home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.147

< prev

next >

Wrap

Text File  |  1995-01-03  |  7KB  |  161 lines

---

1. VIRUS-L Digest   Monday,  3 Jul 1989    Volume 2 : Issue 147
2.  
3. Today's Topics:
4. new network-virus group?
5. nVIR and Appletalk (Mac)
6. VACATION Virus Reported on INFO-VAX List (VAX/VMS)
7. Update on boot virus in Germany (PC)
8. Re: New Virus - Fu Manchu?
9.  
10. ----------------------------------------------------------------------
11.  
12. Date:    Fri, 30 Jun 89 12:55:48 -0500
13. From:    "Jeffery K. Bacon" <BACON@MTUS5.BITNET>
14. Subject: new network-virus group?
15.  
16.      A little while ago, there was some hashing about the overly
17. pcoriented direction of this list or something like that. (Forgive me,
18. I had 4+ week's worth of mail to catch up on in the past 1-1/2 wks,
19. and it's been a while since I read the virus-l notebook - which was
20. sizeable. So...)
21.  
22.      Anyway. I don't mean to hash on the pc virus gurus and the pc virus
23. problems - I will definitely agree, they are very serious, and need much
24. attention. In fact, I will say right here and now that THIS netgroup, in
25. my wide and varied experience, is one of THE most productive and useful
26. groups I have EVER seen ANYWHERE in netland. (Please note that when I say
27. 'PC', I mean 'personal computer' in general, not IBM-PC&clones.) This of
28. course needs to continue.
29.  
30.      My thought here is that the group has kind of shifted directions
31. towards the PC environment. But the networking environment and the issues
32. surrounding it are very different. There are of course no major network
33. virus dangers right now, but network security and finding loopholes is
34. always a major concern. Is there a place for another list concerning
35. viruses in the network and PC-NFS/LAN environment?
36.  
37.      I remain kind of neutral on the issue, I just bring it up here for
38. thought. There might be some overlap with VIRUS-L as it is, or perhaps
39. with the SECURITY list, that might want to be considered. But I personally
40. know that most of what passes thru VIRUS-L nowadays is of little interest
41. to me because I rarely if ever work with pc's. I imagine there are others
42. who are like me here too.
43.  
44.      Whaddya think? Instead of discussing it here, it might be better to
45. perhaps have the comments sent to me (bacon@mtus5.bitnet) and I'll
46. compile them. I'll leave that to Ken to decide.
47.  
48. [Ed. Thanks for offering to compile the "votes", Jeff - I hope you're
49. prepared for some more mail to wade through!  :-) I've received lots
50. of requests for, among other things, a Mac-only and a PC-only list.
51. If the readers feel that it is time to split the already heavy traffic
52. into separate groups, then it would seem (to me) to make sense to have
53. a Net-only group.  I also think that if such a split is desired, then
54. we'd have to find a moderator/digestifier for each group, since I
55. don't think that I'll have enough time to handle all three (or however
56. many) groups.  So, be careful what you ask for, you just may get it.
57. Feedback, both positive and negative, is appreciated.]
58.  
59. Jeffery Bacon
60. Academic Computing Svcs, Michigan Technological University
61. bitnet: <bacon@mtus5>  uucp: <backbone>!rutgers!umix!anet!bacos
62.  
63. ------------------------------
64.  
65. Date:    06 (null) 89 09:06:28 +0000
66. From:    E. C. Greer <RS0XEG@ROHVM1.BITNET>
67. Subject: nVIR and Appletalk (Mac)
68.  
69. We've found a few MAC's here with nVIR (both A and B), and we're
70. having some success in dealing with the infections using SAM. So far
71. the affected machines appear to be isolated cases, but I'm concerned
72. becaues most of our 100+ MAC's are networked with Appletalk. Can
73. anyone tell me whether nVIR can be spread over Appletalk? If so, under
74. what conditions is it spread, and what countermeasures can I take?
75.  
76. ------------------------------
77.  
78. Date:    Fri, 30 Jun 89 13:43:00 -0500
79. From:    "Brian D. McMahon" <BRIAN@UC780>
80. Subject: VACATION Virus Reported on INFO-VAX List (VAX/VMS)
81.  
82. The following recently appeared on INFO-VAX; I have no further information.
83. Can anyone confirm/deny/elaborate?
84.  
85. >Date: 26 JUN 89 22:05:24.55-GMT
86. >From: INFOVAX@FRIPN51.BITNET
87. >To: INFO-VAX@KL.SRI.COM
88. >Subject: RE:       automatic mail answering service : WARNING, MAY BE VIRUS
89. >
90. >TAKE CARE: the program VACATION (distributed on a mailing list) is a
91. >potential VIRUS for ALL the people registered on this list if used
92. >with no modifications. It will reply to the list, so to itself...and
93. >so on... And you will be on vacation, so you will not stop it quickly.
94. >Suppose just a few people of INFO-VAX use this program, and imagine
95. >the disaster, because it will also reply to all the mailing send by
96. >all the runing copy of this monstrosity.
97. >Surely it was not the will of the author of VACATION, but this
98. >program IS A VIRUS !
99. >
100. >Bernard PERROT
101. >Institut de Physique Nucleaire
102. >Orsay - France -
103.  
104. [Ed. It appears to me to be more a case of an infinite mail loop than
105. anything that could be called a virus.  I frequently get messages on
106. VIRUS-L/comp.virus which are sent from a VACATION program (VMS or
107. Unix).  Since VIRUS-L is moderated, however, I merely delete the
108. message.  If the message goes out to the list, and the VACATION
109. program replies, you have an endless cycle.  Use any VACATION program
110. very cautiously.]
111.  
112. ------------------------------
113.  
114. Date:    30 Jun 89 00:00:00 +0000
115. From:    Christoph Fischer <RY15@DKAUNI11.BITNET>
116. Subject: Update on boot virus in Germany (PC)
117.  
118. CONTINOUS BOOT VIRUS UPDATE
119.   Finally we received a copy of the virus that appeared at two places
120. in West-Germany.
121. 1. Both Viruses are identical
122. 2. It infects COM files
123. 3. It is a direct virus (no TSR)
124. 4. Its size is 648 bytes (like the DOS62 virus) (the first value we
125.    announced was 50bytes the value phoned to us by the panicing owner
126.    of the infected PC. We assumed part of the virus hiding out in
127.    uninitialized DATA sections.
128. 5. It continuosly boots over and over again
129. 6. It overwrites the first 5 bytes with a JMP (3 Bytes) and
130.    byte 4 with BAh and byte 5 with B8h.
131. 7. The JMP points to the beginning of the virus wich starts with
132. PUSH CX  MOV DX,<comfilesize+648)
133.  
134. Maybe someone has encountered this apperently hacked version of
135. DOS62.
136. We'll present more after diassembly of the virus.
137. Have a nice weekend
138.        Chris
139. *****************************************************************
140. * Torsten Boerstler and Christoph Fischer                       *
141. * Micro-BIT Virus Team / University of Karlsruhe / West-Germany *
142. * D-7500 Karlsruhe 1, Zirkel 2, Tel.: (0)721-608-4041 or 2067   *
143. * E-Mail: RY15 at DKAUNI11.BITNET or RY12 at DKAUNI11.BITNET    *
144. *****************************************************************
145.  
146. ------------------------------
147.  
148. Date:    Sat, 01 Jul 89 18:22:56 -0400
149. From:    "Russell K. Davis" <rdavis@AI.MIT.EDU>
150. Subject: Re: New Virus - Fu Manchu?
151.  
152. This virus was found by Joe Hurst in the united Kingdom and he shoukld
153. have finished disassembling it by now (but I have not spoken to him
154. for a while)
155.  
156. ------------------------------
157.  
158. End of VIRUS-L Digest
159. *********************
160. Downloaded From P-80 International Information Systems 304-744-2253
161.