home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.128 < prev    next >
Text File  |  1995-01-03  |  9KB  |  212 lines

  1. VIRUS-L Digest              Monday, 5 Jun 1989         Volume 2 : Issue 128
  2.  
  3. Today's Topics:
  4. nVIR Origins (Mac)
  5. .ZIP Ansi codes (PC)
  6. Re: comp.virus usenet virus handbook
  7. Re: nVirB infection at teesside poly, uk (Mac)
  8. naming confusion
  9.  
  10. ---------------------------------------------------------------------------
  11.  
  12. Date:    Fri, 02 Jun 89 17:48:51 EDT
  13. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
  14. Subject: nVIR Origins (Mac)
  15.  
  16. I vaguely remember downloading some assembler code from CIS a looong
  17. while back (pre-Scores) that purported to be source for a virus
  18. similar to nVIR. I didn't save it, mostly because I didn't see any use
  19. for it then. It would have been a good guide to writing an anti-viral,
  20. I suppose.
  21.  
  22. In fact, if I remember right, the resources it used were indeed called
  23. nVIR!
  24.  
  25.  --- Joe M.
  26.  
  27. Internet: xrjdm@scfvm.gsfc.nasa.gov |  "I've seen yellow stripes down the
  28.    Phone: (301) 286-8090            |  middle of the road, but never
  29.      CIS: 72330,554                 |  quite so WIDE..." - Dorothy
  30.  
  31. ------------------------------
  32.  
  33. Date:    Sat, 03 Jun 89 00:34:41 CDT
  34. From:    James Ford <JFORD1@UA1VM.BITNET>
  35. Subject: .ZIP Ansi codes (PC)
  36.  
  37. This was taken from an IBM SIG conference.  This is *NOT* a
  38. virus/trojan warning/alert; however I thought it might be of interest.
  39.  
  40.                         James
  41.  
  42. Original-From: Sysop Of 107/522
  43. Original-Subject: .ZIP Utility ALERT
  44.  
  45. FILES UPLOADED TO YOUR SYSTEM THAT HAVE BEEN COMPRESSED UTILIZING PHIL
  46. KATZ'S PKZIP/PKUNZIP UTILITY COULD CRASH YOUR SYSTEM WHEN UNZIPPED!
  47.  
  48.    As most of you know it is possible to reprogram your keyboard (and
  49. other things) using ANSI Escape sequences... .ZIP programs will allow
  50. the use of ANSI in the comments section...  I have received several such
  51. "innocent looking" files in the last two weeks. One caused my F1 key to
  52. display a wide DOS Directory, the other attempted to delete all files on
  53. my hard drive!
  54.  
  55. ------------------------------
  56.  
  57. Date:    Sun, 4 Jun 89 15:18:38 BST
  58. From:    "David.J.Ferbrache" <davidf@cs.heriot-watt.ac.uk>
  59. Subject: Re: comp.virus usenet virus handbook
  60.  
  61. The idea of a handbook associated with the newsgroup is an excellent
  62. one, although I would caution that such a handbook can not be a
  63. comprehensive guide to known viruses and trojan horses without a
  64. significant (major) amount of effort on the part of the editorial
  65. committee.
  66.  
  67. There are a number of excellent general papers available describing
  68. the nature of computer viruses, and the countermeasures which can be
  69. taken to prevent their spread. A general guide should probably
  70. incorporate this information, together with a short symptomatic
  71. description of the major common computer viruses across all systems.
  72. It would also be worth incorporating and updating the Dirty dozen list
  73. (by the way 8D available from Heriot-Watt University archive).
  74.  
  75. It would also be useful to incorporate a public domain anti-viral
  76. software guide (a la Compute's computer virus book), including details
  77. of software availability via Jim Wright's archive site initiative.
  78.  
  79. > (1) How much information should be provided in the general guide?
  80.  
  81. Hmm, I would say that the guide should be aimed at casual non-systems
  82. programmers. The use of binary and resource editors together with disk
  83. recovery and reconstruction techniques are probably best ommitted from
  84. the beginners section. It might be possible to describe the use of
  85. norton utilities to destroy boot sector viruses on the IBM, and
  86. resedit to identify and repair infected Mac applications. In general
  87. however there is little or no reason to utilise Resedit directly when
  88. such powerful repair tools as Disinfectant are available.
  89.  
  90. The guide should include:
  91.  
  92. 1. A general introduction to the concept of a virus
  93. 2. Brief historical overview and perspective on the threat
  94. 3. Operational principles of viruses in brief (v101?)
  95. 4. Prevention, detection and recovery from viral infection
  96.    (ie backups, software policies, use of checksum and file
  97.     alteration checking techniques, disk access monitors etc..
  98.     mentioning the categories of anti-viral software).
  99.    (maybe also include a checklist of simple anti-viral measures)
  100. 5. Known viruses (symptomatic description in brief)
  101.    a. IBMPC b. MAC c.Atari d.Amiga e.Apple II
  102. 6. Trojan horses and other replicating programs
  103.  
  104. Appendices: Glossary. Public domain software - availability and review.
  105.    References. Dirty Dozen Trojan List. Bulletin Board contacts.
  106.  
  107. > (2) How best do we handle duplicate effort?
  108.  
  109. There is quite a bit of duplication to date, in Europe Klaus' virus
  110. directory will hopefully serve as a central focus for the viral code
  111. analysis and disassembly. In the UK there is CoTRA (computer threat
  112. research association) and the BCVRC (British computer virus research
  113. centre).  A number of people are producing listing of known viruses,
  114. documentation on anti-viral techniques and software etc. The Homebase
  115. bulletin board, CVIA, SDCNA, NCSC, MacMash etc all jump to mind as
  116. possible organisations worth contacting.
  117.  
  118. > (3) How do we assemble the editor staff?
  119.  
  120. Tricky. Ideally you want the widest possible spread of expertise,
  121. preferably including an Atari ST and Amiga expert (George Woodside,
  122. Steve Tibbett ??).  When the project gets off the ground I am sure you
  123. will not be short of volunteers for the project, if you wish any
  124. feedback on the UK virus scene then please get in touch and I will be
  125. happy to help.
  126.  
  127. > (4) How much staff do we need?  One or two for each supplement? One
  128. > for each general chapter? Should we have a chief editor or two to
  129. > oversee the whole effort and help to assure that project goals are
  130. > being met?  How about a temporary peer review group to evaluate each
  131. > section as the guide is being built for the first time?
  132.  
  133. Ideally a general editor who has a wide experience of viruses across
  134. all systems to prepare the introductory section, volunteers for each
  135. major machine type to deal with the specific problems of that machine
  136. (known viruses, specific disinfection software reviews etc).
  137.  
  138. If you wish to include a degree of technical detail then this might
  139. include advanced recovery techniques (eg boot sector, partition
  140. record, resource and binary editing), use of signature recognition to
  141. detect viral infection, repair of infected application programs, maybe
  142. even a catalog of viruses with algorithmic descriptions.
  143.  
  144. > (5) How about a different name for the effort?
  145.  
  146. I would suggest an ad-hoc mailing list. Such discussion is not
  147. suitable for a newsgroup as such (unless possibly a temporary alt.
  148. group). Easiest is to add volunteers or interested parties to the
  149. list, with a known redistribution address at your site. I suspect that
  150. the effort may generate a great deal of discussion which would
  151. probably swamp most newsgroups!
  152.  
  153. Thanks for volunteering Jim, Good luck.
  154.  
  155. - -------------------------------------------------------------------------
  156. Dave Ferbrache                       Internet   <davidf@cs.hw.ac.uk>
  157. Dept of computer science             Janet      <davidf@uk.ac.hw.cs>
  158. Heriot-Watt University               UUCP       ..!mcvax!hwcs!davidf
  159. 79 Grassmarket                       Telephone  +44 31-225-6465 ext 553
  160. Edinburgh, United Kingdom            Facsimile  +44 31-220-4277
  161. EH1 2HJ                              BIX/CIX    dferbrache
  162. - -------------------------------------------------------------------------
  163.  
  164. ------------------------------
  165.  
  166. Date:    Sun, 04 Jun 89 00:15:26 -0700
  167. From:    Alastair Milne <milne@ICS.UCI.EDU>
  168. Subject: Re: nVirB infection at teesside poly, uk (Mac)
  169.  
  170. Though this is probably old news, I'd recommend adding GateKeeper to
  171. your INITs.  Though it's absolutely transparent for all disc writes
  172. you tell it to allow, it forbids completely any writes it doesn't know
  173. to be authorised.  As soon as I discovered how effective it is, I
  174. removed Vaccine from my system: GateKeeper is much more thorough (as
  175. it checks the writing of *any* resource, not just CODE) and much less
  176. intrusive.
  177.  
  178. Best of luck with your disinfection.
  179.  
  180. Alastair Milne
  181.  
  182. ------------------------------
  183.  
  184. Date:    Mon, 5 Jun 89 11:45:50 EDT
  185. From:    luken@ubu.cc.lehigh.edu (Kenneth R. van Wyk)
  186. Subject: naming confusion
  187.  
  188. David Ferbrache helped me out in my quest for information on the
  189. Little Black Box virus (Thanks David!).  Apparently, this virus is a
  190. strain of the Israeli virus.  ...which brings me to my point.
  191.  
  192. One of the most frustrating things that I've run into is that viruses
  193. get called different things by different people.  Just look at a
  194. couple of the more common ones - Israeli <=> PLO <=> Russian <=> Black
  195. Hole <=> Little Black Box, Brain <=> Pakistani ... (the list goes on).
  196.  
  197. I'm not proposing any solutions here because, quite frankly, I'm not
  198. aware of any real good solutions.  Anyone have any suggestions?  My
  199. point is merely to point out the cause for confusion and hopefully
  200. generate some discussion on it.
  201.  
  202. Ken
  203.  
  204. ------------------------------
  205.  
  206. End of VIRUS-L Digest
  207. *********************
  208.  
  209.  
  210.  
  211. Downloaded From P-80 International Information Systems 304-744-2253
  212.