home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.104

< prev

next >

Wrap

Text File  |  1995-01-03  |  9KB  |  216 lines

---

1. VIRUS-L Digest             Thursday, 4 May 1989        Volume 2 : Issue 104
2.  
3. Today's Topics:
4. New Jerusalem Virus (PC)
5. Missouri Virus (PC)
6. Bad sectors and viruses (PC)
7. Virus testing at Social Security Administration
8. UK conference
9. re: Forwarded Message From Jim Goodwin (PC, 1704, Stoned)
10. NAMES file (VM/CMS)
11. New Virus utility, "SecureInit(tm)" [Mac]
12.  
13. [Ed. This is the first digest that will (read: should) be going out to
14. comp.virus as well as the familiar VIRUS-L mailing list.  Currently,
15. only digests are being sent to comp.virus.  I hope to have
16. distribution of undigestified messages over comp.virus working soon.
17. Feedback is invited.]
18.  
19. ---------------------------------------------------------------------------
20.  
21. Date:    Sat, 29-Apr-89 13:32:14 PDT
22. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
23. Subject: New Jerusalem Virus (PC)
24.  
25. Andrew Carroll asked me to forward the following message for him:
26.  
27. Original-Date: 04/28/89 23:29:58
28. Original-From: ANDREW CARROLL
29.  
30. Thanks for passing on the message for me.  I need some help from the
31. VIRUS-L users and I understand they have some information about
32. infections.  I am a CVIA volunteer and I've been tracking the New
33. Jerusalem virus.  It's the one that does a disk format on April 1,
34. 1990, and has the EXE bug fix.  The earliest occurance that I can find
35. is October 6, 1988 in Vancouver.  If anyone has verified an earlier
36. infection please contact me.  Everything I've seen so far indicates
37. that the source is Vancouver.  Data to the contrary is urgently
38. needed.  Andrew Carroll - HomeBase - 408 988 4004 or C/O Alan Roberts.
39.  
40. ------------------------------
41.  
42. Date:    Sun, 30 Apr 89 17:40-0400
43. From:    David.Slonosky@QueensU.CA
44. Subject: Missouri Virus (PC)
45.  
46. I have a copy of this DOS Power Tools disk.  How do you detect if
47. there is indeed a virus lurking on this disk? I've been working with
48. two floppy drive systems only -- is this a problem?
49.                                        __________________________________
50.                                       |                                  |
51. David Slonosky/QueensU/CA,"",CA       |         Know thyself?            |
52. SLONOSKY@QUCDN                        |  If I knew myself, I'd run away. |
53.                                       |__________________________________|
54.  
55. ------------------------------
56.  
57. Date:    Sun, 30 Apr 89 18:14-0400
58. From:    David.Slonosky@QueensU.CA
59. Subject: Bad sectors and viruses (PC)
60.  
61. I think this has been discussed before, but is there a mechanism
62. by which a virus can hide in a bad sector? How does DOS declare
63. that a given sector is "bad", i.e. where on the disk does the
64. information reside? Can a bad sector be protected from being
65. reformatted if the virus author was clever enough?
66.                                        __________________________________
67.                                       |                                  |
68. David Slonosky/QueensU/CA,"",CA       |         Know thyself?            |
69. SLONOSKY@QUCDN                        |  If I knew myself, I'd run away. |
70.                                       |__________________________________|
71.  
72. ------------------------------
73.  
74. Date:    Sun, 30-Apr-89 23:53:19 PDT
75. From:    portal!cup.portal.com!garyt@Sun.COM
76. Subject: Virus testing at Social Security Administration
77.  
78. Lynn McLean (on the Homebase BBS) asked me to forward this to VIRUS-L:
79.  
80. Original-Date: 04/28/89 17:19:42
81. Original-From: LYNN MCLEAN
82.  
83. My co-worker and his colleague in the microcomputer support center at
84. the Social Security Administration have just finished a review of
85. anti-virus products.  They tested against 14 viruses (which I helped
86. obtain from a nefarious member of the Homebase board) and collected
87. over 20 products to review.  The viruses were a subset of Goodwin's
88. collection and, supposedly, the most common ones.  The results of the
89. review were that none of the products were effective. The Tracer
90. program (I understand it's been renamed Sentry and placed in public
91. domain) was able to detect them all, but only if the system was
92. re-booted every day or so.  Most of our network systems are never
93. re-booted, or booted only every few months, and many of the test
94. viruses activated after only a few weeks in the system.  So it doesn't
95. do any good to detect a virus a month after it's destroyed the system.
96. The rest of the products could not even detect half of the viruses, at
97. any time.  I don't know of any other review that has used any more
98. viruses than we did, but the results couldn't come out much different
99. if they included some of the same viruses that we used.  I hope this
100. information is useful to some of the users.
101.  
102. Lynn McLean
103.  
104. ------------------------------
105.  
106. Date:    Mon,  1 May 89 09:59 N
107. From:    ROB_NAUTA <RCSTRN@HEITUE5.BITNET>
108. Subject: UK conference
109.  
110. I read the advertisment for the virus conference which will be held in
111. the UK.  The ad mentiones a price of 235 pounds, and states that a
112. disk with antiviral tools will be part of the deal. I wonder, did you
113. write those tools yourself or are they PD utilities ? I am not sure if
114. the authors of those tools would like this, their shareware licences
115. are quite clear about commercial use, and selling those tools for such
116. an amount of money is nothing more than a copyright violation. Again,
117. only if the tools on the disk ARE shareware tools like FluSHot + ...
118. I know, in the current virus panic there is a lot of money to be made
119. from worrying users, but keep it clean...
120.  
121. Greetings
122. Rob
123.  
124. ------------------------------
125.  
126. Date:    1 May 1989, 09:16:50 EDT
127. From:    David M. Chess  <CHESS@YKTVMV.BITNET>
128. Subject: re: Forwarded Message From Jim Goodwin (PC, 1704, Stoned)
129.  
130. Thanks for the forwarding, Alan!  It would be nice if there were an
131. easy BBS<->BitNet link; I don't know of one, but You Never Can Tell...
132.  
133. I stand corrected on POP CS.   I'm still adamant (see last issue)
134. about the 1704-on-vanilla-PC issue.   The 1701 has a bug, but so
135. does the 1704!  Perhaps there's yet a third variant that has
136. neither bug?   In any case, the code you posted awhile back
137. does indeed *not* successfully differentiate vanilla machines
138. from clones.
139.  
140. As a friendly suggestion, I might caution you to be a little less
141. free with name-dropping!   You and Alan have managed to insult
142. both the NSA and IBM in your last couple of items!   *8)
143. (Somewhat more seriously, definite statements like "XXX was the
144. first company hit by the YYY virus" are always dangerous, since
145. you can almost never have sufficient evidence that they're true...)
146.  
147. On the Australian virus:  the version that I've seen will infect
148. the master boot record of hard disks, and the SYS command will do
149. nothing to remove it from there (since SYS only writes to the
150. partition boot record, I think?).   And it does display the first
151. half of the message ("Your PC is now stoned") on something like
152. one boot in eight (depending on the system clock).
153.  
154. Sorry to be so contrary!   Monday morning, ya' know...      *8)
155.  
156. DC
157.  
158. ------------------------------
159.  
160. Date:    Mon, 1 May 89 10:03 EST
161. From:   "Thomas R. Blake" <TBLAKE@bingvaxb.cc.binghamton.edu>
162. Subject: NAMES file (VM/CMS)
163.  
164. >[Ed. How about renaming (or encrypting) your names file all the time,
165. >except when you're in MAIL or MAILBOOK?  Not elegant, perhaps, but
166. >probably effective.]
167.  
168. MAIL, MAILBOOK, NAMES, LNAME, TELL, SENDFILE, CHAT, XYZZY
169.  
170. Think of any others?
171.  
172. It seems wiser to examine any strange EXEC's you may receive before running
173. them, no matter who they come from.
174.  
175. Or simply rename you NAMES file before running any new EXEC's.
176.  
177.  
178.                                 Thomas R. Blake
179.                                 Lead Programmer Analyst
180.                                 Academic Computing
181.                                 SUNY Binghamton  13901
182. [Ed. Good points, I neglected those other programs.]
183.  
184. ------------------------------
185.  
186. Date:    Mon, 01 May 89 14:48:36 EDT
187. From:    dmg@mwunix.mitre.org
188. Subject: New Virus utility, "SecureInit(tm)" [Mac]
189.  
190. A new anti-virus packaged recently appear on the Twilight Clone BBS
191. here in Washington called "SecureInit(tm)".  It comes from someone
192. named "P. Guberan" in Switzerland and the docs were written by Dany
193. Hofmann.  Hofmann makes some rather boisterours claims about the
194. package in the documentation, and I do not believe they can be
195. attributed to his "more than bad English".
196.  
197. I've not tried the application.  If the description is accurate, this
198. stuff does some pretty heavy duty tinkering around.  For example, the
199. documentation states SecureInit installs some invisible inits in my
200. System Folder.  Why not make them visible, and let the user decide on
201. visibility/invisibilty (there are a wide variety of utilities that let
202. you do this).  I may do some experimenting with this later, and report
203. on what I think.  If anyone leaves a note on the Clone about this
204. package, I'll forward them up here too.
205.  
206. David Gursky
207. Member of the Technical Staff, W-143
208. Special Projects Department
209. The MITRE Corporation
210.  
211. ------------------------------
212.  
213. End of VIRUS-L Digest
214. *********************
215. Downloaded From P-80 International Information Systems 304-744-2253
216.