home *** CD-ROM | disk | FTP | other *** search

---

/ DP Tool Club 8 / CDASC08.ISO / VRAC / VL6_120.ZIP / VL6-120.TXT

Wrap

Internet Message Format  |  1993-09-10  |  36KB

---

1. From Fidoii.CC.Lehigh.EDU!lehigh.edu!virus-l  Thu Sep  9 05:48:53 1993 remote from vhc
2. Received: by vhc.se (1.65/waf)
3.     via UUCP; Thu, 09 Sep 93 15:52:44 1
4.     for mikael
5. Received: from fidoii.CC.Lehigh.EDU by mail.swip.net (5.65c8-/1.2)
6.     id AA27426; Thu, 9 Sep 1993 15:52:43 +0200
7. Received: from Fidoii.CC.Lehigh.EDU ([127.0.0.1]) by Fidoii.CC.Lehigh.EDU with SMTP id <4112-3>; Thu, 9 Sep 1993 09:48:55 EDT
8. Message-Id: <9309091349.AA09484@agarne.ims.disa.mil>
9. Reply-To: virus-l@lehigh.edu
10. Originator: virus-l@lehigh.edu
11. Sender: virus-l@lehigh.edu
12. Precedence: bulk
13. From: VIRUS-L Moderator <virus-l@assist.ims.disa.mil>
14. To: Multiple recipients of list <virus-l@lehigh.edu>
15. Subject: VIRUS-L Digest V6 #120
16. X-Listprocessor-Version: 6.0a -- ListProcessor by Anastasios Kotsikonas
17. X-Comment: Virus Discussion List
18. Date: Thu, 9 Sep 1993 09:48:53 EDT
19.  
20. VIRUS-L Digest   Thursday,  9 Sep 1993    Volume 6 : Issue 120
21.  
22. Today's Topics:
23.  
24. see you in Amsterdam :-)
25. Re: Dark Avenger Update?
26. Experiments with mutated viruses. (PC)
27. Re: Any good anti-viral shareware out there (PC)
28. Re: Lambdin's Accuracy Tests (PC)
29. Re: Write protect ... (HELP!) (PC)
30. Possible DOS/Windows virus... in the development stage? (!) (PC)
31. EXEBUG (PC)
32. Re: Floppy disk virus (PC)
33. 1530 or SVC? Disinfection? (PC)
34. posting re retaliator viruses (PC)
35. CRUNCH21.COM (PC)
36. Re: NukePox disinfector? (PC)
37. "Moose" PC viruses (PC)
38. virusses in .ARJ & .ZIP (PC)
39. Re: Vshield v107 (PC)
40. TBAVU605.ZIP/TBAVX605.ZIP - TBAV anti-virus v6.05 (optimized/upgrade) (PC)
41. New files on risc (PC)
42. DS II (PC)
43. DiskSecure II updated (yes) (PC)
44.  
45. VIRUS-L is a moderated, digested mail forum for discussing computer
46. virus issues; comp.virus is a gatewayed and non-digested USENET
47. counterpart.  Discussions are not limited to any one hardware/software
48. platform - diversity is welcomed.  Contributions should be relevant,
49. concise, polite, etc.  (The complete set of posting guidelines is
50. available by FTP on CERT.org or upon request.)  Please sign submissions
51. with your real name; anonymous postings will not be accepted.
52. Information on accessing anti-virus, documentation, and back-issue
53. archives is distributed periodically on the list.  A FAQ (Frequently
54. Asked Questions) document and all of the back-issues are available by
55. anonymous FTP on CERT.org (192.88.209.5).
56.  
57. Administrative mail (e.g., comments, suggestions, beer recipes)
58. should be sent to me at: krvw@ASSIST.IMS.DISA.MIL.
59.  
60. All submissions should be sent to: VIRUS-L@Lehigh.edu.
61.  
62.    Ken van Wyk
63.  
64. ----------------------------------------------------------------------
65.  
66. Date:    Tue, 07 Sep 93 12:20:58 -0400
67. From:    frisk@complex.is (Fridrik Skulason)
68. Subject: see you in Amsterdam :-)
69.  
70. Well, I am off for the Virus Bulletin conference in Amsterdam, followed by
71. my annual vacation, far away from any viruses.
72.  
73. My staff here in Iceland will know how to get in touch with me if absolutely
74. necessary, but don't expect any E-mail replies from me personally until I get
75. back on the 22nd.
76.  
77. - -frisk
78.  
79. - --
80. Fridrik Skulason      Frisk Software International     phone: +354-1-617273
81. Author of F-PROT      E-mail: frisk@complex.is         fax:   +354-1-617274
82.  
83. ------------------------------
84.  
85. Date:    Tue, 07 Sep 93 20:49:15 -0400
86. From:    blah@netcom.com (baby copperfield)
87. Subject: Re: Dark Avenger Update?
88.  
89. 73044.2573@compuserve.com (William H. Lambdin) writes:
90.  
91. >The latest thing that I have seen written by Dark Avenger was the Uruguay 
92. >virus, but that was several months ago
93.  
94. i dont know where this information came from, bill, but according to
95. everything i have read, uraguay came from Uraguay. dark avenger is/was
96. from bulgaria :). that virus has been around since december 1992, and
97. in my extended conversations with dav, it was -never- mentioned as one
98. of his viruses.
99.  
100. there are a lot of people who would like him to be writing and
101. distributing viruses. monster virus writers make much better press
102. than ones that quit or suspended 'operations' for whatever reason. i
103. study the subculture relating to virus writers, and if someone has
104. some documentable verifiable proof that this particular guy is at it
105. again, i would really appreciate seeing it.  it woudl be an important
106. part of the work involved in developing case histories and a general
107. overview of the 'culture' that exists around viruses.
108.  
109. however, to date, all i have seen regarding this particular guy is a
110. few imitators, some insertions of his name in test strings, and a few
111. attempts to provoke him to some action or other made by persons who
112. are part of the virus subculture. i know this is not your intent;
113. maybe someone told you he wrote that virus. as far as i know, he's
114. never been in uraguay, and more importantly, did not write that virus.
115. at least, he has not stated he did, and he has been more than
116. cooperative about his past actions.
117.  
118. sara
119.  
120. - -- 
121. SGordon@Dockmaster.ncsc.mil / vfr@netcom.com         bbs:    219-273-2431
122. fidonet 1:227/190 / virnet 9:10/0  p.o. box 11417    south bend, in 46624
123. you are only coming thru in waves..your lips move but i cant hear what you say
124.  
125. ------------------------------
126.  
127. Date:    Tue, 07 Sep 93 12:20:25 -0400
128. From:    "Sajid Rahim" <sajid@oris.ru.ac.za>
129. Subject: Experiments with mutated viruses. (PC)
130.  
131. To:           virus-l@lehigh.edu
132. From:         sajid
133. Date:         5 Sep 93 18:36:14 
134. Subject:      Experiments with mutated viruses.
135. Priority: normal
136. X-mailer:     Pegasus Mail v2.3 (R5).
137.  
138. Hello all,
139.  
140. I have just finished carrying out experiments designed to test the
141. detection ability of three products namely :
142.  
143.    i. Dr Solomons Toolkit
144.   ii. McAffee Scan v106
145.  iii. F-prot v2.08d
146.  
147. They were specifically chosen as available on internet in case of
148. McAffee whilst Dr Solomons has been aggressively marketed in South
149. Africa.  I did not bother using the local product from CSIR which in
150. my view was a very limited product when compared to the three
151. mentioned above.
152.  
153. Samples of used were restricted to multi-partite viruses which
154. included DAVs as well as stealth. The viruses were firstly
155. disassembled to the target assembler TASM v2.0. The disassembled
156. sources were then modified in the following manner :
157.  
158.   Non-Encrypting Viruses
159.   ----------------------
160.   Modification : The potential string combination were slightly
161. altered
162.                  ie. Reset virus's omega sign display. This was done
163. without
164.                  any slightest idea as to what the detection string
165. might
166.                  be to pervent any biasing.
167.                  Some codes pieces were removed (a couple of bytes
168. only).
169.  
170.   Encrypting Viruses
171.   ------------------
172.   Modification : The encrypting keys of the viruses were modified to
173.                  different values than those utilised by the existing
174.                  virus.
175.  
176. The samples were then assembled into binary code.
177.  
178. All the anti-virus products were then utilised to see how well their
179. detection systems were. Here surprises emerged.
180.  
181. Toolkit failed to recognise any one of the mutated code. Scan was able
182. to work for non-encrypted codes whilst fprot was able to detect all.
183.  
184. At the conclusion, I was horrified to think of the potential disaster
185. waiting to emerge for those using Dr Solomons. Finally I wish to file
186. a disclaimer that all these experiments were carried out without any
187. biase to any of the three products.
188.  
189. Hope that this info is of any use to users out there.
190.  
191. Sincerely
192.  
193. Sajid
194.  
195. - --
196. - ------------------------------------------------------------
197. Sajid Rahim                   internet : sajid@oris.ru.ac.za
198. S.R.L                         fidonet  : 5:7105/4.5
199. P.O. Box 5890,MMabatho,Bophuthatswana.
200. ============================================================
201.  
202. ------------------------------
203.  
204. Date:    Tue, 07 Sep 93 12:22:42 -0400
205. From:    bondt@dutiws.TWI.TUDelft.NL (Piet de Bondt)
206. Subject: Re: Any good anti-viral shareware out there (PC)
207.  
208. >dk010b@uhura.cc.rochester.edu wrote:
209. >: I'm looking for a good anti-viral program that is available as
210. >: shareware. If you know af a good one (and how I can easily get it) or
211. >: if you have one you wouldn't mind sharing I'd really appreciate it.
212. >
213. >Shareware, is not free-ware it means try before you buy. Try
214. >Mcafee.com ftp site the best for me.
215. >
216. >Michael
217.  
218. >Try ThunderByte Anti-Virus v6.04. Better everything then Mcafee. You can get
219. >the latest copy via modem at ThunderByte USA. Number is 1-302-732-6399.
220. >
221. >Ttul
222.  
223. Thunderbyte Anti Virus Software is downloaded at a *very* regular base by
224. me, directly from the author's Thunderbyte BBS in Holland !
225. It is then placed on ftp.twi.tudelft.nl in dir /pub/msdos/virus/tbscan
226. Then it is uploaded to oak.oakland.edu (& simtel20), garbo.uwasa.fi
227. and nic.funet.fi
228. We also mirror mcafee.com (McAfee software)
229.  
230. mail me (bondt@ftp.twi.tudelft.nl) for info, or to be added to the TBAV
231. list (keeps you informed on TBAV software)
232.  
233. ------------------------------
234.  
235. Date:    Tue, 07 Sep 93 19:21:45 -0400
236. From:    vfreak@aol.com
237. Subject: Re: Lambdin's Accuracy Tests (PC)
238.  
239. >I've noticed your "accuracy" tests for a long time and hoped that they
240. >would eventually improve without my having to comment on them, but I
241. >can't pass over this in silence any more.  The question is how such a
242. >comparison can be fair when you don't use the latest version of each
243. >scanner.  For example, despite the date "June 93", the fact is that
244.  
245. I use the latest version that I can get of each scanner.
246.  
247. I have been awaiting a newer version of UTscan for months, but it hasn't
248. arrived, so downloading the signature update from Fifth Generation BBS is the
249. best that I can do at the present time. Since the June 1993 signatures are
250. three months old I will be removing UTscan from the September release.
251.  
252. >But is it fair to penalize a product in the eyes of the readers simply
253. >because no one at that company has read your invitation?  Or if for
254.  
255. I am not penalizing any company.
256.  
257. I have contacts at Fifth Generation Systems, and at BRM in Israel the
258. developers of Untouchable, and several others.
259.  
260. It's not my fault that the new releases haven't arrived as promised, so I
261. updated the signatures to make UTScan as current as possible.
262.  
263. >example, is "ZOO" supposed to suggest a kind of "zoo" populated by vi-
264. >ruses?  (Or could it mean that the infected files are contained within
265. >a ZOO-type archive which the scanner is supposed to be able to un-
266. >pack?)  And you might explain precisely what "SIGS" means.
267.  
268. I post LAT into 16 virus related conferences, and for most of them the marjin
269. is 75 columns wide, and to get it to fit inside the marjins, I have to use
270. shorthand.
271.  
272. ZOO is short hand for my virus collections
273. SIGS is short Hand for SIGnatureS.
274.  
275. There haven't been many people that have asked me to explain the short hand.
276. Three people now in the last year. 
277.  
278. Bill
279.  
280. ------------------------------
281.  
282. Date:    Wed, 08 Sep 93 01:21:16 -0400
283. From:    latim912@crow.csrv.uidaho.edu (Jerry E. Latimer)
284. Subject: Re: Write protect ... (HELP!) (PC)
285.  
286. Martin_blas Perez Pinilla (mtppepim@lg.ehu.es) wrote:
287. : berces@ludens.elte.hu writes:
288. : > My computer (IBM386+110Mb harddisk[C+D part.]+MS-DOS 5.0+Stacker 2.0
289. : > version) displays at each disk operation on C that:
290. : >
291. : > "Write protect error writing drive C
292. : > Abort, Retry, Fail?"
293.  
294. :  I think that Stacker is the guilty. This problem was discussed last
295. : year in V5#167 of VIRUS-L. This follows the verbatim copy of a message
296. : of OB77665@IBMH1.ORL.MMC.COM:
297.  
298. : Subject: Stacker problems (PC)
299. :  
300. :   The last few months I've observed a lot of discussion on
301. :   the automatic write protection of stacker drives as a result
302. :   of allocation errors.
303. :   I had this unfortunate experience this weekend as a result
304. :   I dialed into the stacker BBS which was listed in the manual.
305. :   They have several nice utilities and text files that you can d/l
306. :   for troubles and updates.
307. :   Below I have included the text file I d/l on how to get out of
308. :   the write-protected problem.
309.  
310. [complicated instructions deleted]
311.  
312. There is a much easier method.  On the uncompressed drive, simply use
313. the MS-DOS attribute command to turn-off the read-only flag of the
314. Stacker volume file.  Email me if you need more info, because this
315. topic has nothing to do with viruses.
316.  
317. // --------------------------------------------------------------------------
318. // Name:    Jerry E. Latimer               ( latim912@crow.csrv.uidaho.edu )
319. //
320. #include "cutequot.h"
321. //---------------------------------------------------------------------------
322.  
323. ------------------------------
324.  
325. Date:    Wed, 08 Sep 93 01:58:05 -0400
326. From:    sjsmith@cs.UMD.EDU (Stephen Joseph Smith)
327. Subject: Possible DOS/Windows virus... in the development stage? (!) (PC)
328.  
329. Preface: I know next to nothing about viruses.  This is not an actual
330. virus report.  This is a report of a letter received at my place of
331. employment that made me suspicious.  If anyone else has received a
332. letter like this, please post or email.  If anyone has any idea what
333. to do about the letter, please post or email.
334.  
335. I'm a grad student in computer science at the University of Maryland
336. at College Park.  On the side I work for Great Game Products in
337. Bethesda, Maryland doing C programming under DOS.  Recently Tom
338. Throop, president and founder of GGP, received a strange unsolicited
339. letter from someone wanting information on names, dates and times, and
340. sizes of executable files included in all of GGP's software products.
341.  
342. Figuring that it is better to be safe than sorry, I told Tom not to
343. give out any information until he knew more about how it was going to
344. be used.  The vagueness and unprofessionality of the letter and the
345. abnormal request for information about executables have made me worry
346. about the possibility of someone out there trying to write a virus or
347. viruses and masking them as software products from unsuspecting small
348. software companies who just answered a survey.
349.  
350. If I'm just being too paranoid, I apologize.  But if not, please let
351. me know what you think I should do.
352.  
353. Thanks.  The letter from "Cheyenne Software" and Tom's reply are enclosed.
354.  
355. - - Stephen
356.  
357. - ---------------------------------------------------------------------------
358.  
359. Dear Tom Throop:
360.  
361. I need information on all of your software products.  I need all of
362. them to be for DOS and/or Windows.  For this I would need to know what
363. version you have come out with (ex: 1.0, 2.0) and for the versions I
364. would need to know what the executable name is, the size of the file,
365. the date and time of the file.  If possible can you give me as many
366. different maintenance versions as you can.
367.  
368. The reason for me requesting this information is because I am doing a
369. database project for Cheyenne Software which will be used to check for
370. illegal copies of your product.  It also will be used for copy
371. protection.  This will benefit you by when we find an illegal copy we
372. will make them either buy it or get rid of it.
373.  
374. Please send that to Stephanie LaMarca at Cheyenne Software.  The fax
375. number is (516) 484-1853.  Please fax me back as soon as possible.  If
376. you need to contact me by phone my number is (516) 629-4424.  Thank
377. you.  And if you would like to contact me by mail it would be 3
378. Expressway Plaza, Roslyn Heights, NY 11577.
379.  
380. Sincerely,
381. Stephanie LaMarca
382.  
383. - ---------------------------------------------------------------------------
384.  
385. 8/21/93
386.  
387. Stephanie -
388.  
389. We may be able to help you with your project, but I would like to know
390. a little more about the project:
391.  
392. 1.  What is your purose, and what funds are you putting up or
393. receiving from contributors or a client?
394.  
395. 2.  If the funds are coming from a client, who is he, and what is his
396. objective?
397.  
398. 3.  You say that upon finding an illegal copy, "we will make them
399. either buy it or get rid of it".  This is admirable, indeed, but by
400. whose authority will you act?  What mechanism exists for enforcement?
401.  
402. 4. Is there existing publicity on the project?
403.  
404. Sincerely,
405. Tom Throop
406.  
407. ------------------------------
408.  
409. Date:    Tue, 07 Sep 93 14:33:16 -0400
410. From:    padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
411. Subject: EXEBUG (PC)
412.  
413. >From:    craa77@vaxa.strath.ac.uk
414. >Subject: Exebug1 problems......... aaaggghhhh!! (PC)
415.  
416. > It seems to be active in the memory and  McAffee (sp) scan/clean
417. > tells me to switch off the machine and boot from a floppy and 
418. > run scan and clean from there.  The problem is however, when I
419. > do this the hard drive is no longer accessible (which makes it
420. > rather difficult to clean :-)
421.  
422. Well I guess you have not tried my FixMBR from FixUtil5.  The point is
423. that just because DOS cannot find the hard disk that it is not there,
424. only that the partition table in the MBR or the DBR has become
425. lost/corrupted. In this case FDISK/MBR will not work & FDISK/STATUS
426. wll report odd things.
427.  
428. Somehow I have to wonder about the diagnosis though as I do not recall
429. EXEBUG fouling up the P-Table, just the CMOS floppy parameter.
430.  
431. The EXEBUG is rather strange in that it tries to prevent floppy booting
432. by telling the CMOS that drive A: is not there (by zeroing offset 10h -
433. see my CMOS.LST in the latest version of Ralf Brown's Interrupt List).
434.  
435. This is surmounted by re-selecting the floppy in the BIOS SETUP and
436. immediately booting from floppy.
437.  
438.                     Good luck,
439.                         Padgett
440.  
441. ps DiskSecure II is hardened against droppers & will flag any attempt (plug).
442.  
443. ------------------------------
444.  
445. Date:    Wed, 08 Sep 93 10:49:20 -0400
446. From:    gary@sci34hub.sci.com (Gary Heston)
447. Subject: Re: Floppy disk virus (PC)
448.  
449. s9018166@pewter.spectrum.cs.unsw.OZ.AU (Elisa Aquino) writes:
450. >I don't know how to fix my computer because i think it is infected by
451. >virus.
452.  
453. Doesn't sound like it. You might benefit from a book on hardware
454. maintenance of personal computers. Assuming any strange problems
455. to be a virus is usually a mistake.
456.  
457. >1. Drive A just can read first disk. Even u put second disk , directory
458. >   will show the same as first disk.
459. >2. After I read drive B , then drive A is reset to read first disk but
460. >   it is the same after puting another disk.
461.  
462. It sounds like your A drive has a bad disc-change sensor. Try pulling 
463. the drive out and cleaning any lint or dust from it (compressed air
464. works well), then reconnect and try it. Or, move your B drive to the
465. A drive position and try it. The sensor is usually a mechanical switch,
466. so look for something along where the back of the disc rests (when in 
467. the drive) that is stuck or broken.
468.  
469. >I even reformat the hard disk, still the same. Then I low level format the
470. >hard disk, also the same.
471.  
472. Unless you know it's a virus, don't format your hard drive. It's almost
473. never necessary, anyway.
474.  
475. - -- 
476. Gary Heston    SCI Systems, Inc.  gary@sci34hub.sci.com   site admin
477. The Chairman of the Board and the CFO speak for SCI. I'm neither.
478. # It's a bad year for NASCAR. #7 Allan Kulwicki, #28 Davey Allison, RIP #
479. #        Where was Dale Ernhart at 3:00PM CDT on July 12?               #
480.  
481. ------------------------------
482.  
483. Date:    Wed, 08 Sep 93 12:06:21 -0400
484. From:    Fabio Esquivel <FESQUIVE@ucrvm2.bitnet>
485. Subject: 1530 or SVC? Disinfection? (PC)
486.  
487. *HELP*   Here I am again with another virus:
488.  
489. Yesterday I found an EXE file infected with a virus reported like this:
490.  
491. - - CPAV for Windows 1.0 does not find anything (which is normal 8^);
492. - - F-Prot 2.09d called it a "New or modified variant of SVC";
493. - -     Scan 104 called it "1530" with the ID 1530|;
494. - -     Scan 107 called it "June1530" with the ID J1530| (which
495.                does not appear in the VirList.TXT file).
496.  
497. Searching in VSumX307 I found a mention on the CB-1530, but I'm not
498. sure if it is the same virus, mainly because F-Prot thinks it may be a new
499. variant of SVC, -because of this, F-Prot does not make any attempt to disinfect
500. the strain-.  Clean 107 says it is not possible to disinfect the file
501. safely and suggests to overwrite it.
502.  
503. I found this virus on a 3.5 floppy disk; this disk is an ORIGINAL diskette
504. from IBM containing the installation software for PCSupport.  I checked
505. out other ORIGINAL diskettes with the same software and they are not
506. infected, so I suspect that this floppy was infected in a workstation
507. during the installation process (the file infected is INSTALL.EXE),
508. because the protection tab was closed, which allows write operations
509. to the floppy disk.
510.  
511. I fear that this virus is VERY propagated throughout the network:
512. we are experiencing problems since 2 weeks ago (workstation hangs,
513. unexpected machine boots, one or two lines of screen deleted when
514. trying to login into the token ring...).
515.  
516. What can I do?  The network cannot be shut down:  it must be working
517. 24 hours a day.  We are losing time and money with those several
518. workstations that refuse to login into the network.  The most recent
519. copies of the BEST worldwide antivirus softwares (FProt and ViruScan,
520. of course) refuse to disinfect this virus...
521.  
522. Should I send it to Fridrik and Aryeh and wait for good news?
523. Should I reinstall ALL the software in EVERY workstation from
524. the non-infected original IBM disks (very time-consuming)?
525.  
526. Thanks for any help,
527. DATA SEGMENT PARA PUBLIC
528.      name DB 'Fabio Esquivel'            ;  C:\> dir a:
529.    bitnet DB 'fesquive@ucrvm2.bitnet'    ;  Virus found in drive A:
530.  internet DB 'fesquive@ucrvm2.ucr.ac.cr' ;  Install, Kill, Panic?_
531. DATA ENDS
532.  
533. ------------------------------
534.  
535. Date:    Wed, 08 Sep 93 12:13:15 -0400
536. From:    fltline@aol.com
537. Subject: posting re retaliator viruses (PC)
538.  
539. "William H. Lambdin" <73044.2573@compuserve.com> writes:
540. Posted: Thu, 26 Aug 93 14:23:02 -0400
541.  
542. :Does anyone have experience with retaliator viruses?
543. :I have read several messages about them, and would appreciate some info.
544. :It the information is of a sensitive nature, please respond via E-Mail.
545.  
546. I had a discussion with a tech from McAfee, in the America OnLine
547. Virus area (McAfee message board) about this same subject. He stated
548. that he had no knowledge of any viruses that attack anti-viral
549. software. When I presented the following chart to him, he changed his
550. story somewhat:
551.  
552. Virus Name            Action
553. - -----------------            ---------
554.  
555. Encroacher              Will search for and delete the following CPAV files:
556.           CHKLIST.CPS files
557.                               CPAV.EXE - the CPAV main program
558.                               VSAFE.COM - the resident sentry program
559.  
560. Groove                     (Same as above)
561.  
562. Peach                      Searches for and destroys all CHKLIST.CPS files in
563. every                                            directory before infection
564. takes place (thereby disabling                                               
565.  CPAV)
566.  
567. Tremor                      Will disable (aka Turn off) the Microsoft        
568.                                                               memory resident
569. virus identifier (VSAFE)
570.  
571. LOKJAW-ZWEI        Will search for CPAV, F-Prot, McAfee's Scan, McAfee's      
572.   
573.                                       Clean and delete them
574.  
575. PC WEEVIL        A Mutation Engine Variant which will, like Tremor,         
576.     
577.                                           disables Microsoft Anti-Virus
578.  
579. Hope this has been of some help to you.
580.  
581. Sam Pitawala
582. E-mail: Fltline@AOL.com
583.  
584. ------------------------------
585.  
586. Date:    Wed, 08 Sep 93 13:17:03 -0400
587. From:    vfreak@aol.com
588. Subject: CRUNCH21.COM (PC)
589.  
590. Steven Hoke uploaded CRUNCH21.COM to the Metaverse BBS last night and
591. requested that I forward it to the A-V developers..
592.  
593. F-Prot 2.09 detects CRUNCH21 as possibly a Diet compressed Coffeeshop
594. dropper. F-Prot reports the same for the second generation too.
595.  
596. I ran the file on my test machine, and it requested permission before going
597. resident. I answered no on the first run just to check.
598.  
599. It will not go resident without an affirmative responce.
600.  
601. After running the file for the second time on my test machine, I gave it
602. permission to go resident, then ran my bait files.
603.  
604. My 10K bait files were reduced to 4K, and at first I had thought that it
605. was an overwriting virus.
606.  
607. I ran the bait files again, and they still ran properly. They were not
608. overwritten, just compressed, so it's not easy to tell the size of this
609. thing.
610.  
611. Since this requests permission, it shouldn't really be called a virus. I am
612. open to suggestions on what this type of program should be called.
613.  
614. This thing attaches to .COM and .EXE files, but ignores COMMAND.COM.
615.  
616. I am sending the first and second generation of this to David Chess,
617. Fridrik Skulason, and Wolfgang Stiller.
618.  
619. Bill Lambdin
620.  
621. ------------------------------
622.  
623. Date:    Wed, 08 Sep 93 17:13:24 +0300
624. From:    eugene@kamis.msk.su (Eugene V. Kaspersky)
625. Subject: Re: NukePox disinfector? (PC)
626.  
627. > Does anyone have/know of a disinfector for NPox (NukePox) 2.2? F-Prot
628.  
629. Previous versions of NukePox (2.0 and 2.1) cure the infected files on opening.
630. For removing the virus you should open the infected files by DOS function
631. OPEN (under active TSR virus, of course), and the virus will remove itself.
632. How to open these files? Try execute "copy . nul", or scan all files by
633. antiviral.
634.  
635. But these viruses infect the files again on closing, be careful! So, you
636. should open and close the infected file, and let the virus remove itself from
637. the file on opening and stop the infection on closing. To stop the infection
638. you should (your own TSR program should) intercept INT 2Fh and check the
639. functions 1220h and 1216h, these functions are called by the virus on
640. infection. My a-v monitor does it.
641.  
642. The second way: the old version of NukePox save the original 1Bh (27) bytes
643. of the file beginning at the file end. If new version is of the save
644. standard, you should move last 27 bytes of the infected file to its
645. beginning and cut the file at its 'entry point'. To automatize that
646. task you can use my toolkit which you can download from
647. ftp.informatik.uni-hamburg.de:/pub/virus/progs/avp_106b.zip
648.  
649. The last way: send the infected sample to a-v researchers and wait for updates.
650.  
651. Regards,
652. Eugene
653. - -- 
654. - -- Eugene Kaspersky, KAMI Group, Moscow, Russia
655. - -- eugene@kamis.msk.su +7 (095)939-4066
656.  
657. ------------------------------
658.  
659. Date:    Wed, 08 Sep 93 15:37:35 -0400
660. From:    "Lars Renman" <LARS@amc.chalmers.se>
661. Subject: "Moose" PC viruses (PC)
662.  
663. I sent a message to VALERT-L regarding these viruses on August 15,
664. 1993. I now know a little more about the bastards:
665.  
666. 1) It is probably at least four (or more) very similiar strains, all
667.    carrying the readable text string "Moose" in the code appended
668.    to infected files. Various version? numbers "30", "31", "32" -
669.    some of them with a space before the number - also in readable
670.    format follow the "Moose" text.
671.  
672. 2) Different strains attack .EXE and .COM files. There are also
673.    instances of .SYS files being converted to .COM file format, in
674.    the latter case with the readable text string "This, and much
675.    more, from the Moose crashing corp" in the code.
676.  
677. 3) Some files have been infected by two strains ("Moose31" and
678.    "Moose32").
679.  
680. 4) All of the common virus scanning programs can successfully be
681.    taught to look for the "Moose" signature.
682.  
683. 5) Some files have also had parts of Central Points CPAV.EXE file
684.    appended to them.
685.  
686. 6) I have taken the trouble to disassemble all of the strains I have
687.    found. They are rather clumsily written and they all seem to do
688.    the same thing:
689.       i)  look for an uninfected file in the current directory. If
690.           not found, go to the overlying directory and try again
691.           (repeated until the root is reached).
692.      ii)  infect the uninfected file (if found)
693.     iii)  randomly change one byte in the program running by
694.           calculating a random address using
695.             IN AL,40h
696.           a three times, but only if a first reading gives a value
697.           below 10 hex. The random value also comes from the last
698.           reading.
699.      iv)  restore the initial directory
700.       v)  return to normal execution (which sometimes will fail if
701.           the random destruction part worked)
702.    To be frank, I don't understand what has happened in the cases when
703.    CPAV.EXE code has been added to the programs.
704.  
705. 6) There is probably no memory-residency, boot sector or partition
706.    sector infection involved. My previously reported fears of stealth
707.    properties are probably not true - Solomon's PEEKA program behaves
708.    strangely also on non-infected PCs of the same make (Acer 486/33),
709.    so it is most probably an incompatibility problem.
710.  
711. There have been no other sightings of the virus reported at this
712. university campus (Alerts have been sent to all system managers).
713. I have, however, managed to track down students from this department
714. who have had their PCs at home infected, so the things are on the
715. loose !
716.  
717. I have had a few requests for samples - so far I haven't had the time
718. to do anything about this. For those with an urgent interest: I have
719. sent samples on diskettes to frisk@complex.is and McAfee's Swedish
720. representative.
721.  
722. /Lars Renman
723.  
724. Lars Renman
725. AMK, CTH/GU, Gothenburg, Sweden
726. tel. +46 31 772 2782    fax. +46 31 772 2785
727.  
728. ------------------------------
729.  
730. Date:    Thu, 09 Sep 93 02:35:21 -0400
731. From:    uttsbbs!timothy.lam@uunet.UU.NET (Timothy Lam)
732. Subject: virusses in .ARJ & .ZIP (PC)
733.  
734. Well, suppose you use McAfee VIRUSCAN.....   Adding an option /a like...
735.  
736. SCAN /a C:
737.  
738. Will cause the scanner to scan all the files, including the ZIPS......
739. But the bad thing is that since the files inside the archive are
740. re-coded, those scan would not be able to found out if there is a virus
741. in there....  What you can do for the next step is to D/L a file used to
742. do the procedure like   UNZIP->SCAN->ZIP
743. and so you can fully check if your user uploaded any viruses....
744.  
745. Hope that helps!
746.  
747. Timothy Lam -  Internet :  lam@nebbs.nersc.gov
748.  
749. - ----
750. +------------------------------------------------------------------------+
751. | The Transfer Station BBS (510) 837-4610 & 837-5591 (V.32bis both lines)|
752. | Danville, California, USA. 1.5 GIG Files & FREE public Internet Access |
753. +------------------------------------------------------------------------+
754.  
755. ------------------------------
756.  
757. Date:    Thu, 09 Sep 93 04:02:23 -0400
758. From:    mcafee@netcom.com (McAfee Associates)
759. Subject: Re: Vshield v107 (PC)
760.  
761. Hello Mr. Rivera,
762.  
763. You write:
764.  
765. >I was just trying to get Vshield to loadhi under MSDOS 6.0/QEMM 7.01
766. >combo and while it worked fine before, now it refuses to loadhi.
767.  
768. This was a minor bug (buglet?) introduced in Version 107* of VSHIELD
769. when some debugging code was accidentally left in the program.  If
770. the "DOS =" statement in your CONFIG.SYS file did not mention loading
771. DOS into a UMB with either a "DOS=HIGH,UMB" or "DOS=UMB" switch, then
772. VSHIELD would not recognize that the Upper Memory Area was present and
773. as a result would not load high into an Upper Memory Block.  Replacing
774. your "DOS =" statement with "DOS=HIGH,UMB" will allow it to successfully
775. load high.
776.  
777. This will be fixed in V108, which should be available within the next
778. two weeks.
779.  
780. >I guess there is some incompatibility between the 2 programs.
781. >There's a lot of upper memory available and I have tried many
782. >different combinations using Vshield's options and still have the
783. >problem. Can any1 help me out on this one? Thanks!
784.  
785. Please feel free to contact me if you have any further problems.
786.  
787. Regards,
788.  
789. Aryeh Goretsky
790. Technical Support
791.  
792. PS:  For those wondering, V107 was released on August 25 but was not
793.      placed on our Internet site because of a problem that VIRUSCAN
794.      had with scanning PKLITE compressed files.  A new release, V108,
795.      is currently in beta-test which incorporates a fix for this
796.      problem.
797. - -- 
798. - - - - - - -  Please send your reply, if any, to Aryeh@McAfee.COM  - - - - - -
799. McAfee Associates, Inc.  | Voice (408) 988-3832 | INTERNET: mcafee@netcom.com
800. 2710 Walsh Ave, 2nd Floor| FAX   (408) 970-9727 |  or try: support@mcafee.com
801. Santa Clara, California  | BBS   (408) 988-4004 | CompuServe ID: 76702,1714
802. 95051-0963  USA          | USR HST Courier DS   |  or GO MCAFEE
803. Support for SENTRY/SCAN/VSHIELD/CLEAN/WSCAN/NETSHLD/TARGET/CONFIG MGR/PROVIEW
804.  
805. ------------------------------
806.  
807. Date:    Tue, 07 Sep 93 13:42:44 -0400
808. From:    bondt@dutiws.TWI.TUDelft.NL (Piet de Bondt)
809. Subject: TBAVU605.ZIP/TBAVX605.ZIP - TBAV anti-virus v6.05 (optimized/upgrade) 
810.       (PC)
811.  
812. I have uploaded to WSMR-SIMTEL20.Army.Mil and OAK.Oakland.Edu:
813.  
814. pd1:<msdos.virus>
815. TBAVU605.ZIP    Thunderbyte anti-virus pgm, upgrade 6.04->6.05
816. TBAVX605.ZIP    TBAV anti-virus - processor optimized versions
817.  
818. Replaces:
819. tbavx604.zip
820. tbavu602.zip
821.  
822. Greetings,
823.  
824. Piet de Bondt                   E-mail: bondt@dutiws.twi.tudelft.nl
825. ===================================================================
826. FTP-Admin for the MSDOS Anti-virus software, ftp@ftp.twi.tudelft.nl
827.  
828. ------------------------------
829.  
830. Date:    Tue, 07 Sep 93 13:58:40 -0400
831. From:    James Ford <JFORD@UA1VM.UA.EDU>
832. Subject: New files on risc (PC)
833.  
834. The following files have been placed on risc.ua.edu (130.160.4.7) in the
835. directory /pub/ibm-antivirus for anonymous FTP:
836.  
837. _filename_    _size_  _date_    _v1_  _v2_
838. TBAV605.ZIP  241,192  9-1-1993  2096  0313
839. TBAVU605.ZIP  85,094  9-1-1993  BDA2  1EB3
840. TBAVX605.ZIP  83,831  9-1-1993  D2A1  13AA
841.  
842. TBAV605 replaces TBAV604 (it is mainly a small upgrade with some fixes,
843. and of course with updated virus signatures; see whatsnew.605).
844. TBAVU605 contains only the files modified in this release.
845. TBAVX605 replaces TBAVX604 (this only has processor optimized versions
846. of the program for registered users).
847.  
848. ------------------------------
849.  
850. Date:    Wed, 08 Sep 93 15:54:31 -0400
851. From:    padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
852. Subject: DS II (PC)
853.  
854. Turns out that my lack of sleep and the last minute accomodation
855. of real IBM-PC ATs (not XTs) with BIOS dated 01/04/84 caused a bug 
856. to creep into one of the rarely used peripheral files. This is fixed in
857. DS231b.ZIP just uploaded to URVAX.URICH.EDU.
858.  
859.                     Warmly,
860.                         Padgett
861.  
862. ------------------------------
863.  
864. Date:    Wed, 08 Sep 93 19:45:51 -0400
865. From:    HAYES@urvax.urich.edu
866. Subject: DiskSecure II updated (yes) (PC)
867.  
868. Hi gang.
869.  
870. Just received from A. Padgett Peterson an update for his DiskSecure II. 
871. DS2BYP wasn not usable with an AT using DOS 3.31.  Now this is corrected.
872.  
873. As usual:
874.  
875. - ----------
876. Site:       urvax.urich.edu,  [141.166.36.6]    (VAX/VMS using Multinet)
877. Directory:  [anonymous.msdos.antivirus]
878.  
879. FTP to urvax.urich.edu with username anonymous and your email address
880. as password.  You are in the [anonymous] directory when you connect.
881. cd msdos.antivirus, and remember to use binary mode for the zip files.
882. - ----------
883.  
884. The file is, obviously, DS231B.ZIP.
885.  
886. Best, Claude.
887.  
888. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
889. Claude Bersano-Hayes     HAYES @ URVAX                 (Vanilla BITNET)
890. University of Richmond   hayes@urvax.urich.edu     (Bitnet or Internet)
891. Richmond, VA  23173
892.  
893. ------------------------------
894.  
895. End of VIRUS-L Digest [Volume 6 Issue 120]
896. ******************************************
897.  
898.  
899.