home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / 40hex_7.008

< prev

next >

Wrap

Text File  |  1995-01-03  |  11KB  |  249 lines

---

1. 40Hex Number 7 Volume 2 Issue 3                                       File 008
2.  
3.  
4. More Virus News.  An informed virus Programmer is a good one.
5.  
6. Article 1:   New Macintosh Virus
7. Article 2:   RockSteady's 666 Virus [NuKE]
8. Article 3:   A Stooge's View
9.  
10.  
11. <<<<<<<<<
12. Article 1
13. <<<<<<<<<
14.  
15. Date:    Fri, 17 Apr 92 11:34:50 -0500
16. >From:    Gene Spafford <spaf@cs.purdue.edu>
17. Subject: Mac announcement - new virus (Mac)
18.  
19.                     New Macintosh Virus Discovered
20.                             17 April 1992
21.  
22. Virus: CODE 252
23. Damage: some, possibly severe (see text)
24. Spread: unknown (see text)
25. Systems affected: Apple Macintosh computers. All types, but see text.
26.  
27. A new virus, which has been designated "CODE 252", has been discovered
28. on Apple Macintosh computer systems. This virus is designed to trigger
29. if an infected application is run or system booted between June 6 and
30. December 31, inclusive.  When triggered, the virus brings up a dialog
31. box with the message:
32.    You have a virus.
33.    Ha Ha Ha Ha Ha Ha Ha
34.    Now erasing all disks...
35.    Ha Ha Ha Ha Ha Ha Ha
36.    P.S. Have a nice day.
37.    Ha Ha Ha Ha Ha Ha Ha
38.    (Click to continue...)
39.  
40. Despite this message, no files or directories are deleted in the
41. versions of the virus we have seen; however, a worried user might
42. power down the system upon seeing the message, and thus corrupt the
43. disk -- this could lead to significant damage.  Furthermore, the virus
44. may interact with some applications in such a manner as to damage
45. them.
46.  
47. Under System 7, the System file can be seriously damaged by the virus
48. under at least some circumstances as the virus attempts to spread.
49. This may lead to a system that will not boot, crashes, or other
50. unusual behavior.
51.  
52. Between January 1 and June 5, inclusive, the virus simply spreads from
53. applications to system files, and then on to other application files.
54. At the present moment, we have no indication that the virus causes
55. direct damage to any existing applications.
56.  
57. The virus does not spread to other applications under MultiFinder on
58. System 6.x systems, nor will it spread under System 7.  However, it
59. will run on those systems if an infected application is executed.
60. Even if you are running one of these systems, we recommend you obtain
61. an use one of latest versions of appropriate anti-virus software.
62.  
63. As of the date of this announcement (17 April 92), we have had limited
64. reported sightings of this virus.  This, combined with the nature of
65. operation of the virus, leads us to believe that the virus is not yet
66. widespread.
67.  
68. The current versions of Gatekeeper and SAM Intercept (in advanced and
69. custom mode) are effective against this virus.  Either program should
70. generate an alert if the virus is present and attempts to spread to
71. other files.  The Virex Record/Scan feature will also detect the virus.
72.  
73.  
74. Authors of all major Macintosh anti-virus tools are planning updates
75. to their tools to locate and/or eliminate this virus. Some of these
76. are listed below. We recommend that you obtain and run a CURRENT
77. version of AT LEAST ONE of these programs.
78.  
79. Some specific information on updated Mac anti-virus products follows:
80.  
81.     Tool: Disinfectant
82.     Status: Free software (courtesy of Northwestern University and
83.     John Norstad)
84.     Revision to be released: 2.8
85.     Where to find: usual archive sites and bulletin boards --
86.                    ftp.acns.nwu.edu, sumex-aim.stanford.edu,
87.                    rascal.ics.utexas.edu, AppleLink, America Online,
88.                    CompuServe, Genie, Calvacom, MacNet, Delphi,
89.                    comp.binaries.mac
90.     When available: soon
91.  
92.  
93.     Tool: Gatekeeper
94.     Status: Free software (courtesy of Chris Johnson)
95.     Revision to be released: 1.2.6 (probably)
96.     Where to find: usual archive sites and bulletin boards --
97.                    microlib.cc.utexas.edu, sumex-aim.stanford.edu,
98.                    rascal.ics.utexas.edu, comp.binaries.mac
99.     When available: eventually
100.     Comments:
101.     Gatekeeper should find this virus if it attempts to infect your
102.     system or applications, and thus does not need an update.
103.     Gatekeeper Aid will need an update to "know" exactly what virus it
104.     is seeing so it can remove the virus, but the update is not
105.     crucial for continued protection.  As Gatekeeper is freeware and
106.     Chris has a "real" life, this update may not be immediate.
107.  
108.  
109.     Tool: Rival
110.     Status: Commercial software
111.     Revision to be released: Rival 1.1.9v (CODE 252 Vaccine or Refresh
112. 1.1.9v)
113.     Where to find it: AppleLink, America Online, Internet, Compuserve.
114.     When available: Immediately.
115.  
116.  
117.     Tool: SAM (Virus Clinic and Intercept)
118.     Status: Commercial software
119.     Revision to be released: 3.0.8
120.     Where to find: CompuServe, America Online, Applelink, Symantec's
121.                    Bulletin Board @ 408-973-9598
122.     When available: 17 April 1992.  Version 3.0.8 of the Virus
123.                     Definitions file are also available.
124.  
125.  
126.     Tool: Virex INIT
127.     Status: Commercial software
128.     Revision to be released: 3.8
129.     Where to find: Microcom, Inc (919) 490-1277
130.     When available: Immediately.
131.     Comments:
132.     Virex 3.8 will detect and repair the virus. All
133.     Virex subscribers will automatically be sent an update on
134.     diskette. All other registered users will receive a notice with
135.     information to update prior versions to be able to detect
136.     CODE 252. This information is also available on Microcom's BBS.
137.     (919)419-1602, and is presented here:
138.               Guide Number = 6324448
139.               1: 0203 3001 7778 2A00 / 79
140.               2: 0C50 4EFA 0003 A9AB / C4
141.               3: 0004 A9AA 0002 A647 / B2
142.               4: 8180 9090 9090 9090 / 1B
143.  
144.     Tool: Virus Detective
145.     Status: Shareware
146.       Revision to be released: 5.0.4
147.     Where to find: Usual bulletin boards will announce a new search string.
148.                    Registered users will also get a mailing
149.                    with the new search string.
150.     When available: Immediately.
151.     Comments: search strings are:
152. Resource Start & Size < 1200 & WData 2F2C#23F3C#2A9A0*3F3C#24878#2A9AB ; For
153. find CODE 252 in Appl's
154. Filetype=ZSYS & Resource INIT & Size < 1200 & WData 2F2C#
155. 3F3C#2A9A0*3F3C#24878
156. #2A9AB ; For find CODE 252 in System
157.  
158.  
159. If you discover what you believe to be a virus on your Macintosh
160. system, please report it to the vendor/author of your anti-virus
161. software package for analysis.  Such reports make early, informed
162. warnings like this one possible for the rest of the Mac community.
163.  
164.  
165. <<<<<<<<<<
166. Article 2:
167. <<<<<<<<<<
168.  
169. ==========================================================================
170. Date: 04-27-92 (04:18)              Number: 264 of 275 (Echo)
171. To: ALL                             Refer#: NONE
172. From: STEVENS WALLACE               Read: (N/A)
173. Subj: 666 IS GONNA GET YEAH         Status: PUBLIC MESSAGE
174. Conf: N_VIRUS (41) Read Type: GENERAL (A) (+)
175.  
176.                    Rock Steady `666' Virus            Released: Mar 24'92
177. [Montreal,Canada] PROGRAMMED:By Rock Steady. A few patches from other neat
178. Viruses
179. DAMAGE:The Virus will format the HD BOOT & FAT area on the 13th of
180. every Month! I wrote TWO formating procedures. One with the INT 13h and one
181. with the INT 26h! To make 100% the suckers HD gets trashes for GOOD!
182. NOTES:This is a Simple EXE & COM Infector! It infects ALL Files Executed  The
183. Virus Hides in High Memory! And Hooks Int 21h! It will increase  files by the
184. length of 666 Bytes! but if the Virus is Resident in  Memory the Length of
185. the Files on a "DIR" will remain the SAME under  MSDOS V3.30 - 5.0!
186. OTHER:*uck the Name. Its the ONLY text in the Virus! So the Anti-Virus 
187. people will call it `Rock Steady', since the virus needs that signature  to
188. check if the file is infected on infection routines & DIR routine!
189. PURPOSE:To make a very small "Stealth" Virus. And create a HOLE shit  load of
190. damage for people not to forget!
191. ANTI-VIRAL:*uck Them! I've tried with SCANV89B, F-PROT2.03A, VirexPC  Central
192. Point 1.2, Nortan Scanner, ViruScan And it's UNDETECTABLE!
193.  
194. Neat heh? McGill Univ. is flipping over this new Virus that they just got hit
195. with in Montreal. *uck it's hot...
196.  
197. aLl comments to moi...
198. =======================================================================
199.  
200.  
201. <<<<<<<<<<
202. Article 3:
203. <<<<<<<<<<
204.  
205. Extracted from "Gui Guts" by Yacco, in ComputerCraft Magazine, June 1992
206. ------------------------------------------------------------------------
207.  
208. Mutant Ninja Morons
209. -------------------
210. Did you survive the Michaelangelo Virus? That's what everybody,
211. including Bill, the guy from UPS, has been asking me. I spent most of
212. last night organizing and archiving several year's worth of data. I
213. suppose I should be grateful to the fan of comic culture who wrote this
214. virus for the motivation to do something I've been putting off for a
215. long time. But these virus writers aren't exactly virtuous. I wouldn't
216. be sitting here now creating files with tomorrow's date on them if they
217. were. In fact, it occurs to me that what motivates them is a need to
218. control and terrorize people. In other words, they're a new breed of
219. rapist: the mass rapist. And just like physical rape isn't about sex,
220. electronic rape isn't about intellectual challenges.
221.  
222. [I wasn't going to comment until I got this classic article.  This is so
223. funny.  This guy thinks Michelangelo was named after the Teenage Mutant
224. Ninja Turtle.  And hell, *IF* we are rapists, Yacco, better bend over
225. and spread em wide, cause we are gonna fuck you hard.  What kinda name
226. is Yacco???  Fuck him.  Why is everyone so curious as to what motivates
227. us?  Can't it be that we just simply enjoy it?  Must it be social
228. problems, or publicity?  Don't blame the virus community for the
229. Michelangelo scare, blame the Anti Virus Community.  It was a scare, a
230. simple ploy to gain money!  I had everyone asking me how do I protect
231. myself?  So, I spent a couple days helping out people who weren't
232. infected.  Everywhere I went, Michelangelo!  How many infections did I
233. find? 1.  One fucking infection.  I think everyone in the Anti-Virus
234. Community benefitted.  Do you think that the author of Michelangelo made
235. a press release about the virus?  I don't recall that.  So, there goes
236. the publicity theory.  He didn't control anyone.  Anti-Virus people did.
237. A scare tactic.  Plain and simple.  The End.]
238.  
239.  
240. PS: Saw a useful article in the latest issue of a magazine?  Anything
241. Virus related?  Well, ya don't have to type it in!  Just contact a
242. -=PHALCON/SKISM=- Member, and we will take care of it.  Leave him mail
243. stating what magazine, what issue, and what page, and your handle (We
244. will throw ya into our Greet list).
245.  
246.                                         ->GHeap!
247.  
248. Downloaded From P-80 International Information Systems 304-744-2253
249.