home *** CD-ROM | disk | FTP | other *** search

---

/ The 640 MEG Shareware Studio 2 / The 640 Meg Shareware Studio CD-ROM Volume II (Data Express)(1993).ISO / virus / vl5_178.zip / VL5-178.TXT

Wrap

Text File  |  1992-12-07  |  46KB  |  986 lines

---

1.  From virus-l@lehigh.edu  Thu Nov 12 11:32:25 1992
2.  Received: from fidoii.CC.Lehigh.EDU by abacus.fidoii.CC.Lehigh.EDU (5.65c/2.0)
3.      id AA27979; Thu, 12 Nov 1992 22:41:00 +0100
4.  Received: from  (localhost) by Fidoii.CC.Lehigh.EDU with SMTP id AA16807
5.    (5.65c/IDA-1.4.4 for <vhcguest@abacus.hgs.se>); Thu, 12 Nov 1992 16:32:25 -0500
6.  Date: Thu, 12 Nov 1992 16:32:25 -0500
7.  Message-Id: <9211121950.AA09997@barnabas.cert.org>
8.  Comment: Virus Discussion List
9.  Originator: virus-l@lehigh.edu
10.  Errors-To: krvw@cert.org
11.  Reply-To: <virus-l@lehigh.edu>
12.  Sender: virus-l@lehigh.edu
13.  Version: 5.5 -- Copyright (c) 1991/92, Anastasios Kotsikonas
14.  From: "Kenneth R. van Wyk" <krvw@cert.org>
15.  To: Multiple recipients of list <virus-l@lehigh.edu>
16.  Subject: VIRUS-L Digest V5 #178
17.  
18.  VIRUS-L Digest   Thursday, 12 Nov 1992    Volume 5 : Issue 178
19.  
20.  Today's Topics:
21.  
22.  Re: Michelangelo (PC)
23.  Re: Outdated F-PROT?? (PC)
24.  How good is Norton Antivirus? (PC)
25.  VDS Pro 1.0 Released (PC)
26.  Re: SCAN 95b doesn't find MtE in EXE files (PC)
27.  Virus-like behavior of DOS 5.0 chkdsk (PC)
28.  Re: Is this a virus? (PC)
29.  PC-Week Article (PC)
30.  Re: Info Grain of Sand Virus (PC)
31.  Re: Newest and best scanner? (PC)
32.  Re: SCAN 95b doesn't find MtE in EXE files (PC)
33.  Re: SCAN 95b doesn't find MtE in EXE files (PC)
34.  Re: Filler virus - Need Help! (PC)
35.  PC Memory resident viruses detection (PC)
36.  Re: Is this a virus? (PC)
37.  Re: OS/2 system stopped due to virus (FAT partition)? (OS/2) (PC)
38.  Information (IBM VM)
39.  evaluation services
40.  Re: Denning Key Registration Virus
41.  Re: CHRISTMA: The "Card"! (CVP)
42.  
43.  VIRUS-L is a moderated, digested mail forum for discussing computer
44.  virus issues; comp.virus is a non-digested Usenet counterpart.
45.  Discussions are not limited to any one hardware/software platform -
46.  diversity is welcomed.  Contributions should be relevant, concise,
47.  polite, etc.  (The complete set of posting guidelines is available by
48.  FTP on cert.sei.cmu.edu or upon request.) Please sign submissions with
49.  your real name.  Send contributions to VIRUS-L@LEHIGH.EDU.
50.  Information on accessing anti-virus, documentation, and back-issue
51.  archives is distributed periodically on the list.  A FAQ (Frequently
52.  Asked Questions) document and all of the back-issues are available by
53.  anonymous FTP on cert.org (192.88.209.5).  Administrative mail
54.  (comments, suggestions, and so forth) should be sent to me at:
55.  <krvw@CERT.ORG>.
56.  
57.     Ken van Wyk
58.  
59.  ----------------------------------------------------------------------
60.  
61.  Date:    Wed, 11 Nov 92 08:58:52 +0000
62.  From:    mcafee@netcom.com (McAfee Associates)
63.  Subject: Re: Michelangelo (PC)
64.  
65.  Hello Brian C. Boorman,
66.  In article <0013.9211101943.AA07075@barnabas.cert.org> you write:
67.  >Does anyone know how Michelanelo is transmitted.  We have a serious
68.  >problem at this institution with it's spread.
69.  >
70.  >Basically my question is this: We know that it can transmit via a
71.  >5-1/4 disk in the A drive of a PC, but can it infect the boot sector
72.  >of a 3-1/2 floppy in the B drive?
73.  
74.  The Michelangelo virus is spread by booting from an infected floppy
75.  diskette.  When the infected floppy is booted from, the virus code is
76.  loaded and executed by the computer.  The virus is now installed in
77.  memory and will monitor the system for disk accesses.  When a disk
78.  access occurs, the virus checks the disk to see if its infected, and
79.  if not, infects the disk (network drives, Stacker compressed volumes,
80.  and other media which are accessed through a device driver are not
81.  affected).  I recall that the first copy of the virus we saw did not
82.  infect the second disk drive, however, a later version (February or
83.  March of this year?) infects both floppy drives.
84.  
85.  Regards,
86.  
87.  Aryeh Goretsky
88.  Technical Support
89.  - -- 
90.  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
91.  McAfee Associates, Inc.  | Voice (408) 988-3832 | INTERNET:
92.  3350 Scott Blvd, Bldg 14 | FAX   (408) 970-9727 | mcafee@netcom.COM
93.  Santa Clara, California  | BBS   (408) 988-4004 | CompuServe ID: 76702,1714
94.  95054-3107  USA          | USR HST Courier DS   | or GO MCAFEE
95.  Support for SENTRY/SCAN/NETSCAN/VSHIELD/CLEAN/WSCAN/NETSHIELD/TARGET/CONFIG MGR
96.  
97.  ------------------------------
98.  
99.  Date:    Wed, 11 Nov 92 09:54:57 +0000
100.  From:    protonen@daimi.aau.dk (Lars J|dal)
101.  Subject: Re: Outdated F-PROT?? (PC)
102.  
103.  Nobody seems to answered this, so I'll try...
104.  
105.  ajchuah@mtu.edu (Low Profile) writes:
106.  
107.  >Frisk and all,
108.  >             I am currently using F-prot 2.04b on my machine and am
109.  >using Virstop.  I haven't had any problems until recently.  I wanted
110.  >to use F-prot 2.05 but since there was some mention on problems, i
111.  >decided to stick with 2.04b.  Anyway, now when i boot up my machine,
112.  >when it loads Virstop, it gives a message that sounds something like
113.  >"This version of F-prot is rather old and ..." overall what it is
114.  >trying to say is the version of f-prot i have is old and that i should
115.  >replace it.  Is this some form of virus, a way of your program
116.  >notifying me to switch or what?  This message comes on the screen
117.  >without fail for the past 2 weeks.  Any help would be great.  BTW,
118.  >what is the scope on the latest version of f-prot?  Thanx.
119.  
120.  No, it is not a virus or anything like that. It is simply F-prot that
121.  tells you that you are using an old version of the program and you
122.  should get a newer if possible.  Why? Not because of new options, but
123.  because the number of viruses grow fast. F-prot seems to be updated
124.  bimonthly and every new version detects at least 50 (if not 100) new
125.  viruses. Thus it is important to have a recently-updated program (of
126.  course this goes for other antivirus programs as well as F-prot).  The
127.  newest version is 2.06a. It is only a couple of days old, so maybe the
128.  archive sites only have 2.06 (which is a week old).
129.  
130.  +--------------------------------------------------------------------------+
131.  | Lars J|dal                  | Q: What's the difference between a quantum |
132.  | email: protonen@daimi.aau.dk|    mechanic and an automechanic?           |
133.  |                             | A: A quantum mechanic can get his car into |
134.  | Aarhus University           |    the garage without opening the door.    |
135.  | Denmark                     |                    -- David Kra            |
136.  +--------------------------------------------------------------------------+
137.  
138.  ------------------------------
139.  
140.  Date:    Wed, 11 Nov 92 10:01:55 +0000
141.  From:    protonen@daimi.aau.dk (Lars J|dal)
142.  Subject: How good is Norton Antivirus? (PC)
143.  
144.  How does Norton Antivirus compare to other virus programs, such as
145.  F-prot and Vscan, apart from that Norton is commercial? Norton is
146.  almost never mentioned here. Is that because it is commercial or
147.  because the other programs are better?  Please note that I'm NOT
148.  trying to start a flame war about "my scanner is better than your
149.  scanner". It must be possible to give some unbiased measures of an
150.  antivirus program, such as
151.  
152.  Approximately how many viruses does it detect?  Does it detect all the
153.  "important" viruses?  How often is it upgraded?
154.  
155.  etc.
156.  
157.  Thank you in advance!
158.  
159.  +--------------------------------------------------------------------------+
160.  | Lars J|dal                  | Q: What's the difference between a quantum |
161.  | email: protonen@daimi.aau.dk|    mechanic and an automechanic?           |
162.  |                             | A: A quantum mechanic can get his car into |
163.  | Aarhus University           |    the garage without opening the door.    |
164.  | Denmark                     |                    -- David Kra            |
165.  +--------------------------------------------------------------------------+
166.  
167.  ------------------------------
168.  
169.  Date:    Wed, 11 Nov 92 05:39:54 -0500
170.  From:    tyetiser@umbc5.umbc.edu (Mr. Tarkan Yetiser)
171.  Subject: VDS Pro 1.0 Released (PC)
172.  
173.     Hello everyone,
174.     
175.     We are happy to announce the availability of VDS Pro 1.0, an
176.  anti-viral package designed to help contain the spread of computer
177.  viruses by providing early detection and quick recovery. VDS Pro
178.  consists of various components, with an emphasis on integrity
179.  checking. It includes a network compatible virus scanner featuring
180.  both interactive and command line mode of operation with
181.  context-sensitive help at the touch of a key, a low-level interactive
182.  hard disk utility that simplifies dealing with boot sector viruses
183.  safely, an integrity checker that implements a "semi-automatic" expert
184.  system for detection of viral behavior, and a device driver to provide
185.  robust system area integrity checks and recovery.
186.  
187.     The programs in the VDS Pro package require MS/PC-DOS 3.0+, and an
188.  IBM compatible computer. The integrity checker is meant to be
189.  installed on a local hard drive to control virus entry points in a LAN
190.  environment or to provide a "fishing net" to detect viruses on
191.  stand-alone machines. The integrity checker is a BIOS-level
192.  implementation and in the current version does not support compressed
193.  drives, or the ones that require a device driver to be able gain
194.  access to the logical DOS partitions.
195.  
196.     We have found VDS Pro to be an excellent tool in containing the
197.  spread of computer viruses with its advanced features such as the
198.  decoy launching mechanism, self-healing capability, detailed audit
199.  log, emergency disk, user-definable frequency of checks, and reliable
200.  operation even when most stealth viruses are active in memory. It has
201.  many convenient features to allow unexposed users to take advantage of
202.  its powerful options without asking too many questions.
203.  
204.     Both VDSFSCAN (virus scanner) and VDS (integrity checker) support
205.  an external virus signature file to simplify updates and immediate
206.  response in the case of most unknown virus outbreaks. The integrity
207.  checker includes a built-in scanner to search programs newly added to
208.  hard drives for known viruses. It maintains a database of verification
209.  information for programs and system areas. Certain directories can
210.  also be excluded from checks for extra convenience in program
211.  development environments. The scanner is designed to be usable by
212.  anyone capable of reading English, and yet it is sophisticated enough
213.  to provide centralized LAN server-based installation for
214.  one-place-no-hassle updates. It can also be used on floppy-only
215.  systems.  VDSFSCAN can be run in the background under Windows 3.1
216.  enhanced mode, though it is not a Windows-specific application.
217.  
218.     VITALFIX is a powerful tool to remove boot sector viruses safely.
219.  It also has many options to perform such operations as looking for a
220.  relocated master or DOS boot record all over a hard disk,
221.  zeroing/backup/restoration/ manipulation of any sector on the hard
222.  disk, and construction of partition table and loader code.
223.  
224.     VDS package is priced reasonably enough not to put excessive burden
225.  on shrinking budgets of MIS departments. A licensed version of the
226.  package can be used indefinitely by the customer. New versions are
227.  provided for a small percentage of the initial licensing fee.
228.  Individual version costs $39, with a $10 optional printed manual (it
229.  is provided on a diskette). For more detailed information on prices,
230.  you can contact us at the following address:
231.  
232.                         VDS Advanced Research Group
233.                                P.O. Box 9393
234.                         Baltimore, MD 21228, U.S.A.
235.        e-mail:  tyetiser@umbc5.umbc.edu (info only, not for sales)   
236.  
237.     We also would like to say thanks to a few people who spared us some
238.  of their valuable time to test all or parts of VDS Pro package, and
239.  offered suggestions for improvement. Had these individuals not
240.  cooperate, several bugs would not have been discovered. Especially,
241.  Mike, Henri Delger, Paul Ferguson, Vesselin Bontchev, and Bill
242.  Whittington have been most helpful.
243.  
244.  ------------------------------
245.  
246.  Date:    Wed, 11 Nov 92 05:53:29 -0500
247.  From:    Otto Stolz <RZOTTO@NYX.UNI-KONSTANZ.DE>
248.  Subject: Re: SCAN 95b doesn't find MtE in EXE files (PC)
249.  
250.  Stefano_Turci@f0.n462.z9.virnet.bad.se (Stefano Turci) writes:
251.  >  I run it on a high number of files infected with two Mte-based viruses
252.  >  ( Dedicated and Pogue) and it is able to detect all of the infected
253.  >  files, but how could I say if it will work for *EVERY* mutation and
254.  >  for *EVERY* Mte-based virus ?
255.  >  I think it's impossible.
256.  
257.  On 04 Nov 92 11:27:52 +0000 Vesselin Bontchev
258.  <bontchev@fbihh.informatik.uni-hamburg.de> said:
259.  > You are right, it's impossible. That's why, our tests can only prove
260.  > that a scanner is NOT able to detect the MtE-based viruses reliably.
261.  > Otherwise we can only say that we have been unable to find an MtE
262.  > replicant that the scanner does not detect.
263.  
264.  Just to prevent a possible misunderstanding of Stefano's and
265.  Vesselin's claim:
266.  
267.  It is indeed impossible to tell it from tests alone, without
268.  considering the program's internal algorithms.
269.  
270.  However, it is probably possible (however difficult it may be) to
271.  prove that an Mte detector is reliable: The proof would be based on
272.  the following steps: 
273.  1. Infer, from a sample of the MtE, the algorithm used to produce the
274.     various decryptors, and prove that the algorithm found and the MtE
275.     sample are indeed equivalent;
276.  2. infer from that algorithm the set of all decryptors that can possibly
277.     be produced from the MtE (of course not as a huge list of detailed
278.     code sections, but rather as a comparably moderate list of possible
279.     features, or patterns), and prove that the set is indeed produced by
280.     the algorithm,
281.  3. design an algorithm to detect all of these decryptors, reliably, and
282.     prove that it indeed does so.
283.  
284.  Step 1, called reverse engineering, is routinely performed by many
285.  virus researchers (though, maybe, without formal correctness proofs).
286.  
287.  On step 3, read "A Discipline of Programming" by Edsger W. Dijkstra.
288.  The basic idea of this book is to design a suitable proof first, then
289.  write the program in accordance with that proof. This is recommended
290.  reading for all would-be programmers!
291.  
292.  Step 2 is probably the most difficult one, as it cannot rely on
293.  established formal methods. Yet, it can probably be done -- as Rubik's
294.  Cube, and many more seemingly intractable problems, have been solved,
295.  eventually.
296.  
297.  In principle (but not practically) it could even been done by an exhaust-
298.  ive enumeration, as the set of all possibly produced code sections is
299.  finite (There are two easy proofs for this finiteness. Outline proof 1:
300.  The set of all starting states for the algorithm is finite, and the
301.  algorithm is deterministic, hence it cannot produce more different
302.  results than it has starting states. Outline proof 2: The length of the
303.  produced code sections is limited by the size of the largest disk avail-
304.  able, hence finite, hence the set of all possible code sections is the
305.  power set of a finite set, which is still finite -- and the MtE will only
306.  produce a small :-) subset of that power set.)
307.  
308.  Best wishes,
309.                      Otto Stolz <RZOTTO@DKNKURZ1.Bitnet>
310.                                 <RZOTTO@nyx.uni-konstanz.de>
311.  
312.  ------------------------------
313.  
314.  Date:    Wed, 11 Nov 92 09:09:43 -0500
315.  From:    vpk2!john@attcan.uucp
316.  Subject: Virus-like behavior of DOS 5.0 chkdsk (PC)
317.  
318.  This is an excerpt of a message I posted to comp.os.msdos.misc,
319.  that I thought might be of interest.
320.  
321.  (This is NOT an official report from Microsoft or AT&T. It's just
322.   my own friendly posting to try to help)
323.  
324.  
325.  Program: chkdsk
326.  O/S    : MS-DOS 5.0
327.  
328.  Symptoms: Users running chkdsk with the /f option have 256 copies
329.            of the FAT written onto their hard disk starting at the
330.            first copy of the FAT. The result being that all directory
331.            information and a significant amount of the data in the data 
332.            area are irrecoverably destroyed.
333.  
334.  Affected users: Any users using 256 sector FAT's. 
335.  
336.  How to tell if you're at risk: 
337.  
338.            Run chkdsk WITHOUT the '/f' option and check the 
339.            "Total allocation units on disk". If this number is
340.            more than 65280, you're at risk. DO NOT USE CHKDSK TO
341.            CORRECT ANY DISK PROBLEMS if this is the case. You'll
342.            trash your disk.
343.  
344.  Solution: Call Microsoft and request the 5.00A upgrade. They know
345.            about the problem and they've fixed it. They've also done
346.        some diddling with the following programs: (though I don't
347.            know what they did to them.)
348.  
349.      deloldos.exe    diskcomp.com    diskcopy.com
350.      doshelp.exe    dosshell.exe    dosswap.exe
351.      emm386.exe    expand.exe    format.com
352.      himem.sys    mirror.com    qbasic.exe
353.      recover.exe    setver.exe    undelete.exe
354.      xcopy.exe
355.  
356.  ______Opinions stated are my own. Transcripts available by request______
357.        ===
358.      =--====  AT&T Canada Inc.          John Benfield
359.     =----==== 3650 Victoria Park Ave.   Network Support Analyst (MIS)
360.     =----==== Suite 700          
361.     ==--===== Willowdale, Ontario       attmail   : ~jbenfield
362.      =======  M2H-3P7                   email     : uunet.ca!attcan!john
363.        ===    (416) 756-5221            Compu$erve: 72137,722
364.  
365.  ____Eagles may soar, but weasels don't get sucked into jet engines._____
366.  
367.  ------------------------------
368.  
369.  Date:    11 Nov 92 16:02:34 +0000
370.  From:    tck@bend.ucsd.edu (Kevin Marcus)
371.  Subject: Re: Is this a virus? (PC)
372.  
373.  rknazik@x102a.harris-atd.com (knazik bob) writes:
374.  >My 386 PC reports that I have 654360 conventional memory when I do a
375.  >"chkdsk" or a "mem" (DOS 5.0).  This is 1024 short of the expected
376.  >amount.  I seem to remember that there was a virus that caused this
377.  >result, but VSCAN finds nothing wrong.  Does anyone know if this is a
378.  >virus or just some weird hardware failure ?  Any help is appreciated.
379.  
380.  Well, it depends.  See, not ALL computers get 655360 bytes free.  For
381.  example, genuine IBM's are 1K under the 640K barrier.  It is possible
382.  you have an unknown virus, though I can't think of one which is 1K
383.  exactly; most MBR infectors take at least 2K.
384.   
385.  To do a quick check, what you could do would be get a System disk from
386.  a friend that is not infected, and boot with it.  RUn their copy of
387.  chkdsk.  If it says 655360, then you have a problem.  Otherwise it's
388.  prob. just your BIOS.  You could also try to run "fdisk/mbr" while at
389.  the C: prompt, and then reboot your computer immediately after. This
390.  will get rid of generic MBR infectors.  It does not matter if the
391.  virus is in memory at this time.  (This is true for SToned,
392.  Michelangelo, etc.).
393.   
394.  Additionally, some BIOS's allow for 1K below 640K to be reserved as a
395.  buffer.  Enter your CMOS and check through the options to see if you
396.  have this flag set.  Sometimes they'll allow you to switch from
397.  location 0:300 in memory to 1K below 640.
398.   
399.  Newer AMI BIOS' definately have this function, I do not know about
400.  others.
401.  
402.  
403.  ------------------------------
404.  
405.  Date:    Wed, 11 Nov 92 16:27:17 -0500
406.  From:    padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
407.  Subject: PC-Week Article (PC)
408.  
409.  Boy, this seems to be the week for it. Opened up the new (November 9)
410.  PC-Week and on page 141 the lead to the Buyer's Guide is on "Network-
411.  Operable Anti-Virus Software"
412.  
413.  The section starts with a page of tips, comments, and quotes that would
414.  have been very handy - in 1989 - but is sadly out of date today. Despite
415.  the header, no information on network needs is made and the listings make
416.  one wonder if the writers actually know what a network is !
417.  
418.  I expect the readers to be confused about exactly what the different 
419.  products do since I certainly was 8*(. For instance one "Novell Netware, 3.0
420.  to 5.0" (confusing enough - the fine print indicates that "3.0-5.0" probably
421.  refers to MS-DOS -I think) product provides "..logging of virus activity by 
422.  user name or node address..." - sounds like a server module, right ? But two 
423.  columns over "Memory Resident Features" lists "TSR can be loaded in high 
424.  memory". TSR ? (not NLM) High memory ? (Netware uses a flat model).
425.  
426.  Eventually some intelligence was gathered: if the product ran on everything
427.  under the sun (the bright one), it was something that could be loaded on
428.  an MS-DOS (or in at least one case on MACs) platform and could check/scan/
429.  validate anything that MS-DOS could reach. In other words, my 1600 byte
430.  CANARY written in 1989 to pick up the DATACRIME would qualify under all
431.  of the networks listed (except Appleshare - well maybe if the MAC was running
432.  SOFTPC 8*) and not require any memory, high or flat.
433.  
434.  On the other hand, if a product only ran on Netware then *maybe* it was a 
435.  NLM (McAfee's NETSHIELD is an NLM but didn't say so - never did figure out 
436.  what Central Point's "master NLM and slave NLM support" means. 
437.  
438.  At any rate, of the 25 products listed (no ranking was presented), I suspect
439.  that only four acually provided separate server modules, the rest were
440.  simply DOS based anti-virals that either were able to examine connected
441.  server directories (as DOS directories), or were loadable by the client from
442.  the server (and available as "server packs"). Since the only criteria is
443.  for the program not to blow up on a drive that may not have a MBR, that
444.  might not respond instantly, or that might have a locked file, qualification
445.  is not difficult.
446.  
447.  Maybe to expect something more than a three-year-out-of-date commentary or
448.  less than the whole calabash claims from unrestrained vendors would be too 
449.  much (well I know one journalist who could be accurate and demand accuracy 
450.  but she is awfully quiet these days). Then again maybe a 1965 Pontiac 2+2 
451.  could do 0-60 in 3.8 seconds.
452.  
453.                      Warmly,
454.                          Padgett
455.  
456.    (lets see, 421 Milt Shornack cubic inches, gear for 60 mph in first, 
457.     open exhausts, Firestone cantilever racing tires, and a Smokey Yunick 
458.     stopwatch...)
459.  
460.  ------------------------------
461.  
462.  Date:    11 Nov 92 21:55:55 +0000
463.  From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
464.  Subject: Re: Info Grain of Sand Virus (PC)
465.  
466.  dboer@let.rug.nl (Ale de Boer) writes:
467.  
468.  > Can anyone give information about the Grain of Sand virus. TBSCANX
469.  > noticed this virus while copying a file allegedly containing it. Scans
470.  > with McAfee turned up nothing, nor did TBSCAN. I could not find any
471.  > information about the GoS virus in VSUMX.
472.  
473.  A more widely used name for this virus is Maltese Amoeba. In our tests
474.  SCAN 97 was able to detect reliably the infected samples, so you
475.  probably have a false positive. Just in case, try F-Prot 2.06a. It is
476.  important to verify whether you really have this virus or it is only a
477.  false positive, since the virus triggers on November 15 and destroys
478.  the information on your hard disk.
479.  
480.  Regards,
481.  Vesselin
482.  - -- 
483.  Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
484.  Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
485.  < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
486.  e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
487.  
488.  ------------------------------
489.  
490.  Date:    11 Nov 92 22:02:00 +0000
491.  From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
492.  Subject: Re: Newest and best scanner? (PC)
493.  
494.  bartjan@blade.stack.urc.tue.nl (Bartjan Wattel) writes:
495.  
496.  > One of *the* best scanners I know of, is:
497.  
498.  You forgot to tell -why- you are considering it as one of the best
499.  ones. IMHO, its best feature is that it is user-programmable. It uses
500.  a text file, which contains a database of scan strings. The scan
501.  strings can contain wildcards and in fact the wildcard language
502.  supported is rather powerful. For viruses that cannot be detected with
503.  a scan string (i.e., the polymorphic viruses), it supports the
504.  so-called AVR modules - small assembly-language programs that
505.  implement algorithmic search for these viruses and are loaded at
506.  runtime.
507.  
508.  In fact, TbScan contains only the scanning engine; the virus-specific
509.  stuff is provided additionally. The most popular eternal database of
510.  virus signatures is supported by Jan Terpstra.
511.  
512.  TbScan is also extremely fast and uses some tricks to speed up the
513.  scanning. For instance, it traces the entry point of the files, until
514.  it reaches a place where the virus should reside and then scans only
515.  this place, thus reducing the disk access significantly.
516.  Unfortunately, it sometimes tries to be too smart and can skip the
517.  place where the virus signature begins. That's why I personally prefer
518.  HTScan, which can use the same format of the signature database and
519.  the same AVR modules, but instead of smart tricks just plainly scans
520.  the whole file. Indeed, I think that there is an option to make TbScan
521.  to scan the whole file.
522.  
523.  As far as I know, the latest version of TbScan is 4.3.
524.  
525.  > TBScan is shareware, and can be uploaded from several BBS's. For the
526.  > most recent version, call the 'data'-phone number (all baudrates).
527.  
528.  More important for the readers of this newsgroup is that it is
529.  available for anonymous ftp from Simtel20 and its mirrors, in the
530.  MSDOS.TROJAN-PRO directory.
531.  
532.  > TBScan uses identity scanning, but als heuristic scanning. The
533.  > heuristic scanning algorithm is rather new and seems to be (one of)
534.  > the best there is.
535.  
536.  The only problem is that you cannot turn it off. Sometimes I need just
537.  to scan for a particular set of strings in many files, and want a
538.  report about what exactly strings have been found which files. I don't
539.  need the report file to be cluttered with information which files are
540.  considered suspicious by the scanner, because some of its heuristics
541.  have fired... In version 4.3 it is possible to turn off the (long)
542.  explanation of each heuristic each time that it is used, but it is
543.  still not possible to disable the heuristics completely.
544.  
545.  Regards,
546.  Vesselin
547.  - -- 
548.  Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
549.  Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
550.  < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
551.  e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
552.  
553.  ------------------------------
554.  
555.  Date:    11 Nov 92 22:22:31 +0000
556.  From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
557.  Subject: Re: SCAN 95b doesn't find MtE in EXE files (PC)
558.  
559.  cjkuo@ccmail.norton.com (Jimmy Kuo) writes:
560.  
561.  > The argument for the second opinion says that if you detect the
562.  > infected form of the children, you will know if something is going on
563.  > in the computer.  Once something is known to be affecting the
564.  > computer, theories related to integrity checking can take over.  Files
565.  > such as those created above and certain files in reviewers'
566.  > collections cannot spread in that convoluted form and need not worry
567.  > endusers.  (A version of this argument applies to whether it is
568.  > necessary to detect absolutely 100% of MtE mutations, i.e.  integrity
569.  > checking takes over.)
570.  
571.  I tend to disagree. First, according to the above argument, you can
572.  always use an integrity checker to detect the second-generation
573.  infections, so you don't need a scanner at all. In fact, one of the
574.  arguments why the integrity checkers cannot replace the scanners
575.  completely, is that when you notice the infection, you usually want to
576.  find and remove all sources of infection, including the file that
577.  brought the virus to your system. Also, scanners are useful for
578.  scanning the software -before- you run it (something that the
579.  integrity checkers cannot do), therefore, the user wants to be able to
580.  find the viruses at that stage, not after the virus has been released
581.  in the system.
582.  
583.  Second, all the scanners mentioned by the original poster claim to be
584.  able to scan inside LZEXE compressed files. Therefore, if those claims
585.  are correct, they should be able to detect the virus.
586.  
587.  Third, some scanner -were- able to detect the virus.
588.  
589.  However, I agree with you, that in general the virus droppers (because
590.  what the original poster has done has been exactly to create a
591.  dropper) are not a serious problem.
592.  
593.  > It should be the form that propagates that we worry about.  And though
594.  > you didn't note it, I'm sure all the files infected by your creations
595.  > were detected by all the packages above.  Thus end-users need not
596.  > worry about your peculiar forms of MtE files because you're not going
597.  > to put those files on anyone else's computer.  :-)
598.  
599.  Problem is, it is perfectly possible to create an MtE-based virus,
600.  converted in the way described in the original message, which will
601.  propagate in THAT FORM. Recall that we already have several viruses
602.  that are propagating in LZEXE or PKLITEd form...
603.  
604.  Regards,
605.  Vesselin
606.  - -- 
607.  Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
608.  Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
609.  < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
610.  e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
611.  
612.  ------------------------------
613.  
614.  Date:    11 Nov 92 22:31:54 +0000
615.  From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
616.  Subject: Re: SCAN 95b doesn't find MtE in EXE files (PC)
617.  
618.  frisk@complex.is (Fridrik Skulason) writes:
619.  
620.  > In my case the reson I miss this particular sample is simple.  I scan
621.  > inside LZEXE-compressed files, but only for signatures - that is, I
622.  > uncompress the virus in memory, and run my scanning engine over it.
623.  > If I uncompressed to disk, and stripped off the COM/EXE conversion, I
624.  > would detect it, but it would slow the scanner down considerably.
625.  
626.  But why uncompressing it to disk? Can't you continue to do it in
627.  memory? The scanner in Untouchable is able to scan inside multiply
628.  compressed files (e.g., it can detect a virus that has been PKLITEd,
629.  then LZEXEd, then ICEd, etc.), so it should be possible to do it...
630.  
631.  Regards,
632.  Vesselin
633.  - -- 
634.  Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
635.  Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
636.  < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
637.  e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
638.  
639.  ------------------------------
640.  
641.  Date:    12 Nov 92 00:28:20 +0000
642.  From:    ames@bcstec.ca.boeing.com (Wes Ames)
643.  Subject: Re: Filler virus - Need Help! (PC)
644.  
645.  bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
646.  > It is much more
647.  > probable that you are using some other anti-virus software, like CPAV
648.  > or TNTVIRUS, that does not encrypt its scan strings and is causing a
649.  > false positive. If you are using CPAV, read the manual - it clearly
650.  > says that it is not compatible with any other anti-virus software. So,
651.  > throw away either CPAV or SCAN. If I were you, I would throw away
652.  > CPAV...
653.  
654.  I have seen several references similar to the above, and I would
655.  appreciate some clarification.  I use several different anti-virus
656.  packages in our "anti-virus toolkit", including CPAV.  My experience
657.  has been that early versions of CPAV did indeed have a problem with
658.  viral scan strings in memory, but the problem has been eliminated in
659.  more recent versions.  Not only are the strings encrypted, but they
660.  are specifically overwritten when the user exits the app.  That has
661.  been my understanding of the current product - have you seen something
662.  different??
663.  
664.  Wes Ames                           |
665.  ames@bcstec.ca.boeing.com          |
666.                                     |
667.  
668.  ------------------------------
669.  
670.  Date:    12 Nov 92 08:45:57 +0000
671.  From:    rol@grasp1.univ-lyon1.fr (Paul Rolland)
672.  Subject: PC Memory resident viruses detection (PC)
673.  
674.  Hello,
675.  
676.  Because I'd like write some code to have my programs doing a quick
677.  memory check when starting before doing anything else (disk access or
678.  so), I'd like to have information on the way to detect already
679.  installed viruses.  I know some of them (at least 100) use hooked
680.  interrupts to check if they are alreasy present. Could some one give
681.  me these vectors and the tests to perform to see if a virus is memory
682.  resident ?  Any help would be greatly appreciated !
683.  
684.  PS : I already have the ones described in Ralf Brown's interrupt list.
685.  I don't want the code of the virus but just the interrupt to call to
686.  see if it is present.
687.  
688.  Thanks
689.  
690.  Paul Rolland, rol@grasp1.univ-lyon1.fr
691.  - ---
692.  A bug can be changed to a feature by documenting it. Developpers know !
693.  - --------------------- DISCLAIMER -------------------
694.  All the opinions I express in this posting are mine, but I'm
695.  ready to share them with anybody interested :-)
696.  
697.  ------------------------------
698.  
699.  Date:    12 Nov 92 09:33:21 +0000
700.  From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
701.  Subject: Re: Is this a virus? (PC)
702.  
703.  rknazik@x102a.harris-atd.com (knazik bob) writes:
704.  
705.  > My 386 PC reports that I have 654360 conventional memory when I do a
706.  > "chkdsk" or a "mem" (DOS 5.0).  This is 1024 short of the expected
707.  > amount.  I seem to remember that there was a virus that caused this
708.  > result, but VSCAN finds nothing wrong.  Does anyone know if this is a
709.  > virus or just some weird hardware failure ?  Any help is appreciated.
710.  
711.  This is in the FAQ. While there -are- viruses that reduce the memory
712.  size by 1 Kb, they are not widespread, so it is rather unlikely that
713.  you have a virus. Most resident viruses reduce the memory size by a
714.  larger amount of bytes - usually at least 2 Kb.
715.  
716.  Check your CMOS setup - maybe you have told it to allocate 1 Kb from
717.  the top of memory for its data area. Are you using a SCSI controller?
718.  Any kind of additional operating system, like Unix? Is MS-DOS loaded
719.  high? With what kind of memory manager? All these reasons can cause
720.  memory reduction...
721.  
722.  Regards,
723.  Vesselin
724.  - -- 
725.  Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
726.  Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
727.  < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
728.  e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
729.  
730.  ------------------------------
731.  
732.  Date:    Wed, 11 Nov 92 18:42:34 +0000
733.  From:    mcafee@netcom.com (McAfee Associates)
734.  Subject: Re: OS/2 system stopped due to virus (FAT partition)? (OS/2) (PC)
735.  
736.  Hello Wey Jing Ho,
737.  
738.  you write:
739.  >My PC has just been infected by an unknown virus (both McAfee Scan
740.  >Version 97 and CPAV failed to identify it/them). SCAN only report that
741.  >all of the hard disk boot sectors have been modified (as compared to a
742.  >CRC file created before the infection). I have both MS-DOS 5.00 and
743.  >OS/2 (with the latest CSD) installed with DOS on FAT and OS/2 on HPFS.
744.  [...deleted...]
745.  
746.  If you are running an OS/2 Dual Boot system, SCAN will report that the
747.  boot sector has been modified when you switch from DOS to OS/2.  This
748.  is because OS/2 swaps the boot sector on the drive depending on which
749.  operating system you are using.
750.  
751.  Regards,
752.  
753.  Aryeh Goretsky
754.  Technical Support
755.  
756.  - -- 
757.  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
758.  McAfee Associates, Inc.  | Voice (408) 988-3832 | INTERNET:
759.  3350 Scott Blvd, Bldg 14 | FAX   (408) 970-9727 | mcafee@netcom.COM
760.  Santa Clara, California  | BBS   (408) 988-4004 | CompuServe ID: 76702,1714
761.  95054-3107  USA          | USR HST Courier DS   | or GO MCAFEE
762.  Support for SENTRY/SCAN/NETSCAN/VSHIELD/CLEAN/WSCAN/NETSHIELD/TARGET/CONFIG MGR
763.  
764.  ------------------------------
765.  
766.  Date:    Wed, 11 Nov 92 17:40:57 -0500
767.  From:    "Meyer, Leonardo Sant'Anna" <BZ13INQ@bruerj.bitnet>
768.  Subject: Information (IBM VM)
769.  
770.  Gentlemen:
771.  
772.          I would like some informations about the known VM viruses:
773.  
774.  - -> if exists any anti-viruses programs
775.  - -> if exists, how can I obtain them ?
776.  
777.                                          Thank you.
778.  
779.                                             Meyer, Leonardo Sant'Anna
780.  
781.                                                   BZ13INQ AT BRUERJ
782.  
783.  ------------------------------
784.  
785.  Date:    Wed, 11 Nov 92 17:31:08 +0000
786.  From:    gator.rn.com!sara@homebase.vistachrome.com (Sara Gordon)
787.  Subject: evaluation services
788.  
789.  i am looking for information regarding anti-virus product evaluation
790.  services.  specifically: what services are available; what are their
791.  costs, what is included, what are the strengths and weaknesses of
792.  each one; what have you found to be the accuracy/efficiency of the
793.  one(s) you are familiar with.
794.  
795.  if you have used such an evaluation service, please e-mail me
796.  to the sara@gator.rn.com.     i am talking about specific evaulation
797.  services, not 'test results' such as posted in this newsgroup.
798.  
799.  if you offer such a service, please also e-mail me.
800.  
801.  
802.  thank you.
803.  
804.  
805.  - -- 
806.  - ----------------------------------------------------------------------
807.  
808.  Talk to me about computer viruses.        sara@gator.rn.com  
809.                                            SGordon@Dockmaster.ncsc.mil
810.  
811.  
812.  ------------------------------
813.  
814.  Date:    12 Nov 92 09:22:30 +0000
815.  From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
816.  Subject: Re: Denning Key Registration Virus
817.  
818.  Grant@DOCKMASTER.NCSC.MIL (Lynn R Grant) writes:
819.  
820.  > This is sort of like the IBM XMAS virus, but it doesn't take any code.
821.  > All you have to do is post a highly controversial item on a well-read
822.  > forum, and wait for the responses to bring the network to its knees.
823.  
824.  :-). Yeah, but it must also be a non-moderated newsgroup, like
825.  sci.crypt, or sci.math, otherwise the moderator might spoil you the
826.  pleasure... :-))
827.  
828.  Regards,
829.  Vesselin
830.  
831.  P.S. Since I am wasting the bandwidth anyway... If shu@rascal.uucp
832.  reads this - I am receiving your messages, but am unable to reply -
833.  the mail bounces. Please supply a better reply path, possibly
834.  involving one of the gateways to uucp in South Africa.
835.  - -- 
836.  Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
837.  Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
838.  < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
839.  e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
840.  
841.  ------------------------------
842.  
843.  Date:    Wed, 11 Nov 92 10:36:28 -0500
844.  From:    Otto Stolz <RZOTTO@NYX.UNI-KONSTANZ.DE>
845.  Subject: Re: CHRISTMA: The "Card"! (CVP)
846.  
847.  On Fri, 06 Nov 92 12:21:47 -0800 Robert M. Slade <rslade@sfu.ca> said:
848.  > HISVIRH.CVP   921022
849.  >
850.  >                      CHRISTMA EXEC - the card
851.  
852.  Though Robert Slade's reports are usually quite reliable, I have to
853.  mend some (admittedly: minor) errors and omissions in this particular
854.  one. On this occasion, I'd like to thank Robert for the valuable
855.  service he has provided to the VIRUS-L subscribers.
856.  
857.  > In December of 1987 IBM mainframe computers in Europe, connected via
858.  > the EARN network, experienced a "mailstorm".
859.  
860.  Actually, the mailstorm was not confined to Europe. EARN is only part
861.  of a world-wide academic network; other parts of this network are
862.  known as "Bitnet", and "Netnorth". The mailstorm origined in Europe
863.  (in the University at the small German town Clausthal-Zellerfeld, if I
864.  am not mistaken), and wandered once around the globe, in about three
865.  days. Allegedly, it also hit the IBM internal network, VNet, which was
866.  connected to Bitnet via a gateway that would let pass information only
867.  between selected partners.
868.  
869.  However, not all computers in the network were affected alike.
870.  EARN/Bitnet/Northnet (in the sequel, I'll use "Bitnet" as an
871.  abbreviation) is a heterogenious network, connecting computers of many
872.  different brands.  CHRISTMA EXEC can only reproduce in the CMS, one of
873.  the operating systems that run in IBM, and compatible, hosts. The CMS
874.  hosts were busy reproducing and sending the EXEC, while the other
875.  hosts just suffered from the dramatically increased network load.
876.  
877.  > This mailstorm,
878.  > however, was of unprecedented severity.  It shut down whole sections
879.  > of the net, at least as far as effective work was concerned.
880.  
881.  Yes. The reason being, that Bitnet is a store-and-forward network.
882.  I.e., a message normally travels through several hosts, until it
883.  eventually reaches its destination. Hence, the whole network suffered
884.  from the increased load, irrespective of the fact that the items
885.  originated only from a comparably small percentage of its hosts.
886.  
887.  > For many, probably for most, users, email is simply text.  A select
888.  > group are involved with the exchange of programs or other binary
889.  > files, [...]
890.  
891.  Bitnet provides three independent transport services:
892.  1. Mail (as implied by the paragraph partially quoted),
893.  2. arbitrary files (*not* embedded in Mail items),
894.  3. short, interactve messages.
895.  
896.  > The CHRISTMA EXEC was a message that contained such a program.
897.  
898.  No. CHRISTMA EXEC was a source file that contained comment lines.
899.  
900.  > "Christmas card" messages with this system can be more than just the
901.  > usual "ASCII tree". [...]
902.  
903.  Of course: programs can do anything conceivable (if technically
904.  feasable).
905.  
906.  > The message header
907.  > contained a note that "Browsing this message is no fun at all.  Just
908.  > type Christmas .." [...]
909.  
910.  Rather, a similar message was contained in a screen-sized comment
911.  block in the program which came after five (or so) screens of rather
912.  boring REXX statements of the sort "display so-and-so many asterisks,
913.  then so-and-so many blanks...". Of course it said "Reading dull
914.  programs like this one is no fun.." or something along this line.
915.  
916.  > Typing either "Christmas" or "Christma" would generate the "card" [...]
917.  
918.  You had to do a RECEIVE command first (or at least hit the equivalent
919.  PF9 key). This would generate a file named CHRISTMA EXEC on your disk.
920.  Then, "Christma" would be the normal command to interpret the REXX
921.  programm contained in that file; "Christmas" would work also, as CMS
922.  chops the command verb after 8 characters.
923.  
924.  > However, at the same time that it was displaying the tree
925.  > on the screen, it was also searching for the NAMES and NETLOG files
926.  > associated with the user's account. [...]
927.  
928.  These are CMS specific files. This is the main reason why CHRISTMA
929.  EXEC could only replicate in CMS systems, and not in other systems --
930.  even if they had a REXX interpreter, which at that time very few
931.  non-CMS systems had. (Personal REXX for MS-DOS appeared in 1985, REXX
932.  for TSO only in 1988.)
933.  
934.  > This provided a list of other
935.  > users that either sent mail to or received mail from this account.
936.  > The important thing was that it was a list of valid email addresses.
937.  > The CHRISTMA EXEC would then mail copies of itself to all of these
938.  > accounts.
939.  
940.  The NETLOG file is sort of a certificate of posting: it contains a
941.  list of files and mail items sent to, or received from, other users
942.  (including the network addresses involved). The NAMES file is sort of
943.  a personal directory: it contains only personal notes on people the
944.  user knows, mostly including their network addresses.
945.  
946.  > The important point, technically, was that all of the accounts were
947.  > valid.
948.  
949.  Well, most of them...
950.  
951.  > As a side benefit, all of those accounts would be used to
952.  > receiving mail from the account that had just read it.  And they
953.  > would tell 40 friends, and they would tell ...
954.  
955.  Hence, CHRISTMA EXEC could easily pass the Bitnet-VNet gateway.
956.  
957.  May I add that it was a traumatic experience for many users to run the
958.  EXEC (not for me, as I usually read programs donated to me before I
959.  run them :-) At that time, most Bitnet nodes sent an interactive
960.  message back to the original sender whenever they had forwarded a
961.  file, or a mail item (as if every post employee who handles your
962.  letter would send you a telegram to acknowledge that fact). This
963.  resulted in one to about twenty lines (depending on the distance) on
964.  the senders screen for every addressee the file was sent to,
965.  interrupting normal work and filling the screen (which had then to be
966.  cleared to proceed).
967.  
968.  > [...]
969.  
970.  In short: CHRISTMA EXEC came as a program that had to be received and
971.  run by the user. The program would run only under the CMS operating
972.  system.  When run, the program would send exact copies of itself to
973.  other Bitnet users known by the user who had run the program.
974.  
975.  I hope I am not perceived as being too picky in saying this. Thanks
976.  again to Robert Slade.
977.  
978.  Best wishes,
979.                      Otto Stolz <RZOTTO@DKNKURZ1.Bitnet>
980.                                 <RZOTTO@nyx.uni-konstanz.de>
981.  
982.  ------------------------------
983.  
984.  End of VIRUS-L Digest [Volume 5 Issue 178]
985.  ******************************************
986.