home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.148 < prev    next >
Text File  |  1995-01-03  |  8KB  |  188 lines
  1. VIRUS-L Digest   Monday,  3 Jul 1989    Volume 2 : Issue 148
  2.  
  3. Today's Topics:
  4. Re: Request for info on viruses (PC)
  5. joe mcmahon - ancient macs
  6. Re: Request for info on viruses (PC)
  7. Trojan horse on CompuServe
  8. ERIC NEWHOUSE where are you?
  9. Re: CMS viruses (IBM CMS)
  10. more on West German boot virus
  11.  
  12. ----------------------------------------------------------------------
  13.  
  14. Date:    03 Jul 89 14:42:09 +0000
  15. From:    dinda@cat51.cs.wisc.edu (Peter Dinda)
  16. Subject: Re: Request for info on viruses (PC)
  17.  
  18. (c)Brain also seems to randomly mark sectors bad - whether there is
  19. anything in them or not.  At UW-Madison's Academic Computing Center
  20. (MACC), we've also noticed that a new version of the virus is making
  21. its way into our labs - one that does not leave the (c)Brain warning
  22. and thus, can not be detected by our NOBRAIN program.  Has anyone seen
  23. a detector that works by finding 'unique' code in the boot record?
  24.  
  25. Peter A. Dinda
  26. (also dinda@WIRCS3.macc.wisc.edu)
  27.  
  28.  
  29. ------------------------------
  30.  
  31. Date:    Mon, 03 Jul 89 15:37:38 -0000
  32. From:    LBA002@PRIME-A.TEES-POLY.AC.UK
  33. Subject: joe mcmahon - ancient macs
  34.  
  35. Dear Joe,
  36. We are using System 3.2, Finder 5.3 (you see we really do have antiques!)
  37. I think this is because of having to use version 3.1 of the laserwriter
  38. to drive an equally ancient laserwriter. The machines have actually been
  39. upgraded to 800k RAM and it maybe that they can run on a more modern version
  40. of the system which will handle Vaccine etc. Any help welcome.
  41. Rgds,
  42. Iain Noble
  43.  
  44. ------------------------------
  45.  
  46. Date:    Mon, 03 Jul 89 12:37:56 -0400
  47. From:    ugcantie@cs.Buffalo.EDU (Bruce Cantie)
  48. Subject: Re: Request for info on viruses (PC)
  49.  
  50.     We have had the same (c) Brain running around UB for some time now,
  51. but have managed to kill it off. We Have the source code (written in C) for
  52. NOBRAIN, which will remove the bad sectors, and volume. We had picked up
  53. the cure from another University, and put it in all of our micro sites.
  54.  
  55. Bruce Cantie --- ugcantie@sybil.cc.buffalo.edu
  56.  
  57.  
  58. ------------------------------
  59.  
  60. Date:    Mon, 03 Jul 89 09:18:38 -0700
  61. From:    Steve Clancy <SLCLANCY@UCI.BITNET>
  62. Subject: Trojan horse on CompuServe
  63.  
  64. I posted this message on the CompuServe Information Service today, and
  65. thought I would share it with the other members of Virus-L.  The text
  66. of the message follows:
  67. .
  68. "I recently downloaded a file from library #2 of the SCIFI forum.
  69. The file, called STARS3.EXE is a trojan horse.  It has been
  70. mentioned for at least a couple of years in a listing of known
  71. trojan horses and viruses called "The Dirty Dozen."  The
  72. description (from DIRTY DOZEN VER. 8B) is included below:
  73. *
  74. *
  75. STAR.EXE        3072  T   Beware RBBS-PC SysOps!  This file puts
  76.                          some stars on the screen while copying
  77.                          RBBS-PC.DEF to another name that can be
  78.                          downloaded later!
  79. *
  80. After downloading this file, I checked it carefully using a
  81. program called CHK4BOMB.EXE which, among other things, dumps the
  82. program listing to the screen so that any ASCII threats, taunts,
  83. etc. can be seen.  I found the strings "RBBS-PC DEF" and
  84. "RBBS-PC" in this program.
  85. *
  86. Now the security present in current versions of RBBS does not allow
  87. any file with the extension "DEF" to be downloaded by users.  In
  88. addition, running this program DID NOT copy my RBBS-PC.EXE file
  89. to RBBS-PC.DEF as explained above, however, there may be some
  90. timing feature that I am not aware of.
  91. *
  92. In any event, I would highly suggest that you remove this file as
  93. soon as possible!  It is potentially a dangerous file that is
  94. designed (though not very well!) to compromise the security of
  95. anyone who runs the RBBS-PC bulletin board software.
  96. *
  97. Please don't hesitate to contact me if you have any further
  98. questions.
  99. *
  100. Steve Clancy
  101. 714-856-7309, 71066,416"
  102. .
  103. .
  104. %   Steve Clancy, Biomedical Library  %  WELLSPRING RBBS            %
  105. %   P.O. Box 19556                    %  714-856-7996 300-9600      %
  106. %   University of California, Irvine  %  714-856-5087 300-1200      %
  107. %   Irvine, CA  92713                 %                             %
  108. %   SLCLANCY@UCI                      %  "Are we having fun yet?"   %
  109.  
  110.  
  111.  
  112.  
  113. ------------------------------
  114.  
  115. Date:    Mon, 03 Jul 89 09:57:46 -0700
  116. From:    Steve Clancy <SLCLANCY@UCI.BITNET>
  117. Subject: ERIC NEWHOUSE where are you?
  118.  
  119. Well, it seems that Eric Newhouse, author of the famous "Dirty Dozen"
  120. has dropped out of sight again.  I recently attempted to call his
  121. bulletin board system, but found that it was no longer his BBS.  The
  122. Dirty Dozen is a great list of known trojan horse for the PC, and I
  123. would like to keep getting the updates.  If anyone knows what his new
  124. number is, please let me know.
  125.  
  126. Thanks.
  127.  
  128. %   Steve Clancy, Biomedical Library  %  WELLSPRING RBBS            %
  129. %   P.O. Box 19556                    %  714-856-7996 300-9600      %
  130. %   University of California, Irvine  %  714-856-5087 300-1200      %
  131. %   Irvine, CA  92713                 %                             %
  132. %   SLCLANCY@UCI                      %  "Are we having fun yet?"   %
  133.  
  134.  
  135. ------------------------------
  136.  
  137. Date:    Mon, 03 Jul 89 13:08:54 -0400
  138. From:    Ed Nilges <EGNILGES@PUCC.BITNET>
  139. Subject: Re: CMS viruses (IBM CMS)
  140.  
  141. >>in Communications Monitoring System (CMS) version 4 for IBM's MVS
  142. >>operating system where a dangerous virus could be introduced by simply
  143. >>programming 16 lines of code.
  144.  
  145. That's Conversational Monitor System (formerly Cambridge Monitor System),
  146. and it is independent of, not "for", MVS.  To my knowledge, ALL viruses
  147. on this system require some human action (to pull files in from the
  148. "virtual reader" user input queue).  Although certain idiotic viruses
  149. (the CHRISTMA virus being the most notable) have affected CMS, it is
  150. not as subject to damage as is unix, where files are transmitted
  151. directly to the user's file space, rather than an independent queue.
  152.  
  153. ------------------------------
  154.  
  155. Date:    03 Jul 89 00:00:00 +0000
  156. From:    Christoph Fischer <RY15@DKAUNI11.BITNET>
  157. Subject: more on West German boot virus
  158.  
  159. DURING THE WEEKEND WE DISASSEMBLED THE VIRUS AND SOLVED THE
  160. MYSTERY ABOUT THE CONTINOUS BOOTING:
  161. AT BOTH LOCATIONS WE WERE CALLED TO, THE VIRUS HAD PATCHED
  162. A JUMP TO THE BIOS WARMBOOT ROUTINE IN TO THE COMMAND.COM
  163. WHICH WILL YIELD AN ENDLES BOOTING PROCESS SINCE WHEN THE SYSTEM
  164. COMES UP THE FIRST THING IT DOES IS STARTING COMMAND.COM.
  165. THE VIRUS PATCHES ITSELF INTO A PROGRAM IF ANY OF THE LOWORDER BITS
  166. OF SYSTEM TIME (SECONDS) ARE NON ZERO. IF ALL ARE ZERO IT PATCHES THIS
  167. FAR JUMP TO THE BIOS INTO THE PROGRAM. SO OUR CASE HAPPENS ONLY IN
  168. ONE OUT OF EIGHT CASES. FOR TWO LOCATIONS THIS MAKES 1 IN 64 CASES. :-)
  169. THE CODE OF THE VIRUS SEEMS TO BE IDENTICAL TO WHAT IS DESCRIBED AS
  170. DOS62 OR VIENNA SINCE WE DO NOT HAVE EITHER OF THE ORIGINAL VIRUSES
  171. WE CANNOT TELL FOR SURE WHETHER IT IS AN ORIGINAL OR A MUTANT.
  172. ANYHOW THE CODE SEEMS TO BE SOMEWHAT ARKWARD IN SOME PLACES,
  173. WHICH COULD BE A SIGN FOR A PATCHED VERSION.
  174. BYE
  175.        CHRIS & TOBI
  176. *****************************************************************
  177. * Torsten Boerstler and Christoph Fiscier                       *
  178. * Micro-BIT Virus Team / University of Karlsruhe / West-Germany *
  179. * D-7500 Karlsruhe 1, Zirkel 2, Tel.: (0)721-608-4041 or 2067   *
  180. * E-Mail: RY15 at DKAUNI11.BITNET or RY12 at DKAUNI11.BITNET    *
  181. *****************************************************************
  182.  
  183. ------------------------------
  184.  
  185. End of VIRUS-L Digest
  186. *********************
  187. Downloaded From P-80 International Information Systems 304-744-2253
  188.