019@leonis.nus.sg (CHENG MUN WAI)
207. Subject: Re: E-Rillutanza virus? (PC)
208.  
209. William H. Lambdin (73044.2573@compuserve.com) wrote:
210. : Date:    Wed, 11 Aug 93 04:44:02 -0400
211. : From:    sci00019@leonis.nus.sg (CHENG MUN WAI)
212.  
213. : >What I want to know is that have anyone had a similar report using F-Prot
214. : >which scan106 missed. 
215.  
216. : If you will read tthe August LAT, you will see that Scan missed several 
217. : viruses in my collection. 
218.  
219. Overheard,
220.  What is this LAT that I see mentioned. I've also had F-Prot report the
221. E-Rillutanza virus.
222.  
223. Thanks.
224.  
225. Mun Wai.
226.  
227. ------------------------------
228.  
229. Date:    Sat, 21 Aug 93 00:36:44 -0400
230. From:    uttsbbs!jonathan.salmon@uunet.uu.net (Jonathan Salmon)
231. Subject: New virus (?) (PC)
232.  
233. All-
234.  
235. I'm new to this conference, so I don't know a whole lot about virus
236. prevention.  My question is, what is a "scanstring"?  Is this something
237. the McAfee program uses?
238.  
239. - ----
240. +------------------------------------------------------------------------+
241. | The Transfer Station BBS (510) 837-4610 & 837-5591 (V.32bis both lines)|
242. | Danville, California, USA. 1.5 GIG Files & FREE public Internet Access |
243. +------------------------------------------------------------------------+
244.  
245. ------------------------------
246.  
247. Date:    Sun, 22 Aug 93 07:58:57 -0400
248. From:    dh441@cleveland.freenet.edu (Tony L Drake)
249. Subject: MBR infection recovery software (PC)
250.  
251.     Within the last month or so of reading Comp.Virus, I have
252. noticed a certain pattern in the posts.  After having read and
253. responded to a number of posts regarding infections in the boot
254. sector, partition record, or master boot record of a hard disk, I have
255. come to the conclusion that the majority of people do not know how to
256. make the neccessary recovery disks before an infection, nor do they
257. know how to properly recover once infected.  There is a file
258. available(unfortunately it is not yet on internet, it will be soon I
259. hope) which explains in detail What backups to make, How to make them,
260. why to make them, and how to use them to recover from an infection of
261. the MBR, boot sector, or partition table.
262.     The file is called DRFINFO.ZIP and is available for
263. download from Action Link Systems in Bradenton, FL.
264.  
265. 813-747-9295 v32/42bis 14.4Kb
266. 813-747-9670 HST       14.4Kb
267.  
268. Included are the utilities needed to backup the MBR and CMOS,
269. as well as vital information on how to use these utilities in
270. case of an infection.
271.  
272. This is FREEWARE.  All you have to do is download it.  The file
273. only takes a few minutes  to download,  and the information it
274. will provide you will more than pay for the time spent online.
275.  
276. Feel free to contact me with any questions
277. draket@freenet.scri.fsu.edu
278.  
279. ------------------------------
280.  
281. Date:    Sun, 22 Aug 93 15:26:11 -0400
282. From:    sgt@lakes.trenton.sc.us (Sgt rock)
283. Subject: Automated Virus Writing Programs (PC)
284.  
285. I've heard alot lately about programs that actually write or create 
286. viruses. I think Virus Creation Laboratory is the name of one. Does 
287. anyone out there know anything about these programs? How many are there 
288. and where do they come from. I read one article where a anti-virus 
289. researcher wrote one of these programs to create viruses which he could 
290. the scan with various virus scanning programs. I would seem to me that 
291. most anyone who could get hold of these program could then become a 
292. virus programer. Sounds dangerous to me. Anyway I just want to know more 
293. about them.
294.  
295. ------------------------------
296.  
297. Date:    Mon, 23 Aug 93 00:23:37 -0400
298. From:    s926191@yallara.cs.rmit.OZ.AU (Donald Edward Gingrich)
299. Subject: Re: Anti-virus software usable on LAN's (PC)
300.  
301. frisk@complex.is (Fridrik Skulason) writes:
302.  
303. >marc_b@ingres.com (Marc Burckin) writes:
304.  
305. >>A friend who is w/o net access has asked me to pose this question.
306.  
307. >>    "What types of software and/or methods to people use to keep 
308. >>     their LAN's free of viruses? Is there a way to run the virus 
309. >>     software from the server and thereby check all of the connected
310. >>     PC's?"
311.  
312. >It is easy to run anti-virus software on the server if you have a Novell
313. >sever, and several Anti-Virus NLMs exist (from Cheyenne, McAfee, Sophos and
314. >several other companies, including our own US distributor).
315.  
316. >Nowever, if you are using another network, this may be impossible, but you
317. >did not include that information..
318.  
319. I am the administrator of a LAN Server network.  I have set it up so
320. that directories containing executables are read/execute permission
321. for ordinary users.  I may be living in a fools paradise, but I
322. believe (hope :-)) that this protects the executables.  In addition
323. the NOS provides an optional file for each user called PROFILE.BAT
324. which is executed at login.  I have set this up with the use of the
325. "at" command so that each user has several critical files SCANed daily
326. and all files on the local hard drive weekly.  Note that I would rate
327. our virus exposure to be low to moderate (more low).
328.  
329. Hope these thoughts may help.  Comments regarding efficacy of the 
330. above method greatly appreciated.
331.  
332. ***************************************************************************
333. *  Don Gingrich                   *           Gingrich's Law              *
334. *  Network Administrator          *  Software expands to fill the space   *
335. *  State Electricity Commission   *     available to it -- plus 10%       *
336. *  Melbourne Australia            *    I'm an optimist, alright? :-)      *
337. *  s926191@yallara.cs.rmit.OZ.AU  *      #include <std_disclaim.h>        *
338. ***************************************************************************
339.  
340. ------------------------------
341.  
342. Date:    Mon, 23 Aug 93 04:21:11 -0400
343. From:    hjstein@sunrise.huji.ac.il (Harvey J. Stein)
344. Subject: DIR-2 and STONED in Israel (PC)
345.  
346. This is in response to a response to my original message warning
347. people about an infected computer game that was being given away by
348. the Co-op Supermarket of Israel as a promotion for Scott Tissue toilet
349. paper.  The computer game (ZOOM) was infected by DIR-2 and STONED.  I
350. would have followed the quote-and-reply protocol, but my modem dropped
351. the connection last time I tried, and now the reponse is no longer on
352. comp.virus.
353.  
354. The respondent in question said that he had personally scanned the
355. master game disks as well as samples of the distributed disks,
356. and had found no copies of the virus.  He then went on to publicly
357. chastise me for infecting the disk and blaming the Co-op and Scott
358. Tissue.
359.  
360. The facts are:
361.  
362.    -My machine was (as it always is) clean.
363.    -I scanned another machine and then scanned the disk again on this
364.     machine.  The machine was clean and the disk wasn't.
365.    -If my machine gave the viruses to the game disk, then the viruses
366.     would have been found on my machine.  They weren't.  
367.    -I didn't blame anyone.  I said that I picked up a disk from the
368.     Co-op Supermarket, that the disk was infected, that probably all
369.     their disks were infected and that people shouldn't use the disk.
370.     The only statement I implied that was incorrect was that all their
371.     disks were infected.
372.    -According to a national Israeli newspaper "dozens of people were
373.     affected" by the DIR-2 and STONED viruses found on these disks.
374.     Since I didn't talk to this paper, "dozens" doesn't include me.
375.  
376. What can we conclude from this?  Well, it's unlikely that dozens of
377. people all had the DIR-2 and STONED viruses on their systems (and no
378. other virus), and didn't notice this until they scanned this game
379. disk.  Evidentially, a small number of disks were contaminated, and
380. not due to an infected master disk.  Perhaps some people took the game
381. home, infected it, and returned it, and the Co-op distributed the
382. infected returns.  Perhaps some stock-boys played with the game on
383. infected back-room PCs, and then stuck the disks back out for
384. distribution.  Perhaps there was an infected duplication machine which
385. was used for a small run of disks and later cleaned before the
386. respondent (who's name escapes me) checked it.  Perhaps the respondent
387. should REFRAIN FROM YELLING at people before carefully reading their
388. posts and checking details with them.
389.  
390. - --
391. Harvey Stein
392. Department of Mathematics
393. Hebrew University
394. hjstein@math.huji.ac.il
395.  
396. ------------------------------
397.  
398. Date:    Thu, 19 Aug 93 14:32:00 +0200
399. From:    Amir_Netiv@f120.n9721.z9.virnet.bad.se (Amir Netiv)
400. Subject: New virus (off-road) (PC).
401.  
402. Hello everyone,
403.  
404. A new virus was submitted to us just yesterday and following are its 
405. characteristis:
406.  
407. - - COM infector.
408. - - Effective length 894 bytes.
409. - - Encrypted - simple XOR - single layer encryption.
410. - - Virus hooks Int-08h (timer).
411. - - After decryption the following pieces of text may be seen   in the virus 
412. code: "AMEF0\OFF-ROAD"   "*.com *.*"   "????????COM"
413. - - The virus is targetting COM files, infecting an entire directory at once.
414. - - Its activation date is every 3ed month of the year (March), in which it   
415. formats floppies enterd at that day.
416. - - Also the virus checks for mondays (???).
417.  
418. IT was named "OFF-ROAD" due to the text fond inside.
419.  
420. The reason i decided to publish this, is that it seems this virus was NOT 
421. originated in Israel and one should expect it to apear in other places of the 
422. world soon.
423.  
424. No Anti virus detects or cleans it, (Except of-course generic detectors and 
425. cleaners such as our own V-CARE, by which is was detected and isolated).
426.  
427. If anyone have more information on this virus, please e-mail me ASAP.
428.  
429. keep well
430.  
431. * Amir Netiv. V-CARE Anti-Virus, head team *
432.  
433. - ---
434.  * Origin: <<< NSE Software >>> Israel (9:9721/120)
435.  
436. ------------------------------
437.  
438. Date:    Sun, 22 Aug 93 15:19:01 -0400
439. From:    lapse@sizone.jaywon.pci.on.ca (memory lapse)
440. Subject: Form virus (PC)
441.  
442. > 
443. > Does anybody has any idea as to how to get rid of the beast (and still have 
444. > thedata on the disk)?
445.  
446. Yeah, if the virus is not in memory you can copy the data onto your disk, 
447. format the infected disk then recopy the files back onto it.
448.  
449. Memory Lapse - lapse@sizone.jaywon.pci.on.ca
450.  
451. ------------------------------
452.  
453. Date:    Mon, 23 Aug 93 06:48:18 -0400
454. From:    wouter@stack.urc.tue.nl (Wouter Slegers)
455. Subject: Re: Information on the 'Trident' Virus (PC)
456.  
457. BUI, TIEN HY (tien_bu@pavo.concordia.ca) wrote:
458. : neuro@santafe.edu (Terrance Johnson) writes...
459. : >Brenda Parsons (parson@coulomb.pcc.oz.au) wrote:
460. : >: We've recently had an attack of the 'Trident' virus, and seemed to
461. : >: have gotten rid of it, but no one was able to supply us with information
462. : >: as to what it would do when activated.
463. : > 
464. : >The Trident virus I believe is not actually a virus, it is the Trident
465. : >Polymorphic Engine, akin to the Mutation Engine, which encrypts a virus
466. : >differently every time a new file is infected. Since any number of virii
467. : >may use the Engine, it is impossible to say what the virus would have done
468. : >upon activation.
469. That is correct. The McAfee-scanner does pick up TPE as 'TridenT', atleast
470. the v105 did.
471. : Well, if that virus was really using the TPE, do you really think
472. : that it would contain the string TRIDENT? I don't think so. What
473. : I think it is, is just a virus created by the group TRIDENT. (maybe
474. : one of their older creations) 
475. : Maybe I'll look into it to find out how many viruses the group
476. : actually made and released.
477.  
478. They made about 10-20 virusses, in about 6 strains. The best known are
479. Crunshor, Coffyshop... They are dutch BTW...
480. Greets
481. Wouter
482. - --
483. Wouter Slegers, 2nd year CS at TUE (nl), wouter@stack.urc.tue.nl.
484. Disclaimer: If the above sounds plausible, reread it several times!
485. Religion and sex are powerplays*manipulate the people for the money they pay
486. Selling skin, selling god* the numbers are the same on their creditcards!
487. GCS V1.1: d* -p+ c++++ l+ m* s++/- !g w+ t+ r+ u++ e* !n h-- f?||+ y?
488.  
489. ------------------------------
490.  
491. Date:    Mon, 23 Aug 93 10:42:51 -0400
492. From:    Scott Gregory <wg2b+@andrew.cmu.edu>
493. Subject: Bizarre F-Prot corruption (PC)
494.  
495. I've got no idea what this could be - perhaps a freak accident.  In
496. any case, I had F-Prot 2.08 on my PC which I use for scanning for
497. viruses.  Yesterday I went to make a scan and the virus definition
498. file had been corrupted.  F-Prot gave a syntax error in the SIGN.DEF
499. file.  Looking over my disk with NAV showed a possible "unidentified"
500. virus in f-prot.exe (my NAV is VERY old) and no other suspicious
501. activity on the disk.  Is there some fprot targeting virus, or is this
502. a freak coincidence that this file went bad?  A surface scan of my HD
503. showed no bad sectors or areas.  Finally, where can I get the newest
504. copy of fprot?  Thanks much,
505.  
506. Scott
507. wg2b@andrew.cmu.edu
508.  
509. ------------------------------
510.  
511. Date:    Mon, 23 Aug 93 20:18:24 -0400
512. From:    Craig Williamson <craig.williamson@columbiasc.ncr.com>
513. Subject: scan read only network drive ? (PC)
514.  
515. I am using McAfee scan ver 106 with the following parameters:
516. /a /adn /bell /chkhi /m /date /report
517. and am trying to scan a read only network drive and am having a problem.
518. scan is trying to write a file called scanval.val to the root directory of this
519. network drive.  I do not want any files in the root directory of this network 
520. drive.  I am only trying to scan this drive.  Is there anyway to allow this 
521. file to be created elsewhere or not used at all?  Why is it needed?  and why
522. in the root directory of the disk?  I would like to keep these disks read only
523. for the purpose of my scan.
524.  
525. Craig
526.  
527.                                            "Behind every dark cloud, 
528. - -Craig Williamson                           there's usually rain." 
529.  Craig.Williamson@ColumbiaSC.NCR.COM      - Mike Nesmith,  The Monkees
530.  craig@toontown.ColumbiaSC.NCR.COM (home)
531.  
532. ------------------------------
533.  
534. Date:    Tue, 24 Aug 93 10:09:17 -0400
535. From:    Craig Williamson <craig.williamson@columbiasc.ncr.com>
536. Subject: McAfee scan with /ext option (PC)
537.  
538. How do I use the /ext option to add scan signatures and include the
539. other signatures so I don't have to do 2 scans.  This is extremely
540. important when scanning network drives which take too long anyway so I
541. don't want to do them twice.
542.  
543. Craig
544.  
545.                                                 "No regrets, 
546. - -Craig Williamson                                no apologies." 
547.  Craig.Williamson@ColumbiaSC.NCR.COM            - Ronald Reagan 
548.  craig@toontown.ColumbiaSC.NCR.COM (home)
549.  
550. ------------------------------
551.  
552. Date:    Tue, 24 Aug 93 16:57:55 +0000
553. From:    srhitch@surya.uwaterloo.ca (Steve Hitchman)
554. Subject: Stamford virus (PC)
555.  
556. Can anyone supply tech info on the Stamford virus. I'm interested mostly
557. in how it propagates. This is what I do know:
558.  
559. Turns good floppies into "General Disk Failure" after short time of use.
560.  
561. Only detectable with "scan /m c:" and is reported as being resident in RAM
562. [Stam] but is not found on the hard drive itself.
563.  
564. I could not get rid of it with dos format or dos fdisk. Low level hard disk
565. format (as you would expect) cleaned up the problem.
566.  
567. Any Comments?
568.  
569. Steve Hitchman
570. University of Waterloo
571. Dept. of Mech. Eng.
572. srhitch@ranger.uwaterloo.ca
573.  
574. ------------------------------
575.  
576. Date:    Wed, 25 Aug 93 12:27:01 -0400
577. From:    berces@ludens.elte.hu
578. Subject: Write protect ... (HELP!) (PC)
579.  
580. Hi,
581. Can anybody help me?
582. The problem is the following:
583.  
584. My computer (IBM386+110Mb harddisk[C+D part.]+MS-DOS 5.0+Stacker 2.0
585. version) displays at each disk operation on C that:
586.  
587. "Write protect error writing drive C
588. Abort, Retry, Fail?"
589.  
590. (McAffee 106 virus-scanner can not find any viruses!)
591. Is this a virus or any hardware problem?
592.  
593. Thanks in advance!
594.  
595. - -George
596.  
597. ------------------------------
598.  
599. Date:    Thu, 26 Aug 93 03:25:07 +0000
600. From:    jbunting@gucis.cit.gu.edu.au (James Bunting)
601. Subject: Datacrime (PC)
602.  
603.  I was wondering if anyone has information on the datacrime virus.  My
604. friends computer has got a case of it that does not show up with scan
605. or the microsoft virus checker but is detected by an xtree (or
606. something like that checker) I have probably got the same virus but I
607. can seem to detect it >From what I have heard it will format my hard
608. drive on the 10 th of September.  So, if anyone has suggestion they
609. would be most appreciated.
610.  
611. Jim Bunting (jbunting@gucis.cit.gu.edu.au
612.  
613. ------------------------------
614.  
615. Date:    Thu, 26 Aug 93 09:30:51 -0400
616. From:    padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
617. Subject: FORM Virus Unremovable ? (PC)
618.  
619. ( replying poster name deleted)
620. Luc Henderieckx (Luc.Henderieckx@f902.n292.z2.fidonet.org) wrote:
621.  
622. >:  JC> Does anybody has any idea as to how to get rid of the beast (and still
623. >:  JC> have the data on the disk)?
624.  
625. >Clean cannot remove it because the form has actually damaged the boot
626. >sector so much that it cannot be restored to it's original status. If
627. >your HD is clean just boot up from the HD then after boot up put in
628. >the floppy, copy the files to you HD, Format the Floppy and copy the
629. >files back.
630.  
631. BULL ! Another virus myth that started with the MusicBug. True, the BPB
632. (boot parameter block) in the FORM may be damaged (never really looked),
633. BUT the FORM DBR contains the pointer to the Real DBR that FORM stashed
634. out on the disk. All that is needed is to
635. a) boot from clean floppy
636. b) grab the apparent DBR (actually the FORM Virus)
637. c) extract the CX and DX values for retrieving the Real DBR (think in
638.    doubleword at 4Dh but no guarentees from memory - obvious from code 8*)
639. d) grab the Real DBR and copy back over the FORM DBR
640.  
641. (Could be fully automatic if you KNOW that it is the Mk 1(A) FORM but a DBR
642. is obvious, could even "walk the disk" & find it or just take the P-table
643. values and create a brand new one - not that difficult, just tedious).
644.  
645. Of course this does nothing for any corrupted sectors (three ?) but does defang
646. the FORM and the disk is again safely bootable.
647.  
648. As previously mentioned this was exactly the same as the early problem with 
649. the MusicBug but change 1 byte and the difficulty in booting clean went away.
650. (Just an aside - actually MusicBug & Form recovery is nothing more than
651. a boot floppy & debug - it doesn't matter that DOS cannot find the partition.)
652.  
653.                     Warmly,
654.  
655.                         Padgett
656.  
657. ps am a bit disappointed, data recovery has not progressed beyond 1990 except 
658.    in a few cases. Where have all of the profits the A-V vendors have made 
659.    gone ? Apparently not into R & D 8*(. Is it just that the public does not 
660.    know what is possible ?
661.  
662. ------------------------------
663.  
664. Date:    Thu, 26 Aug 93 11:18:27 -0400
665. From:    as789@cleveland.freenet.edu (Francisco J. Diaz)
666. Subject: TBAV 6.04 vs Mcafee's antivirus (PC)
667.  
668. Can anyone comment on the performance of the 2 programs mentioned above?
669. Which one offers more security, features, less false alarms..etc..
670. - -- 
671. |     Francisco J. Diaz Rivera     | Freenet: as789@cleveland.freenet.edu   |
672. |     University of Puerto Rico    | Internet: 841901723@cutb.upr.clu.edu   |
673. |               Hey Waitress! There's a pubic hair in my soup!              |
674. |             "Don't give up, don't ever give up" - Jim Valvano             |
675.  
676. ------------------------------
677.  
678. Date:    Thu, 26 Aug 93 02:20:05 -0400
679. From:    Wolfgang Stiller <72571.3352@compuserve.com>
680. Subject: Integrity Master V2 arrives! (PC)
681.  
682. Stiller Research announces release of Integrity Master(tm) version 2.01a
683.  
684. Version 2.01a was released August 14th.
685.  
686. Integrity Master provides complete, easy to use, data integrity for your
687. PC plus virus protection.  It can also be used to provide file change
688. management and security on your PC.  As well as scanning for known
689. viruses, it detects unknown viruses and unlike other products will
690. detect files which have been damaged but not infected by a virus.
691. INTEGRITY MASTER PROTECTS YOU AGAINST ALL THREATS TO YOUR DATA AND
692. PROGRAMS NOT JUST VIRUSES!  IM is ASP shareware.
693.  
694. New with version 2:
695.  
696. 1) IM will now check your CMOS memory for any changes that could affect
697.    the integrity of your PC.  IM can also reload your CMOS if needed. IM
698.    checks and reloads all possible CMOS not just 64 bytes supported by
699.    most CMOS programs.  When your base CMOS changes, IM will display
700.    details on what was changed (e.g., floppy or hard drive setup). The
701.    "/CC" option initiates CMOS checking from the command line. "/CC" may
702.    be used with other "/Cx" type options.
703.  
704. 2) IM now provides extensive control over when it will update your
705.    integrity data for changed files.  If you suspect file problems, IM
706.    can now check your files without updating the integrity data or IM
707.    will ask what to do individually when certain files change. IM will
708.    of course continue to not update, when a known virus or a disk error
709.    causes a change to a file.
710.  
711. 3) SetupIM has been enhanced to provide more specific guidance if you
712.    make potentially unwise option choices  (such as recording off-line
713.    integrity data to a hard-disk rather than a floppy).
714.  
715. 4) Sysops take note! IM will now tolerate a superfluous "*.*", "*.EXE
716.    *.COM", or even something like "D:\VIRUS\UPLOAD\*.*" as the first
717.    parameter on the command line or as part of the /Pyyyyy change
718.    directory command line option.  This provides compatibility with some
719.    BBS upload processors that insist on including this on the command
720.    line.
721.  
722. 5) IM now has an option to scan the current and all lower directories
723.    from the current subdirectory for known viruses.  The new command
724.    line switch for this is "/VL".
725.  
726. 6) IM identifies 200 new viruses by name and characteristic.
727.  
728.                      Where do I find it?
729.                      -------------------
730.  
731. Integrity Master should be available from any SDN or ASP affiliated BBS.
732. Most larger cities have at least one such BBS the current file name
733. is I-M201.ZIP (or .ARJ, .LZH, .PAK etc.).
734.  
735. Plus, we upload the latest versions of Integrity Master directly to
736. these boards:
737.  
738. o First time callers can download and get support for Integrity Master
739.   from Wingit! (1-904-386-8693)  V32.bis and USR HST
740.  
741. o Sentry Net BBS (1-703-815-3244)
742.  
743. o Free downloads of Integrity Master and support are also available via
744.   the Runway BBS. You must join Conference 77.
745.   Runway BBS:
746.   215-623-6203 2400
747.   215-623-9462 v.32
748.   215-623-4897 HST
749.  
750. o VFR Systems (Sara Gordon) BBS 1-219-273-2431
751.  
752. o Solitude (Fido 1:300/23)   (1-602-747-5236) you can FREQ or download
753.   using the magic names: IMASTER or IM.
754.  
755. o In the UK, Integrity Master is supported by The Farm BBS UK. 9 nodes
756.   Dual Standard HST. 7.2gb 0223 208094/208472/208363/208525/208598/208287.
757.  
758. [Moderator's note: A copy of Integrity Master has been sent to the
759. VIRUS-L/comp.virus PC archive sites.]
760.  
761. You can also call Shareable Software International at 1-800-622-2793 or
762. 1-708-397-1221 or fax at 1-708-397-0381.
763.  
764.              How do I make sure it's a valid version?
765.              ----------------------------------------
766. If you get a copy of Integrity  Master from other than one of the above
767. sources, you can make sure it's a legitimate copy of checking the PKzip
768. CRC values:
769.  
770. Here are the CRC values for the important files displayed by PKzip
771. (either 2.04 or older versions) for version 1.51b:
772.  
773.  Length  Method   Size  Ratio   Date    Time    CRC-32  Attr  Name
774.  ------  ------   ----- -----   ----    ----   -------- ----  ----
775.    2183  Implode   2151   2%  08-14-93  02:01  3da7f740 --w-  GENVIR.EXE
776.  127109  Stored  127109   0%  08-14-93  02:01  bee9e09b --w-  IM.EXE
777.    4582  Implode   2581  44%  08-14-93  02:01  3b074f35 --w-  IMCHECK.EXE
778.    3454  Implode    869  75%  08-14-93  02:01  a9db7921 --w-  IMPRINT.BAT
779.    1118  Implode   1011  10%  08-14-93  02:01  515b8205 --w-  IMVIEW.COM
780.   60528  Stored   60528   0%  08-14-93  02:01  e2a6ee39 --w-  SETUPIM.EXE
781.  ------          ------  ---                                  -------
782.  553568          323987  42%                                       24
783.  
784. Regards, Wolfgang
785.  
786. Stiller Research, 2625 Ridgeway St. Tallahassee, FL 32310, U.S.A.
787.  
788. ------------------------------
789.  
790. End of VIRUS-L Digest [Volume 6 Issue 116]
791. ******************************************
792.  
793.  
794.