home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.144

< prev

next >

Wrap

Text File  |  1995-01-03  |  14KB  |  331 lines

---

1. VIRUS-L Digest               Thursday, 29 Jun 1989          Volume 2 : Issue 144
2.  
3.  
4. Today's Topics:
5. Random comments (Mac)
6. Re: Virus Identification Software
7. VIRUS ALERT: New Virus? (PC)
8. The "Mistake" Virus (PC)
9. RE: Mac Archives - correction
10. RE: questions re: HomeBase
11. virus detection program (PC)
12. NEW VIRUS?? (PC?)
13. 2 remarks
14. File: "VIRUS-L MAIL" being sent to you
15. virus bulletin newsletter
16.  
17. --------------------------------------------------------------------------------
18.  
19.  
20. Date:         Wed, 28 Jun 89 11:10:30 EDT
21. From:         Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
22. Subject:      Random comments (Mac)
23.  
24.  <ACSAZ@SEMASSU.BITNET> (Alex Z.) asks:
25. >Besides nVir and Scores, what other viruses are `out' for the Mac.  I
26. >am interested in their frequency of appearence and how they can be
27. >identified and dealt with.
28.  
29. The current count is 9. Scores, nVIR (two strains and three clones -
30. MEV#, Hpat, and AIDS), INIT 29, Peace, and ANTI. Get a copy of my
31. virus doc stack from the LISTSERV at SCFVM; if you need help in doing
32. that, drop me some E-mail.
33.  
34.  Kenneth R. van Wyk <krvw@SEI.CMU.EDU> quotes Fred Cohen:
35. >                                             ... "On the very widely
36. >used Compuserve network, a virus was apparently planted to infect the
37. >initialization files of the Apple MacIntosh.  This virus was designed
38. >to put an advertisement on the screen on a particular date and then
39. >delete itself.  It was noticed by a programmer browsing through his
40. >system initialization files and was traced to a company that had added
41. >a program to the Compuserve library.  The perpetrator was barred from
42. >Compuserve 'forever'.  Compuserve has countered by providing a public
43. >domain program that constantly runs in the background checking for
44. >modifications to system initialization files and asks the user if
45. >these are desired...."
46.  
47. The virus portion is correct; it refers to the "Peace" virus. It was
48. distributed in a Trojan HyperCard stack. The anti-viral in question
49. is Vaccine, distributed by CE Software, *not* CompuServe. CIS did not
50. sponsor the development or distribution of this program; it was done
51. solely in a spirit of public service by Don Brown at CE Software.
52.  
53.   --- Joe M.
54.  
55. ------------------------------
56.  
57. Date: Wed, 28 Jun 89 10:44:18 PDT
58. From: rogers@marlin.nosc.mil (Rollo D. Rogers)
59. Subject: Re: Virus Identification Software
60.  
61. Sounds Good.
62.  
63. Do they plan to make this software available to host sites on the Internet
64. such as SIMTEL20?
65.  
66.   REgards, RollO Rogers, COMPUSEC SPEC, NOSC S D
67.  
68. ------------------------------
69.  
70. Date:         Wed, 28 Jun 89 19:31:46 MEZ
71. Sender: Virus Alert List <VALERT-L@ibm1.cc.lehigh.edu>
72. From: Christoph Fischer <RY15@DKAUNI11.BITNET>
73. Subject: VIRUS ALERT: New Virus? (PC)
74.  
75. We were called for assistance in two virus cases today. Both seem to be
76. caused by the same virus.
77. Symptoms:
78.      COM Files grow by 50 Bytes
79.      Upon reboot the system will keep booting over and over again (till power
80. off)
81. Both incidents were not at our location so we will have to wait until paper
82. mail will get them through to us for further tests.
83. Sites of appearance:
84.    Rosenheim West-Germany (Bavaria)
85.    Ettlingen West-Germany (Baden)
86.  
87. *****************************************************************
88. * Torsten Boerstler and Christoph Fischer                       *
89. * Micro-BIT Virus Team / University of Karlsruhe / West-Germany *
90. * D-7500 Karlsruhe 1, Zirkel 2, Tel.: (0)721-608-4041 or 2067   *
91. * E-Mail: RY15 at DKAUNI11.BITNET or RY12 at DKAUNI11.BITNET    *
92. *****************************************************************
93.  
94. ------------------------------
95.  
96. Date:        Wed,  28 Jun 89 15:36:31 +0300
97. From:        Y. Radai <RADAI1@HBUNOS.BITNET>
98. Subject:     The "Mistake" Virus (PC)
99.  
100.   As some of you may already have read in the press, a new PC virus,
101. the "Mistake" virus, has been reported in Israel.  As I have already
102. been getting inquiries about it, I thought I might as well publish
103. what I know, even though I haven't yet seen it, so that what I report
104. here is second-hand info.
105.   Its main symptom is that certain characters in printouts are re-
106. placed by others.  In the case of letters, the replacement is always
107. by another letter which is pronounced similarly, e.g. K by C.  The
108. same thing happens with Hebrew letters (which on Israeli computers
109. replace the foreign letters at Ascii 128-154), making it almost
110. certain that the virus was authored by an Israeli.  Digits are also
111. replaced.  The virus has been reported in banks in Tel Aviv and at the
112. Univ. of Tel Aviv.  According to a newspaper report, the virus even
113. caused the Hebrew equivalent of the following sentence to be printed:
114. "4 times 4 equals 16, more or less" (there was no indication of what
115. the undistorted original was).  (Note: Replacements do not appear on
116. the screen or in files, only in printouts.)
117.   So much for the symptoms.  As to the mechanism, it's said to be a
118. boot-sector virus installing itself in 2K at the upper end of RAM.
119. It may be a mutation of the Ping-Pong (Italian) virus.  In any case it
120. has been removed by a program designed to remove the P-P virus.  As
121. with other boot-sector viruses, it could presumably be wiped out also
122. by performing SYS on the infected disk (immediately after a cold boot
123. from a clean DOS diskette).
124.  
125.                                            Y. Radai
126.                                            Hebrew Univ. of Jerusalem
127.  
128. ------------------------------
129.  
130. Date: Wed, 28 Jun 89 11:30 MST
131. From: GORDON_A@CUBLDR.Colorado.EDU
132. Subject: RE: Mac Archives - correction
133.  
134. <wsmr-simtel20.army.mil
135. <       Robert Thum rthum@wsmr-simtel20.army.mil
136. <       Access is through anonymous ftp, IP number 26.0.0.74.
137. <       Archives can be found in PD3:<MACINTOSH.VIRUS>.
138. <       Please get the file 00README.TXT and review it offline.
139.  
140. <Jim Wright
141. <jwright@atanasoff.cs.iastate.edu
142.  
143. I believe the IP number should be 26.2.0.74.
144.  
145. Allen Gordon
146.  
147. ------------------------------
148.  
149. Date: Wed, 28 Jun 89 16:02 CDT
150. From: "Roger Safian, VAX Systems Group" <ROGER@nuacc.acns.nwu.edu>
151. Subject: RE: questions re: HomeBase
152.  
153. >  It's shareware and available on the HomeBase BBS - 408 988 4004.
154.  
155. This is my first time replying to the list, so be gentle with me :-)
156. Does the HomeBase BBS have a FidoNet node number, and if so does it
157. accept file requests?  Also, if you are giving info on a BBS, please
158. include the FidoNet node number if it has one.  Thanks in advance.
159.  
160.                                          Roger Safian
161.  
162. ------------------------------
163.  
164. Date:     Wed, 28 Jun 89 23:23 N
165. From:     "Rob J. Nauta" <RCSTRN@HEITUE5.BITNET>
166. Subject:  virus detection program (PC)
167.  
168. I just read the message by Alan J. Roberts about a program that scans
169. a disk for the 53 known viruses. He also states that it is available
170. from the homebase BBS, which i unfortunately cannot call from here -
171. too expensive!  The adress he gave
172. (portal!cup.portal.com!Alan_J_Roberts@sun.COM) is too nonstandard for
173. my mailer, even gMAIL won't send my message, that's why i would like
174. to ask if anyone would be so kind to send me this program. It sounds
175. like the thing I was asking for in an issue of this digest a few weeks
176. back. I would be very grateful.
177.  
178. Also adding it to the listserv files or sending it to simtel-20 to be
179. added to <msdos.trojan.pro> sounds like the thing to do beause i think
180. a lot of people would be interested in this great program..
181.  
182. With thanks in advance, Rob J. Nauta.
183. rcstrn@heitue51.bitnet
184.  
185. ------------------------------
186.  
187. Date: 29 Jun 89 07:53:00 GMT-15:00
188. From: "DSC T. DEJANE" <motu_7a@wmms-srf-yoko.arpa>
189. Subject: NEW VIRUS?? (PC?)
190.  
191. The follow was recieved over the IBMPC-L list.
192.  ------------------------------
193.  
194. Date: Tue, 13 Jun 89 17:39:41 EDT
195. From: ejs@goldhill.com (Eric Swenson)
196. Subject: Virus? Help!
197.  
198. My wife's office has gotten the following messages printed out on their
199. networked laserprinter.  She doesn't know which workstation on the Novell
200. network originated the printouts and no banners on printed documents are
201. used, so it is hard to track down.  In any case, the output included:
202.  
203.                       THE COPY BANDITO
204.               SAYS YOUR SYSTEM HAS BEEN INVADED BY
205.    STRANGE BEINGS WHO SEEK TO DISRUPT THE NORMAL LIFE ESSENSE
206.               PURVEYING YOUR PLACE OF WORSHIP.
207.                WHAT IS IT THAT YOU PRAY TO?
208.                 IS ANYONE SMART ENOUGH?
209.  
210.  
211.                         TIMES UP!
212.                    !!!!!!!!!!!!!!!!!!!
213.                !!!!!!!!!!!!!!!!!!!!!!!!!!!
214.  
215.                        BOW DOWN
216.  
217.               NO ONW [sic] HAS THE BRAINS
218.  
219. Has anyone seen this before?  Does anyone have an suggestions as to how to
220. track down which program contains this virus (if it is a virus)?
221.  
222. Thanks.  -- Eric
223.  
224. ------------------------------
225.  
226. Date:     Wed, 28 Jun 89 20:37 EST
227. From:     Dimitri Vulis <DLV@CUNYVMS1.BITNET>
228. Subject:  2 remarks
229.  
230. 1. The English language has certain traditional ways of naming groups
231. of animals, e.g., a goggle of goblins, a school of fish, a pack of
232. wolves, etc.  Since both `virus' and `Trojan horse' have some kind of
233. animal overtones, I wonder what other people (preferably English
234. majors) think is a good way to name a group of those beasts.
235. Definitely not `diskful'---a disk is likely to be anything but full
236. after a visitation. A test-tube of viruses? A can of worms?  A pack of
237. Trojan horses? `This BBS offers a horde of Trojan Horses for
238. downloading.' Please reply directly to me, and I'll summarize in the
239. newsgroup.
240.  
241. 2. Ross Greenberg is alleged to have written in Byte, June '89, page 275:
242.  
243.          >In the DOS environment, viruses use JMPs or other system files
244.          >to ply their trade.
245.  
246. I know that Ross knows that JMP is an instruction, not a system file.
247. Moral: check your proofs, or (c)Brain will infect every NOP in your system.
248.  
249. Dimitri Vulis
250. Department of Mathematics
251. CUNY GC
252.  
253. ------------------------------
254.  
255. Received: from IBM1.CC.Lehigh.Edu by spot.CC.Lehigh.EDU (5.59++/1.14)
256.         id AA13214; Thu, 29 Jun 89 04:20:55 EDT
257. Message-Id: <8906290820.AA13214@spot.CC.Lehigh.EDU>
258. Received: from LEHIIBM1.BITNET by IBM1.CC.Lehigh.Edu (IBM VM SMTP R1.2) with
259.  BSMTP id 6824; Thu, 29 Jun 89 04:21:55 EDT
260. Received: by LEHIIBM1 (Mailer R2.03A) id 8899; Thu, 29 Jun 89 04:21:51 EDT
261. Date:         Thu, 29 Jun 89 04:21:50 EDT
262. From: Revised List Processor (1.6a) <LISTSERV@IBM1.CC.Lehigh.Edu>
263. Subject:      File: "VIRUS-L MAIL" being sent to you
264. To: VIRUS-L@spot.CC.Lehigh.EDU
265.  
266. Received: from UKACRL.BITNET by  (Mailer R2.03A) with BSMTP id 8897; Thu, 29
267.  Jun 89 04:20:13 EDT
268. Received: from RL.IB by UKACRL.BITNET (Mailer X1.25) with BSMTP id 9541; Thu,
269.  29 Jun 89 09:15:20 BST
270. Received: from RL.IB by UK.AC.RL.IB (Mailer X1.25) with BSMTP id 3165; Thu, 29
271.           Jun 89 09:15:20 BS
272. Via:      UK.AC.TP.PA; 29 JUN 89  9:15:17 BST
273. Date:     Thu, 29 Jun 89 09:16:26 BST
274. From:     LBA002@PRIME-A.TEES-POLY.AC.UK
275. To:       virus-l@LEHIIBM1
276. Subject:  gatekeeper/vaccine on old macs
277.  
278.  
279. > PS I've discovered that GateKeeper won't work on our ancient 128/512k
280. > Macs to stop reinfection with the dose of nVirB we have going around.
281. > Am I right?  If I am any helpful suggestions?
282.  
283. You're probably right.  The oldest versions of the System do not scan
284. the System folder for INIT (Startup), RDEV (Chooser), and cdev (Control
285. Panel) files;  INIT resources contained in these files will not be
286. executed.  GateKeeper and Vaccine are both cdev files.
287.  
288. You _might_ be able to install a hacked-up copy of Vaccine into the
289. System file on your startup disk(s).  You'd need to configure Vaccine
290. on a more-modern machine... probably "protection on, expert display,
291. don't compile MPW INITs, don't show icon at startup".  Then, use
292. ResEdit to copy the INIT and FKDT resources from the configured copy of
293. Vaccine, and paste them into the System file on your startup floppy.
294. You could also try configuring the copy of Vaccine to display its icon
295. at startup time;  you'd then need to copy the ICN# resource from the
296. Vaccine file and add it to the System.
297.  
298. I haven't tried this and can't assure you that it would work... but it's
299. probably worth a try.  Do it on _copies_ of Vaccine and of your startup
300. floppy, of course!  Best of luck!
301.  
302. Dave,
303. Thanks for the above. I tried it and although all the copying and pasting
304. via ResEdit worked OK, no joy when I booted up with the new system. The
305. Vaccine icon didn't appear and re-infection occurred when I used an infected
306. disk on the machine. I have an application called "Immunity" which is supposed
307. to protect the System file from re-infection by inserting nVir=10 code into
308. the resource fork of the sytem file. It doesn't seem to insert it into other
309. files that could be infected eg. Finder, MacWrite, MacPaint etc. Could I use
310. ResEdit to copy the nVir=10 code and paste it into the other files/
311. applications? Rgds, Iain Noble
312.  
313. ------------------------------
314.  
315. Date:     Thu, 29 Jun 89 09:19:46 BST
316. From:     LBA002@PRIME-A.TEES-POLY.AC.UK
317. Subject:  virus bulletin newsletter
318.  
319. Somebody was asking about a new monthly newsletter I mentioned called
320. "Virus Bulletin."
321. All I've got in the way of more information is a price 195 pounds, and
322. a UK telphone number 0844 290396
323. Rgds,
324. Iain Noble
325.  
326. ------------------------------
327.  
328. End of VIRUS-L Digest
329. *********************
330. Downloaded From P-80 International Information Systems 304-744-2253
331.