home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.131

< prev

next >

Wrap

Text File  |  1995-01-03  |  10KB  |  205 lines

---

1. VIRUS-L Digest             Wednesday, 7 Jun 1989       Volume 2 : Issue 131
2.  
3. Today's Topics:
4. Notifications for Network Viruses
5. re: Possible virus? (PC)
6. Re: naming confusion
7. Are software developers releasing viruses?
8. virus desinfecting
9.  
10. ---------------------------------------------------------------------------
11.  
12. Date:    Wed, 7 Jun 89 08:55 EDT
13. From:    Roman Olynyk - Information Services <CC011054@WVNVAXA.WVNET.EDU>
14. Subject: Notifications for Network Viruses
15.  
16. I've recently completed a virus response procedure for our site, a
17. statewide educational telecomputing network.  This procedure
18. establishes an emergency action plan that we hope would reduce the
19. impact of a computer virus at WVNET.
20.  
21. One of the sections in our procedure deals with notifying authorities.
22. A couple of the following items took a little digging to get, and I
23. think that having these on hand for reference would be useful.  Every
24. moment spent deciding what to do during an outbreak of a virus may
25. give the virus another chance to spread.
26.  
27. *   VALERT-L list - if the virus is spreading outside of WVNET's
28.     network through BITNET or the Internet, a member of the Virus
29.     Response Team will post a warning to VALERT-L@LehiIBM1.  This
30.     list is dedicated to posting emergency warnings of detected
31.     viruses.
32.  
33. *   BITNIC - the BITNET Information Center in Washington, DC,
34.     should be notified in the event of a virus which affects the
35.     BITNET network.  Telephone number 202-872-4200.  Contact
36.     persons as of June 7, 1989 are Michael Hrybyk, James Conklin
37.     (director), and Amanda Spiegel.
38.  
39. *   SRI-NIC - the SRI International Network Information Center is
40.     the central information site for the Internet.  Telephone
41.     number 800-235-3155, available around the clock.  There is no
42.     designated contact person for SRI-NIC.
43.  
44. Besides the above three items, we also want to inform our management
45. team, primary contacts at the campuses of our member schools, and
46. (particularly where a serious incident is suspected to have originated
47. from within WVNET's environment) legal counsel.
48.  
49. [Ed. Another Internet contact point is the Computer Emergency Response
50. Team at Carnegie Mellon's Software Engineering Institute.]
51.  
52. ------------------------------
53.  
54. Date:    7 June 1989, 09:33:25 EDT
55. From:    David M. Chess         <CHESS@YKTVMV.BITNET>
56. Subject: re: Possible virus? (PC)
57.  
58. > If you are...  booting up from a bootable diskette (not a full DOS
59. > disk) with no config.sys file, does it get the files and buffers
60. > limits from the dos disk that originally made the bootable disk?
61.  
62. No, when you boot from any disk without a CONFIG.SYS on it, DOS just
63. takes the defaults for files and buffers.  The defaults have varied
64. with DOS version, I think.  In 3.3, I believe the defaults were
65. FILES=8 and BUFFERS=2, 3, 5, 10 or 15 (depending on diskette drives
66. installed and memory size).  See the DOS manual for details.
67.  
68. DC
69.  
70. ------------------------------
71.  
72. Date:    Wed,  07 Jun 89 19:30:14 +0300
73. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
74. Subject: Re: naming confusion
75.  
76.   In #128 Ken writes:
77. >One of the most frustrating things that I've run into is that viruses
78. >get called different things by different people.  Just look at a
79. >couple of the more common ones - Israeli <=> PLO <=> Russian <=> Black
80. >Hole <=> Little Black Box, Brain <=> Pakistani ... (the list goes on).
81.  
82. >I'm not proposing any solutions here because, quite frankly, I'm not
83. >aware of any real good solutions.  Anyone have any suggestions?  My
84. >point is merely to point out the cause for confusion and hopefully
85. >generate some discussion on it.
86.  
87.   I don't think we can prevent multiplicity of names, but some names
88. are more reasonable than others.  For example, if a user sees a region
89. of his screen scroll up and leave a black rectangle, it's understand-
90. able that he should call it the "Little Black Box" if he's never heard
91. of the Israeli virus before.
92.   On the other hand, the term "PLO" as a name for the Israeli virus is
93. entirely inappropriate since it suggests a political motive for the
94. virus, a hypothesis which, to the best of my knowledge, has never been
95. supported by *any evidence whatsoever*.  The first person to suggest
96. this motive seems to have been Vin McLellan, who wrote in a New York
97. Times article of Jan 31, 1988 that the virus "was apparently intended
98. as a weapon of political protest".  But his sole "evidence" was the
99. coincidence of dates which he discovered between the first day on
100. which the virus would cause damage (it does this only on Friday-the-
101. 13ths) and the 40th anniversary of the last day Palestine was under
102. the British mandate (May 13, 1988)!  I wrote to him, pointing out how
103. flimsy his evidence was.  I also pointed out that whatever psychologi-
104. cal drive motivates most creators of viruses and Trojan Horses else-
105. where in the world, and whatever motivated the author of the April-
106. Fools-Day viruses (which were discovered in Israel about the same
107. time, yet no one claims that *they* were politically motivated), is
108. quite sufficient to motivate creation of our Friday-the-13th virus
109. also.  Now I have no doubt that McLellan's intentions were good.  But
110. as he eventually admitted to me, he "was too quick to assume too much
111. about this virus, its author, and its intent."  Unfortunately, his
112. explanation was already accepted by many people, even to the point of
113. dubbing this virus the "PLO" virus.
114.   The name "PLO" is therefore entirely inappropriate and I would like
115. to request readers of this list to refrain from using this name.
116.  
117.   As for the other synonyms for the Israeli virus (btw, I can add 7
118. more to those mentioned by Ken), I can understand the reason for all
119. of them except "Russian".  Does anyone have any idea what motivated
120. *that* name??
121.  
122.                                           Y. Radai
123.                                           Hebrew Univ. of Jerusalem
124.  
125. ------------------------------
126.  
127. Date:    Wed, 07 Jun 89 12:13 CDT
128. From:    Gordon Meyer    <TGRM1@NIU.BITNET>
129. Subject: Are software developers releasing viruses?
130.  
131. A virus-l writer recently asked about viruses being spread, on
132. purpose, by software manufacturers.  While I would like to think this
133. isn't happening, there is evidence to the contrary.
134.  
135. Dave Small, developer of the Magic Sac and Spectre 128 (two products
136. that allow the Atari ST/Mega to emulate a Macintosh), has indicated
137. that some developers might be introducing viruses as a means to fight
138. software piracy.
139.  
140. It's a simple premise.  The developer "releases" a beta version of his
141. program that is clearly labeled as being pirated. (A big "CRACKED BY
142. CAPTAIN CROOK" will do it.)  So far these programs have not been aimed
143. at individual pirates per se, but rather the pirate bulleting board
144. systems.  When run they introduce a virus that waits for a future date
145. (long enough to allow the program to be circulated in the pirate
146. community) before going into action.  Usually it looks for specific
147. BBS files...if it finds them it starts to slowly corrupt the FAT table
148. on the hard drive.  Small has suggested that other "revenge"
149. techniques are possible such as burning out the Atari color monitor by
150. forcing the hardware into monochrome mode.  I'm sure there are other
151. possibilities as well.
152.  
153. This information it taken from an article by Small, published in
154. _Current Notes_. (August 1988) Any errors in the above summary should
155. be blamed on me, not him.  -=->G<-=-
156.  
157. PS: Small didn't name any specific programs, but I know that a French
158. game, "Manhattan Dealer", was known to contain a virus in it's pirated
159. form.
160.  
161. - --------------------------------------------------------------------
162. | Gordon R. Meyer, Northern Illinois University, Dept of Sociology |
163. | GEnie: GRMEYER, CIS: 72307,1502, Phone: (815) 753-0555           |
164. | Bitnet: Tee-Kay-Zero-Gee-Are-Em-One AT Enn-Eye-You.bitnet        |
165. |------------------------------------------------------------------|
166. |------------------------------------------------------------------|
167. | Disclaimer?    Grad students don't need 'em!                     |
168. |__________________________________________________________________|
169.  
170. ------------------------------
171.  
172. Date:    Wed,  7 Jun 89 20:51 N
173. From:    ROB_NAUTA <RCSTRN@HEITUE5.BITNET>
174. Subject: virus desinfecting
175.  
176. I got nobrain.c, a program that removes a Brain virus from a diskette,
177. and antidote, which removes the pingpong virus from a disk. These
178. tools made me wonder, is there a program that recognises viruses for
179. the PC ? Mac antiviral programmes do, because everytime a new virus is
180. found the tools can't help and a new version comes out, extended to
181. recognise that one as well.  Is there a program that says 'this disk
182. (or COM or EXE file) is infected by ......' ?? I know FluShot+ warns
183. if you boot from a Lehigh-infected disk.  Furthermore, is there a
184. program that desinfects COM or EXE files that were infected by, say,
185. the 1701/1704, TSR virus etc ?? At the moment everybody says 'install
186. your software from your backups and start with a clean system' but
187. seeing how fast I can clear the Pingpong from a disk makes me
188. interested to find out if there are programs that restore program
189. files...  If those programs don't exist, I may start writing my own
190. tool for it, I will need some info then how I can recognise known
191. viruses and how I can reconstruct the file (delete the first 1701 or
192. 1704 bytes seems logical in that case, but is it correct, and what
193. about the others??)  I hope someone can help me, thanks in advance
194.  
195. Rob J. Nauta   -   Fidelio Software
196.  
197. ------------------------------
198.  
199. End of VIRUS-L Digest
200. *********************
201.  
202.  
203.  
204. Downloaded From P-80 International Information Systems 304-744-2253
205.