home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.108

< prev

next >

Wrap

Text File  |  1995-01-03  |  6KB  |  115 lines

---

1. VIRUS-L Digest              Monday, 8 May 1989         Volume 2 : Issue 108
2.  
3. Today's Topics:
4. Comments on SYS from John McAfee (PC)
5. Comment on SYS command (PC)
6. Re: thoughts on comp.virus (and admin notes)
7.  
8. ---------------------------------------------------------------------------
9.  
10. Date:    Fri,  5-May-89 14:23:40 PDT
11. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
12. Subject: Comments on SYS from John McAfee (PC)
13.  
14.         I too often assume understanding which isn't there, and it
15. always gets me in trouble.  At the risk of boring nearly everyone, I'd
16. like to expand briefly on the SYS command.  It only works if the
17. system is first powered down (soft re-boot will not work), then
18. re-booted from a clean, preferably original, system master dskette.
19. Otherwise, the virus will remain in control and you will accomplish
20. nothing with most viruses.  The Search virus (Den Zuk) has been found
21. with variations that specifically disable loading of the SYS program.
22. When a SYS command is entered, a sector read is made to the home
23. device (so that the access light will come on), then multiple sector
24. reads are done to the target device so that it looks like something is
25. happening, and then it displays the message - "System Transferred".
26.         I know you all already knew this but better safe than sorry.
27.  
28. John McAfee
29. >From the HomeBase BBS  408 988 4004
30.  
31. ------------------------------
32.  
33. Date:    Fri,  5-May-89 16:51:01 PDT
34. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
35. Subject: Comment on SYS command (PC)
36.  
37. Original-From: Tim Sankary
38.  
39.         The comment on Virus-L about the SYS command not removing boot
40. infectors is disconcerting.  Not because it's true, but because it is
41. so misleading.  Any competent programmer knows that the SYS command
42. has to overwrite the boot sector.  It's used to specifically upgrade
43. versions of DOS.  So if you have, say, version 3.0 running (which
44. means a 3.0 boot sector as well - check it out with Norton if you're
45. skeptical), and you're upgrading to 3.3, then you have to overwrite
46. the boot sector, else you'll have a 3.0 boot with a 3.3 DOS - a
47. meaningless situation.  If anyone reading this still doubts it, then
48. simply run the Norton Utilities and erase or overwrite part of the
49. boot sector and then run SYS.  The boot will be magically restored.
50.         We have advised over 300 infected corporations involving over
51. 20,000 infected computers and 100,000 infected floppies to use this
52. technique to remove their boot infectors.  I'm not aware of any
53. instance where it did not work.  To publish a statement in a virus
54. forum that is distributed to thousands of readers, when the statement
55. is patently absurd and damaging to the efforts of the CVIA and other
56. groups is irresponsible.  The virus situation is not a joke, a game or
57. a playground.  Many of us have dedicated full time efforts for over a
58. year to understand and deal with waht's happening.  In this area I
59. recommend the the advice of Mark Twain - It is better to remain silent
60. and be thought a fool, than to speak up and remove all doubts.
61.  
62. ------------------------------
63.  
64. Date:    Sat, 6 May 89 00:19:14 EDT
65. From:    msmith@topaz.rutgers.edu (Mark Robert Smith)
66. Subject: Re: thoughts on comp.virus (and admin notes)
67.  
68. Two thoughts on the comp.virus addition:
69.  
70. Would it be possible to have the comp.virus side of the list
71. distributed as individual articles, rather than a digest.  Granted,
72. it's harder, but it reads much easier on UseNet, where vnews does not
73. undigestify digests.
74.  
75.    [Ed. I've gotten *lots* of requests for this, and it is something that
76.    I plan on doing shortly (as time permits).  If anyone wants to write a
77.    VMS DCL script to receive a mail file, undigestify it (maintaining
78.    appropriate NNTP headers for each message), and then post it, I'd be
79.    eternally grateful, and the process will move much faster.  Otherwise,
80.    it'll have to wait until I can get around to tackling it.]
81.  
82. Also, when those of us who get comp.virus Unsubscribe from the
83. LISTSERV list, should we remain on VALERT-L, or will those articles
84. have some "get it to UseNet quick" mechanism?
85.  
86.    [Ed. Readers who get Usenet news will probably want to unsubscribe
87.    from VIRUS-L and read comp.virus.  VALERT-L is *not* currently sent to
88.    the newsgroup immediately, however.  Any VALERT-L (other than a SUB
89.    John Doe, etc...(heavy sigh!)) posting will get included in the next
90.    outgoing comp.virus/VIRUS-L digest.  So, if you want to read VALERT-L
91.    in as timely a manner as possible, don't unsubscribe from it.
92.  
93.    To UNSUBSCRIBE from VIRUS-L and/or VALERT-L, send MAIL to
94.    LISTSERV@LEHIIBM1.BITNET (not to the list) stating: SIGNOFF listname.
95.    (Where listname is either VIRUS-L or VALERT-L.)
96.  
97.    While on the subject of VALERT-L, I'd like to ask everyone to please
98.    *PLEASE* not reply to subscription requests, etc. there.  A note to
99.    the author of the request would be fine, but please do not send
100.    anything to the list.  The list is only to be used for urgent alerts
101.    when and if they arrise.]
102.  
103. Mark
104. - --
105. Mark Smith (alias Smitty) "Be careful when looking into the distance,
106. RPO 1604; P.O. Box 5063   that you do not miss what is right under your nose."
107. New Brunswick, NJ 08903-5063    rutgers!topaz.rutgers.edu!msmith (OK, Bob?)
108. msmith@topaz.rutgers.edu
109.  
110. ------------------------------
111.  
112. End of VIRUS-L Digest
113. *********************
114. Downloaded From P-80 International Information Systems 304-744-2253
115.