home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.153

< prev

next >

Wrap

Text File  |  1995-01-03  |  13KB  |  299 lines

---

1. VIRUS-L Digest   Monday, 17 Jul 1989    Volume 2 : Issue 153
2.  
3. Today's Topics:
4.  
5. Re: NEW VIRUS?? (PC?)
6. Forward Message from J. McAfee Re: VIRUSCAN
7. FAT recover
8. Corporate culture shift resulting from virus mis(?)information
9. Re: 2 remarks
10. Re: Virus Identification Software
11. FluShot+ and 1701 virus (PC)
12. Re: 2 remarks
13. Request for boot sector information
14.  
15.  
16. ---------------------------------------------------------------------------
17.  
18. Date:    Sat, 15 Jul 89 14:34:04 -0500
19. From:    dnewton@carroll1.cc.edu (Dave Newton)
20. Subject: Re: NEW VIRUS?? (PC?)
21.  
22. That's not a virus, someone broke in or did it as a joke.
23.  
24.  --
25.          "If I cannot create it, I do not understand it"
26.                                         -Richard Feynman
27. David L. Newton           (414) 524-7253        dnewton@carroll1.cc.edu
28. =8-) (smiley w/ a mohawk) (414) 524-7343     uunet!marque!carroll1!dnewton
29.  
30. ------------------------------
31.  
32. Date:    Sat, 15 Jul 89 19:28:34 -0700
33. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
34. Subject: Forward Message from J. McAfee Re: VIRUSCAN
35.  
36. The following message is forwarded from John McAfee:
37. =============================================================================
38.  
39.     I would like to thank the Virus-L subscribers for their response
40. to the VIRUSCAN program.  I have just released the production version
41. which fixed a few bugs found in the earlier versions and includes all
42. the viruses I know about.  I would hope that those of you with large
43. virus collections would check it against the virus versions that you
44. have collected.  We have received no reports of false positive
45. identifications as yet, but it is certainly possible that new
46. variations of existing viruses will slip by.  I have collected only
47. one version each of the 3066 (Traceback) and the FuManchu for example,
48. and I don't have a good feel for the types of variations that might
49. appear with these viruses.  The tests for these viruses may therefore
50. be weak.  Also, the test for the Icelandic virus was developed and
51. implemented by Frank Nalls, who reports that it works fine.  Since I
52. do not yet have a copy of the Icelandic, I can only take his report on
53. faith.  I would be interested in anyone else's experience with
54. VIRUSCAN's ability to identify the Icelandic.
55.     Again, thank you all for your support and voluminous feedback.
56. John McAfee
57. Data - 408 988 4004
58. Voice - 408 988 3832
59. 4423 Cheeney Street
60. Santa Clara, CA 95054
61. USA
62.  
63. ------------------------------
64.  
65. Date:    Mon, 17 Jul 89 13:10:04 +0300
66. From:    "Yuval Tal (972)-8-474592" <NYYUVAL@WEIZMANN.BITNET>
67. Subject: FAT recover
68.  
69. I am using UNVIRUS to exterminate viruses. UNVIRUS also exterminates the
70. Bouncing Balll Virus. This program deletes the virus from the boot sector
71. but it *DOES NOT* fix the FAT so that the sector which was marked as bad
72. would be un-marked.
73.  
74. Is there a program to un-mark the bad sector???
75.  
76. - -Yuval Tal (NYYUVAL@WEIZMANN)
77.  
78. +-----------------------------------------------------------------------+
79. | BitNet:   NYYUVL@WEIZMANN              CSNet: NYYUVAL@WEIZMANN.BITNET |
80. | InterNet: NYYUVAL%WEIZMANN.BITNET@CUNYVM.CUNY.EDU                     |
81. |                                                                       |
82. | Yuval Tal                          "Mjolnir, My fateful hammer,       |
83. | The Weizmann Institute Of Science     return to me at once!" - Thor   |
84. | Rehovot, Israel                    "Aiwa, Manafee" - Udi Schlessinger |
85. +-----------------------------------------------------------------------+
86.  
87. ------------------------------
88.  
89. Date:    Sat, 15 Jul 89 15:36:00 -0500
90. From:    <DCD@CUNYVMS1.BITNET>
91. Subject: Corporate culture shift resulting from virus mis(?)information
92.  
93. I am actively involved with a large microcomputer BBS for Mechanical
94. Engineers (CIME-ISE, 608-233-5378).  I will be giving a talk on the BBS
95. at the International Computers in Engineering Conference this August in
96. Anaheim, and am preparing a piece that will appear in the magazine
97. Mechanical Engineering, the main organ (as they say) of the American
98. Society of Mechanical Engineers (circ. approx. 130,000).
99.  
100. I understand that the messages here are in general somewhat academic and
101. technical, but perhaps the following line of discussion may spark some
102. interest.   I am intrigued by what can only be called the return of MIS:
103. we all know the corporate Kulturkampf that took place not so many years
104. ago when microcomputers became readily available--the MIS people (in large
105. corporations) kicked and screamed, but eventually their power was diluted.
106. Now, I am seeing reports that their day has returned.  Relatively techno-
107. illiterate upper management sees reports on viruses in Time, etc., and puts
108. a call in that all decisions on software must be blessed from a newly power-
109. ful management structure.
110.  
111. Consider the following case, which I consider emblematic:  a project engineer
112. at a large chemical installation plant can
113. 1) sign off on $50,000 daily, but igf
114.  
115.     but if he wants a $200 copy of wordstar, e.g., he must ask his piping
116. supplier to buy it and bury it in an invoice;
117. 2) he must use some cock-a-mamie line editor on his central computer; he, and
118. many other engineers, circumvent this by burying their favorite programs on
119. some hidden directory (of course against compnay policy)
120. 3) he is being hassled about using the engineering BBS, and all BBS's in
121. general.  A valuable resource is being maligned and his productivity will
122. suffer.
123.  
124. I have no doubt that such corporate shenanigans are taking place all
125. the time, and would be interested in any comments.
126.  
127. Thanks for your time in reading this,
128.  
129.         Robert Braham
130. E-mail: DCD@CUNYVMS1.BITNET
131. Home:   1315 Third Ave., 4D
132.         New York, NY  10021
133.         (212) 879-1026
134.  
135. ------------------------------
136.  
137. Date:    Sat, 15 Jul 00 19:89:11 +0000
138. From:    biar!trebor@uunet.uu.net (Robert J Woodhead)
139. Subject: Re: 2 remarks
140.  
141. DLV@CUNYVMS1.BITNET (Dimitri Vulis) writes:
142. >1. The English language has certain traditional ways of naming groups
143. >of animals, e.g., a goggle of goblins, a school of fish, a pack of
144. >wolves, etc.  Since both `virus' and `Trojan horse' have some kind of
145. >animal overtones, I wonder what other people (preferably English
146. >majors) think is a good way to name a group of those beasts.
147.  
148.         1) A Plague of Viruses.
149.         2) A Herd of Trojan Horses.
150.  
151. [Ed. name for "group" of Trojans deleted...]
152.  
153. (^;-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-;^)
154. Robert J Woodhead, Biar Games, Inc.   !uunet!biar!trebor | trebor@biar.UUCP
155.   ``I can read your mind - right now, you're thinking I'm full of it...''
156.  
157. ------------------------------
158.  
159. Date:    Mon, 17 Jul 89 09:24:33 -0700
160. From:    rogers@marlin.nosc.mil (Rollo D. Rogers)
161. Subject: Re: Virus Identification Software
162.  
163. Last thursday i spoke with the author of the VIRUSCAN software Mr.
164. McAfee. Based on that conversation i would like to present the
165. following info concerning the scan program:
166.  
167.    1. There is indeed a slight problem when running scan.exe with
168.    a DOS version of 2.11 and perhaps any version under 3.0. The
169.    scan results apparently are not correct when scanning/searching
170.    "multiple" diskettes in Drive A. So the apparent fix for the problem
171.    is to either a) type the "dir" command before inserting and scanning
172.    succeeding diskettes or b) hit the Ctrl C keys before running scan
173.    on the next disk. If the user does not do this they will probably NOT
174.    get an acccurate scan and report of the files on the disks following
175.    the first diskette searched. And you could possibly have infected files
176.    on a diskette that would not be identified. This problem is easy to
177.    duplicate if you run scan.exe on multiple disks using DOS V2.11.
178.    I was able to duplicate the problem on my NCR PC-6 machine.
179.    One other user also reported in a previous VIRUS-L posting that he had
180.    experienced the same thing.
181.  
182.    2. Also according to Mr. McAfee V019 was a beta test version and
183.    Version020 is now available on the HOMEBASE BBS for downloading.
184.  
185. Maybe someone could grab V020 and check it out. If OK then send it to
186. SIMTEL20 for people on the Internet to obtain.
187.  
188.   REgards, RollO~~
189.  
190. ------------------------------
191.  
192. Date:    Mon, 17 Jul 89 13:43:40 -0400
193. From:    HAUPTMAN@DMRHRZ11.BITNET
194. Subject: FluShot+ and 1701 virus (PC)
195.  
196. Things I've learned since my first message on our virus:
197.  
198. There is a 'Virus Epidemic Center' at University Hamburg (Prof. Brunnstein) and
199. their VIRUS-KATALOG list something called Herbstvirus or Blackjack. It's
200. description sounds similar to our symptoms although it increases *.COM files by
201. 1704 bytes while our virus needs 1701.
202.  
203. On one mailing list I found an announcement:
204.    'DVIR1701.EXE -- detects and removes 1701 from COM files'
205.  
206. After installing Flushot+ and executing one of the infected files FSP brought
207. up the message:
208.    'An attempt is being made to infect your system by:
209.     Cascade Virus (aka 1704 Virus)                     '
210. Beside that experiment no further problems were revealed by FSP and our system
211. is still up and running.
212.  
213. Things I still would like to know:
214.  
215. Did someone unassemble this virus?
216. What was it supposed to do?
217. Can infection be caused by other programs than those identified by 01 FA 8B EC?
218. Can other files be already corrupted by this virus?
219.  
220.  --- Klaus Hauptmann
221.    (msommer on BIX, HAUPTMAN@DMRHRZ11 on Earn/Bitnet)
222.  
223. ------------------------------
224.  
225. Date:    Mon, 17 Jul 89 11:01:20 -0700
226. From:    arc!steve@apple.com (Steve Savitzk{)
227. Subject: Re: 2 remarks
228.  
229. an infection of viruses
230.   (plague is another possibility, perhaps reserved for widespread
231.    infections)
232.  
233. an ambush of Trojan horses
234.  
235. and, of course,
236.  
237. a can of worms
238.  
239. - --
240.   Steve Savitzky     | steve@arc.uucp | apple.com!arc!steve
241.   ADVANsoft Research Corp.    |  (408) 727-3357(w) / 294-6492(h)
242.   4301 Great America Parkway  |  #include<disclaimer.h>
243.   Santa Clara, CA  95054      |  May the Source be with you!
244.  
245. ------------------------------
246.  
247. Date:    13 Jul 89 19:18:08 +0000
248. From:    frisk@rhi.hi.is (Fridrik Skulason)
249. Subject: Request for boot sector information
250.  
251. I need an answer to the following question:
252.  
253.     In the boot sector of every diskette and hard disk there is a short
254.     string starting at the fourth byte. This string contains information
255.     about the version of DOS used to format the disk/diskette.
256.     Typically it is something like "IBM   3.0" or "MSDOS2.0".
257.     What I need to know is: What other possibilities are there ?
258.  
259. The reason I'm asking this question is as follows:
260.  
261.     I'm working on a package of programs for fighting computer
262.     viruses on the PC. One program in this package tries to determine
263.     if the boot sector has been infected by some virus. Since some
264.     viruses modify the label described above, it is one of the things
265.     I check on each diskette. For example, one well-known virus will
266.     write 1234 in this place, and another (the Pentagon virus) will write
267.     "HAL" there.
268.  
269.     Now - my problem is that one person who was using a beta-test version
270.     of the program told me that the program would flag diskettes formatted
271.     on a Cordata machine as "Possibly infected by an unknown virus".
272.  
273.     Examination revealed that the reason was the string "CDS" instead of
274.     "IBM" or "MSDOS". Therefore I am asking for a bit of assistance.
275.     If you have a machine from somebody other than IBM, please take a look
276.     at this portion of the boot sector, using NORTON or some similar program.
277.     If it contains a string different from "IBM", "MSDOS" or "CDS", please
278.     send me information on the string and the machine type.
279.  
280. Of course - the package will be distributed freely when finished - Expect
281. it to appear on comp.binaries.ibm.pc or in some accessible place.
282.  
283. I just need to obtain a few more viruses to test it against first. Currently
284. I have only tested it (and found it 100% effective) against Brain, Ping-Pong,
285. 1704 and a new Icelandic (I think) virus.
286.  
287. This message would have been posted to comp.virus, but since it is not
288. operating right now, I am posting it here.
289.  
290.          Fridrik Skulason          University of Iceland
291.          frisk@rhi.hi.is
292.           Guvf yvar vagragvbanyyl yrsg oynax .................
293.  
294. ------------------------------
295.  
296. End of VIRUS-L Digest
297. *********************
298. Downloaded From P-80 International Information Systems 304-744-2253
299.