home *** CD-ROM | disk | FTP | other *** search
/ Magnum One / Magnum One (Mid-American Digital) (Disc Manufacturing).iso / d23 / scan78.war < prev    next >
Text File  |  1991-05-15  |  6KB  |  142 lines
  1.  
  2.  
  3. Msg # 109   
  4. Date: 15 May 91  03:34:19
  5. From: Christopher Baker
  6.   To: All
  7. Subj: Trojan Warning!!
  8. ____________________________________________________________________________
  9.  
  10. the following is a verbatim capture direct from the McAfee BBS. pass this to
  11. all boards:
  12.  
  13. Msg#: 2645 *viru*
  14. 05-14-91 10:44:50
  15. From: ARYEH GORETSKY
  16.   To: ALL
  17. Subj: VIRUSCAN TROJAN WARNING
  18. Organization:  McAfee Associates
  19.  
  20. TROJAN VERSION OF VIRUSCAN VERSION 78
  21.  
  22. We have received a trojan horse version of VIRUSCAN.  The hacked SCAN has
  23. apparently been uploaded to BBSes in Michigan, USA under the  filename
  24. SCANV78.ZIP.  Running PKZIP -V on the file reveals:
  25.  
  26. .PKUNZIP (R)    FAST!    Extract Utility    Version 1.1    03-15-90
  27. .Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKUNZIP/h for help
  28. .PKUNZIP Reg. U.S. Pat. and Tm. Off.
  29. .
  30. .Searching ZIP: SCANV78.ZIP - Fantasia BBS (313)/788-0882
  31. .
  32. . Length  Method   Size  Ratio   Date    Time   CRC-32  Attr  Name
  33. . ------  ------   ----- -----   ----    ----   ------  ----  ----
  34. .  12816  Implode   5255  59%  04-08-91  14:28  08a87ed8 --w  AGENTS.TXT
  35. .   9406  Stored    9406   0%  02-03-91  17:04  42cf9931 --w  REGISTER.DOC
  36. .  23008  Implode  12550  46%  05-06-91  18:15  f9735dd5 --w  SCAN.EXE
  37. .   6495  Implode   1895  71%  10-31-89  16:16  0449b09d --w  VALIDATE.COM
  38. .   3626  Implode   1802  51%  11-29-90  01:59  ab76470f --w  README.1ST
  39. .  21257  Implode   5767  73%  05-06-91  19:35  a0728a17 --w  VIRLIST.TXT
  40. .   2844  Implode   1406  51%  02-14-91  14:25  aa330b57 --w  VALIDATE.DOC
  41. .  24515  Implode   9188  63%  05-06-91  19:34  172a967f --w  SCAN78.DOC
  42. . ------          ------  ---                                 -------
  43. . 103967           47269  55%                                       8
  44.  
  45. The number listed for the Fantasia BBS is NOT a BBS number and has no
  46. connection with the trojan horse.  I have called the phone number and  asked
  47. the party at the other end to contact me.
  48.  
  49. Running PKUNZIP on the file reveals the following:
  50.  
  51. .PKUNZIP (R)    FAST!    Extract Utility    Version 1.1    03-15-90
  52. .Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKUNZIP/h for help
  53. .PKUNZIP Reg. U.S. Pat. and Tm. Off.
  54. .
  55. .Searching ZIP: SCANV78.ZIP - Fantasia BBS (313)/788-0882
  56. .  Exploding: AGENTS.TXT    -AV
  57. . Extracting: REGISTER.DOC  -AV
  58. .  Exploding: SCAN.EXE      -AV
  59. .  Exploding: VALIDATE.COM  -AV
  60. .  Exploding: README.1ST    -AV
  61. .  Exploding: VIRLIST.TXT   -AV
  62. .  Exploding: VALIDATE.DOC  -AV
  63. .  Exploding: SCAN78.DOC    -AV
  64. .
  65. . Authentic files Verified!   # TJB859   Zip Source: McAFEE ASSOCIATES
  66.  
  67. While the Authentic Files Verified Message appears, the Serial Number is NOT
  68. correct.  McAfee Associate's Serial Number is NWM405.
  69.  
  70. Examination of the AGENTS.TXT, README.1ST, VALIDATE.*, and VIRLIST.TXT files
  71. revealed that these are straight from VIRUSCAN Version 77--the version number
  72. in the VIRLIST.TXT file was still V77.
  73.  
  74. The SCAN78.DOC file had been modified so that all occurrences of V77 were
  75. switched to V78.  Additionally, the following text was added for the
  76. validation data:
  77.  
  78. .     The validation results for Version 77 should be:
  79. .
  80. .              FILE NAME: SCAN.EXE
  81. .                   SIZE: 23,008
  82. .                   DATE: 05-06-1991
  83. .    FILE AUTHENTICATION
  84. .         Check Method 1: 2C21
  85. .         Check Method 2: 022E
  86. .
  87.  
  88. For the What's New section, the following text was added:
  89.  
  90. . WHAT'S NEW
  91. .         Version 78 of SCAN removes a few small bugs and continues
  92. . to optimize the procedures SCAN uses to find viruses, as in Version 77,
  93. . as well as adding a few more to the list of known viruses. SCAN is now
  94. . much more compressed than was previously thought possible, so please enjoy
  95. . the shortened file size, it should still work just fine.
  96.  
  97. .    Refer to the enclosed VIRLIST.TXT file for a schematic
  98. . description of the new viruses.  For a complete description, please
  99. . refer to Patricia Hoffman's VSUM document.
  100. .
  101. Examination of the SCAN.EXE file has show that it contains the help message
  102. that VIRUSCAN displays as well as the program information message.  However,
  103. the program does not contain any of the other messages that VIRUSCAN has in
  104. it.
  105.  
  106. The REGISTER.DOC file distributed with the trojan version of VIRUSCAN is not
  107. a text file, but rather another .ZIP file containing a file named TB1.COM:
  108.  
  109. . PKUNZIP (R)    FAST!    Extract Utility    Version 1.1    03-15-90
  110. . Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKUNZIP/h for help
  111. . PKUNZIP Reg. U.S. Pat. and Tm. Off.
  112. .
  113. . Searching ZIP: REGISTER.DOC
  114. .  Extracting: TB1.COM       -AV
  115. .
  116. . Authentic files Verified!   # TJB859   Zip Source: McAFEE ASSOCIATES
  117. .
  118.  
  119. When unZIPped, the REGISTER.DOC file displays the same Authentic Files
  120. Verified Message as the SCANV78.ZIP file did. Examination of the of the
  121. TB1.COM file revealed that it contains the Whale virus.
  122.  
  123. This is all I currently know about the SCANV78.ZIP trojan.  If you see any
  124. copies of this file, please ask the system administrator or sysop to remove
  125. it and ask them to contact the uploader to warn them that it contains a
  126. virus.
  127.  
  128. Aryeh Goretsky McAfee Associates Technical Support
  129. --------------------------------------------------------------------
  130. aryeh@tacom-emh1.army.mil
  131.  
  132. \\\\\\\\\\\\\\\\\\\\\\\//////////////////////////
  133.  
  134. needless to say if this turns up on your system, DON'T open it and DON'T use
  135. it or pass it on. advise McAfee where and when you got it.
  136.  
  137. TTFN.
  138. Chris
  139.  
  140. --- D'Bridge B1046/00R
  141.  * Origin: Rights On! - Sysops of 374, Unite! - Titusville_FL_USA (1:374/14)
  142.