home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.149

< prev

next >

Wrap

Text File  |  1995-01-03  |  20KB  |  467 lines

---

1. VIRUS-L Digest   Wednesday, 12 Jul 1989    Volume 2 : Issue 149
2.  
3. Today's Topics:
4. VIRUS-L has been down, sorry
5. VIRUSCAN Availability (PC)
6. Re: nVIR and AppleTalk (Mac)
7. Re: ancient macs
8. Re: Other Mac viruses
9. VIRUSCAN.ARC (PC)
10. vaccine & ancient macs
11. Virus Plea #2
12. Re: Anyone heard of this new virus ?? (PC? No system given)
13. Re:nVIR and Appletalk (Mac)
14. Re: Request for info on viruses (PC)
15. viruscan placed on system for anonymous FTP access
16. Another strain of Lamer Exterminator on amiga.
17. RE: VACATION Virus Reported on INFO-VAX List (VAX/VMS)
18. Loren Keim and Proceedings
19.  
20. ----------------------------------------------------------------------
21.  
22. Date:    Wed, 12 Jul 89 14:00:00
23. From:    krvw@SEI.CMU.EDU
24. Subject: VIRUS-L has been down, sorry
25.  
26. Sorry for the downtime, folks, but we experienced a water main
27. breakage here last week which knocked out our air conditioning (hence,
28. our computers) until today.  Hopefully things will slowly return to
29. normal around here now.
30.  
31. Ken
32.  
33. ------------------------------
34.  
35. Date:    Mon, 03 Jul 89 18:20:06 -0700
36. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
37. Subject: VIRUSCAN Availability (PC)
38.  
39. Hi everyone.  I posted a note last week about the availability of
40. VIRUSCAN on HomeBase and we have been literally swamped ever since
41. with requests for information and downloads.  Unfortunately, HomeBase
42. is a small-town country-atmosphere BBS with a single data line and we
43. cannot support the volume of requests that we've had.  Also, I am a
44. nyophyte at using Usenet and Unix and cannot navigate well enough to
45. even upload or download data.  If there is some kind and generous user
46. of Virus-L that could get a copy off of HomeBase and somehow make it
47. available through SIMTEL (whatever that is) or some other medium, we
48. would be eternally grateful.  As for the rest of you, I would like to
49. ask that you not call HomeBase for the file, but have patience and
50. wait for it to be made available some other way.  Thanks, and the
51. regular users of HomeBase (who are currently up in arms 'cause they
52. can't get on) thank you too.  Alan Roberts
53.  
54. HomeBase - 408 988 4004
55.  
56. ------------------------------
57.  
58. Date:    Tue, 04 Jul 89 15:36:00 -0400
59. From:    "Mark H. Anbinder" <THCY@VAX5.CCS.CORNELL.EDU>
60. Subject: Re: nVIR and AppleTalk (Mac)
61.  
62. Any Macintosh virus that spreads when an infected program is executed
63. can be spread over AppleTalk networks, IF you are using file sharing
64. or file server software such as AppleShare or TOPS.  If you execute a
65. program on a remote computer that happens to be infected, the System
66. software on your local computer can be infected.  From there, you will
67. infect any other program you use.
68.  
69. nVIR is particularly effective at spreading from program to program in
70. this way, so be sure that any shared software, or anything on a shared
71. file server volume, is clean.
72.  
73. As evidence: my hard drive was heavily infected with nVIR when someone
74. else on my network (I'm running TOPS) asked to try out the software on
75. my drive.  He executed a couple dozen programs... shortly after having
76. played an nVIR-infected game on his own computer.  The disk containing
77. the nVIR virus was never physically even NEAR my computer.
78.  
79. Mark H. Anbinder
80.  
81. ------------------------------
82.  
83. Date:    Tue, 04 Jul 89 15:41:00 -0400
84. From:    "Mark H. Anbinder" <THCY@VAX5.CCS.CORNELL.EDU>
85. Subject: Re: ancient macs
86.  
87. Chances are your computers were not just upgraded to 800K RAM; there is
88. no such configuration for any Macintosh.  The DISK DRIVES might now be
89. 800K disk drives (allowing you to use double-sided disks) rather than
90. 400K drives.  What matters for your purposes is whether you have 512K of
91. RAM or 1Mb.  Or, of course, 128K, if your Macs are REALLY ancient.  The
92. way to determine this is to boot your computers with any startup disk,
93. then, while in the desktop, choose About the Finder from the Apple menu.
94. There should be a notation in the resulting window telling you how much
95. memory your computer has.
96.  
97. Vaccine is fully compatible with any System whose Control Panel desk
98. accessory lets you choose between multiple Control Panel Devices (cdevs)
99. such as "General," "Monitors," "Mouse," etc.  The best way to determine
100. whether your computers can run such a version of the System software is
101. to try startup disks with various System/Finder combinations.  See your
102. dealer for assistance.
103.  
104. Mark H. Anbinder
105.  
106. ------------------------------
107.  
108. Date:    03 Jul 89 22:09:10 +0200
109. From:    <macman@ethz.uucp>
110. Subject: Re: Other Mac viruses
111.  
112. >From macman Mon Jul  3 22:09:02 MET 1989 remote from ethz
113. >Newsgroups: comp.virus
114. >Organization: ETH Zuerich, Switzerland
115.  
116. There are quite a few other viruses on the loose: Several new strains
117. of nVIR (named Hpat, AIDS, etc), with mainly the same infection code.
118. Some are more harmful, some are less. Then, INIT 29, which is extremely
119. virulent (active), but doesn't destroy anything. ANTI, which cannot be
120. detected by ResEdit or older virus detection programs. This one is
121. fairly widespread in Europe, but not much in the USA (the opposite
122. is with Scores). Prevention methods, besides fair computer hygiene
123. (i.e. being careful when swapping disks with someone else) i urgently
124. recommend the *regular* use of a virus detector such as Disinfectant
125. or VirusDetective (commercial products like sam or virex do the same
126. job, but cost). By regular, I mean on every new disk/program you
127. receive, even if it was a sealed original, *plus* once a week on your
128. hard disk.
129.  
130. - -- Danny Schwendener
131.    MASH Virus Group
132.  
133. +-----------------------------------------------------------------------+
134. | Mail    :  Danny Schwendener, ETH Macintosh Support                   |
135. |            Swiss Federal Institute of Technology, CH-8092 Zuerich     |
136. | Bitnet  :  macman@czheth5a      UUCP   :   {cernvax,mcvax}ethz!macman |
137. | Internet:  macman@ifi.ethz.ch   Voice  :   yodel three times          |
138. +-----------------------------------------------------------------------+
139.  
140.  
141.  
142. ------------------------------
143.  
144. Date:    Wed, 05 Jul 89 09:47:07 -0700
145. From:    rogers@marlin.nosc.mil (Rollo D. Rogers)
146. Subject: VIRUSCAN.ARC (PC)
147.  
148. hi, i recently downloaded the file above from SIMTEL20.
149.  
150. It contains a .EXE program called SCAN which i have run on
151. Z-248 hard disk PC several times so far.
152.  
153. When it completes the run it gives a message which sez the hard disk is
154. "clean" That none of the 19 viruses were found on the disk.
155.  
156. Does anyone know of a user that actually "found" any viruses when using
157. this SCAN.EXE program?
158.  
159.    REgards, RollO~~
160.  
161. ------------------------------
162.  
163. Date:    Thu, 06 Jul 89 10:18:27 -0000
164. From:    LBA002@PRIME-A.TEES-POLY.AC.UK
165. Subject: vaccine & ancient macs
166.  
167. Dear Joe,
168.  
169. Thanks for the latest message and your patient help. I've tried System 4.1
170. and Finder 6.0 on the Macs but I keep getting the "bomb" and ID=12. Methinks
171. the upgrade wasn't as total as I imagined?
172.  
173. However the cutting and pasting of vaccine as suggested seems to have
174. worked (at least the vaccine icon appears when I boot up.) I haven't
175. tested it with an infected disk yet. I'll let you know what happens.
176.  
177. Rgds,
178. Iain Noble
179.  
180. ------------------------------
181.  
182. Date:    Wed, 05 Jul 89 22:12:00 -0400
183. From:    "I've been sold....." <WLHADLEY@GMUVAX.BITNET>
184. Subject: Virus Plea #2
185.  
186. VIRUS-PLEA 2/4
187.  
188. Hello, my name is Bill Hadley.  I would like to ask a favor of the
189. readers of VIRUS-L.  I am doing research (which will hopefully become
190. a book) on computer viruses and computer security.  What I would like
191. you to do, is to write me a letter if you have ever had an experience
192. with a virus or trojan horse program.  What I would ask that you
193. include in your letter is:
194.  
195.                 Name of the Virus or Trojan Horse.
196.                 What computer and operating system does
197.                    this virus/trojan horse exist on.
198.                 What did the virus/trojan horse do.
199.                 How did you deal with it.
200.                 Where did this happen (ie. George Mason
201.                    University in Fairfax, Virginia...or
202.                    company name..whatever..).
203.                 What is your name (if you don't mind if I
204.                    put it in a section of names in the back
205.                    of my book).
206.  
207. If you would please answer these questions and send them directly to
208. me, WLHADLEY@GMUVAX.GMU.EDU (not VIRUS-L), I would greatly appreciate
209. it.  This will assist me on trying to track what viruses have spread
210. and how.  If you have had problems with more than one of these evil
211. programs, then answer these questions for each virus/trojan in your
212. letter (even the Internet Worm which struck last November).  If more
213. than one person writes me from one node with the same information,
214. that is okay...it will help me in the verification of virus reports.
215. Please only answer this message once.  I will try to post it once a
216. month for the next three or four months to try to catch new readers.
217. I realize that I will receive alot of mail, I have already tried to
218. make room for that.  I thank you in advance for your assistance.  I
219. will post to the list any thing I find of urgent importance to the
220. readers of VIRUS-L.
221.  
222. Again, thank you for your time.
223.  
224. Bill Hadley
225.  
226. WLHADLEY@GMUVAX.GMU.EDU
227. WLHADLEY@GMUVAX2.GMU.EDU
228.  
229. ------------------------------
230.  
231. Date:    06 Jul 89 14:46:17 +0000
232. From:    wasatch.utah.edu!c-msmith%ug.utah.edu@cs.utexas.edu (Matt Smith)
233. Subject: Re: Anyone heard of this new virus ?? (PC? No system given)
234.  
235. >Yesterday and today articles about a new virus appeared in an Israeli
236. >paper (Maariv).  It seems that the virus (some sort of a TSR maybe ?)
237. >is planting typos (i.e typing mistakes) when printing to the printer.
238.  
239. I've also heard of a virus that randomly scans the screen and looks
240. for 4 consecutive numbers in a row (like 1234), and then proceeds to
241. rearrange them in a different fashion.
242.  
243. That would certainly wreak havoc in a spreadsheet program.
244.  
245. Matt Smith
246.  
247. c-msmith@ug.utah.edu
248.  
249. ------------------------------
250.  
251. Date:    Wed, 05 Jul 89 09:41:33 -0400
252. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
253. Subject: Re: nVIR and AppleTalk (Mac)
254.  
255. E. C. Greer <RS0XEG@ROHVM1.BITNET> asks:
256. >Subject: nVIR and Appletalk (Mac)
257. >
258. >We've found a few MAC's here with nVIR (both A and B), and we're
259. >having some success in dealing with the infections using SAM. So far
260. >the affected machines appear to be isolated cases, but I'm concerned
261. >becaues most of our 100+ MAC's are networked with Appletalk. Can
262. >anyone tell me whether nVIR can be spread over Appletalk? If so, under
263. >what conditions is it spread, and what countermeasures can I take?
264.  
265. nVIR can transmit to a new machine in two ways:
266.    1) The user runs an infected program on the machine, which installs
267.       the virus in the System file. After the "incubation period", the
268.       infected System file begins to spread the virus to applications
269.       run on the machine.
270.    2) The user boots an infected System of his or her own and then runs
271.       applications which reside on the machine. This can infect appli-
272.       cations even if the "normal" folder on the machine contains a
273.       virus blocker like Vaccine.
274.  
275. If your AppleTalk network only is used for mail or access to
276. LaserWriters, you shouldn't have a problem. If you have AppleShare
277. servers, make sure the servers are protected. You may have to disinfect
278. the odd machine here and there, but the servers should be safe.
279.  
280.   --- Joe M.
281.  
282.  
283.  
284.  
285.  
286. ------------------------------
287.  
288. Date:    05 Jul 89 00:00:00 +0000
289. From:    MIROWSKI@FRECP12.BITNET
290. Subject: Re: Request for info on viruses (PC)
291.  
292. Responding to a "Request for info on viruses (PC)", Reynolds Cafferata says
293. "be sure to write a booting sector to boot disks and non-booting to non-
294. booting disks".
295. There is no need to care about this because all boot sectors are identical
296. for a given DOS version. FORMAT A:/S and FORMAT A: produce the same boot
297. sector. So you can write the same boot sector to all disks. You should only
298. verify that what you write to the disk is really a DOS sector and not a
299. sector produced by PCFormat or other software. Depending on whether you ask
300. for a booting or a non-booting disk, PCFormat will copy the DOS boot sector
301. or a sector of his own (that only displays a message without trying to search
302. for DOS files further on the disk) when you format one.
303. It's rarely necessary to care about the distinction between 360 Ko and
304. 1.2 Mo disks, because the information about the format is in the second
305. sector of the disk (the first FAT sector) and DOS will take this second
306. information in consideration. You will probably prefer to copy a 360 Ko
307. boot sector to a 360 Ko disk and a 1.2 Mo boot sector to a 1.2 disk.
308. The manipulation is very simple. You need only DEBUG :
309. You start DEBUG
310.      C:+> DEBUG
311. You put a non-infected, FORMAT formatted disk in A:, close the door and type
312.      -l 0 0 0 1
313. You replace it by the disk you want to desinfect and type
314.      -w 0 0 0 1
315. That's all | You can repeat the last line for all the disks you need.
316.  
317. When you replace the boot sector on a booting disk, you should do it with
318. a boot sector from the same DOS version. On a DOS disk you can also replace
319. the boot sector doing SYS on it. It doesn't work on non-bootable disks.
320.                 Adam MIROWSKI
321.  
322. ------------------------------
323.  
324. Date:    Thu, 06 Jul 89 09:14:00 -0400
325. From:    "Gerry Santoro - CAC-PSU 814-863-4356" <GMS%PSUVM.BITNET@VMA.CC.CMU.ED
326.           U>
327. Subject: viruscan placed on system for anonymous FTP access
328.  
329. I dialed into the Homebase system and downloaded a copy of VIRUSCAN.ARC.
330. I then placed it on my NeXT system to make it available for anonymous FTP.
331. The system name is is SNAFU.PSU.EDU and the file is in binary. Anyone
332. experiencing problems trying to get to it should send me mail at
333. GMS@PSUVM.PSU.EDU.
334.  
335. Since SNAFU is a test/development system I can't guarantee that it will
336. always be available.  I just wanted to facilitate getting this program
337. out to people.
338.  
339. - -----------------------------------------------------------------------------
340. gerry santoro, ph.d.                         *** STANDARD DISCLAIMER ***
341. center for academic computing              This  posting   is  intended  to
342. penn state university              |       represent  my personal opinions.
343. gms @ psuvm.psu.edu              -(*)-     It is not representative  of the
344. gms @ psuvm.bitnet                 |       thoughts or policies  of  anyone
345. ..!psuvax1!psuvm.bitnet!gms               else here or of the organization.
346. - -----------------------------------------------------------------------------
347.  
348. ------------------------------
349.  
350. Date:    10 Jul 89 07:14:24 +0000
351. From:    rivm!ccemdd@uunet.UU.NET (Marco Dedecker)
352. Subject: Another strain of Lamer Exterminator on amiga.
353.  
354. Here is a warning to all amiga users, who completely rely on the
355. current available viruskillers.
356.  
357. The virus called 'Lamer Exterminator' has more then one strain.
358. At least one of strains will be recognized by virusX 3.2, but I
359. came across another strain that wasn't recognized by it.
360.  
361. And so far I haven't found a program that noticed the virus when it
362. was in memory. The guardian only sees it when you execute the
363. bootblock within the guardian, but it can't kill the virus although
364. it said it did kill it.
365.  
366. The virus uses the KickTagPtr to stay resident and it manipulates
367. the exec call DoIO, to make it reactivate after you have done somekind
368. of IO.
369.  
370. Marco Dedecker.
371.  
372.  
373.  
374. ------------------------------
375.  
376. Date:    07 Jul 89 13:32:48 +0000
377. From:    ZDEE699@ELM.CC.KCL.AC.UK
378. Subject: RE: VACATION Virus Reported on INFO-VAX List (VAX/VMS)
379.  
380. In VIRUS-L Digest, Monday, 3 Jul 1989, Volume 2 : Issue 147,
381. Brian D. McMahon <BRIAN@UC780> writes:
382.  
383. >The following recently appeared on INFO-VAX; [...]
384. >
385. >>Date: 26 JUN 89 22:05:24.55-GMT
386. >>From: INFOVAX@FRIPN51.BITNET
387. >>To: INFO-VAX@KL.SRI.COM
388. >>Subject: RE:       automatic mail answering service : WARNING, MAY BE VIRUS
389. >>
390. >>TAKE CARE: the program VACATION (distributed on a mailing list) is a
391. >>potential VIRUS for ALL the people registered on this list if used
392. >>with no modifications. It will reply to the list, so to itself...and
393. >>so on... And you will be on vacation, so you will not stop it quickly.
394. [...]
395. >>
396. >>Bernard PERROT
397. >>Institut de Physique Nucleaire
398. >>Orsay - France -
399.  
400. The moderator of VIRUS-L, Kenneth van Wyk answers:
401.  
402. >[Ed. It appears to me to be more a case of an infinite mail loop than
403. >anything that could be called a virus. [...]
404. [...]
405. >      If the message goes out to the list, and the VACATION
406. >program replies, you have an endless cycle.
407.  
408.     As Ken van Wyk said, this is a case of infinite mail loop. There is
409. probably nothing wrong with the VACATION program, and the remedy lies in the
410. list moderator/management's side.
411.     To avoid this problem of infinite mail loop when VACATION is run, or
412. a gateway is shutdown, many fileservers use a different address to receive
413. commands and to send information. So if the data is returned to the sender
414. (in this case the listserver), it ends-up in a different account and is NOT
415. sent back again.
416.  
417. Examples:
418.  
419. send commands to: <NISTLIB@GOV.NIST.NCSL.CMR> and the server answers
420.          with id: <NISTLIBD@GOV.NIST.NCSL.CMR>
421. so if the data "bounces back", it is returned to the id NISTLIBD where it is
422. not processed again, and dies there.
423.  
424. send articles to: <uk-virus-l@uk.ac.hw.cs> and the distribution is
425.          with id: <uk-virus-l-request@uk.ac.hw.cs>
426.  
427. etc. etc.
428.  
429. The point is that for some reason (can you explain, Ken ?) bitnet
430. listservers use the same ID to send and receive mail.  Before VIRUS-L
431. was moderated, messages bouncing back from gateways were redistributed
432. again since the return path for bounced messages was the sender:
433. <VIRUS-L@LEHIIBM1.BITNET> Now, I believe that most of the time, the
434. messages are sent by the moderator, to the postmaster of the remote
435. site, who sorts-out the problem with the user on the remote computer.
436. But few lists are moderated, and perhaps it could be time to think
437. about a way to stop these loops which I agree are very irritating to
438. other users.
439.  
440. Olivier Crepin-Leblond
441. Computer systems & Electronics, Dept. of Elec. Engineering,
442. King's College London, England
443.  
444. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
445. |Olivier M.J. Crepin-Leblond                         | - If no-one can do it  |
446. |JANET   : <zdee699@uk.ac.kcl.cc.elm>                |   then do it yourself  |
447. |BITNET  : <zdee699%elm.cc.kcl.ac.uk@ukacrl>         | - If you can't do it,  |
448. |INTERNET: <zdee699%elm.cc.kcl.ac.uk@uk.ac.nsfnet-relay>| then  P A N I C ! ! |
449. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
450.  
451. ------------------------------
452.  
453. Date:    07 Jul 89 00:00:00 +0000
454. From:    David M. Chess <CHESS@YKTVMV.BITNET>
455. Subject: Loren Keim and Proceedings
456.  
457. Does anyone have current contact info for Loren Keim (or does he
458. still follow this list)?   I have one or two people here who
459. are waiting for copies of the Proceedings of the conference that
460. he put together the other year.   Anyone know the status?          DC
461.  
462. ------------------------------
463.  
464. End of VIRUS-L Digest
465. *********************
466. Downloaded From P-80 International Information Systems 304-744-2253
467.