home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.155

< prev

next >

Wrap

Text File  |  1995-01-03  |  9KB  |  230 lines

---

1. VIRUS-L Digest   Thursday, 20 Jul 1989    Volume 2 : Issue 155
2.  
3. Today's Topics:
4.  
5. Is this a Macintosh Virus?
6. VIRUSCAN program (PC)
7. Re: virus interviews
8. Re: CMS viruses (IBM CMS)
9. More on VIRUSCAN (PC)
10. VACATION & VALERT-L (was Re: VACATION Virus)
11. (Possibly) a new COMMAND.COM virus (PC)
12. Leisure Suit Larry .... (PC)
13.  
14. ---------------------------------------------------------------------------
15.  
16. Date:    Wed, 19 Jul 89 08:41:00 -0500
17. From:    <DQB@ORNLSTC.BITNET>
18. Subject: Is this a Macintosh Virus?
19.  
20. Has anyone ever encountered a virus that changes the normal "watch"
21. cursor to a cockroach?  This happened several times within ResEdit,
22. but disappeared after ResEdit was exited and could not be repeated.
23.  
24. The disk has been inspected with Disinfectant and SAM.  No viruses
25. were found.  I also checked for unknown INIT resources in the system
26. folder.  The same system was recently infected by nVIR.  Disinfectant
27. was used to eradicate it.
28.  
29. Any words of wisdom?
30.  
31. ------------------------------
32.  
33. Date:    Wed, 19 Jul 89 10:09:53 -0700
34. From:    rogers@marlin.nosc.mil (Rollo D. Rogers)
35. Subject: VIRUSCAN program (PC)
36.  
37. For those who are interested in such things:
38.  
39.    a. The VIRUSCAN software now called SCANV26 is available for
40.    downloading from SIMTEL20 as SCANV26.ARC.1, same directory as before.
41.  
42.    b. I ran the scanv26 (scan 0.3V27) program on a DOS V2.11 PC and it
43.    scanned multiple (7) diskettes on Drives A: & B: with no problems.
44.    This program correctly identified the number of directories/sub-directories
45.    and files contained on each separate disk.
46.  
47. NOTE: I understand that as of yesterday, Version29 is now available
48. from the HOMBASE BBS.
49.  
50.    REgards, RollO~~
51.  
52.  
53. ------------------------------
54.  
55. Date:    Wed, 19 Jul 89 12:03:00 -0700
56. From:    kelly@uts.amdahl.com (Kelly Goen)
57. Subject: Re: virus interviews
58.  
59. > A Mr. Atsushi Tanaka is visiting me today from Japan, interviewing me for
60. > Nikkei Computer Magazine.  He will be in the San Francisco area July 11 &
61. > July 13, and wishes to meet with people involved in anti-virus and computer
62. > security activities on a wide variety of machines from Micros to Mainframes.
63. >
64. > If anyone is interested and can spend some time doing an interview, please
65. > send me mail at the below address, including phone number, and I'll pass
66. > the information on to Tanaka-san.
67.  
68. Unfortunately I was out of town!!!grin!! but for future reference John
69. McAfee locally here in santa clara is probably the best one to talk
70. to... a lot of the local antiviral people dump all their data on
71. him... reach him at Interpath Corp at 408-988-3832
72.                                            cheers
73.                                            kelly
74.  
75. ------------------------------
76.  
77. Date:    Wed, 19 Jul 89 12:25:00 -0700
78. From:    kelly@uts.amdahl.com (Kelly Goen)
79. Subject: Re: CMS viruses (IBM CMS)
80.  
81. > >>in Communications Monitoring System (CMS) version 4 for IBM's MVS
82. > >>operating system where a dangerous virus could be introduced by simply
83. > >>programming 16 lines of code.
84. >
85. > That's Conversational Monitor System (formerly Cambridge Monitor System),
86. > and it is independent of, not "for", MVS.  To my knowledge, ALL viruses
87. > on this system require some human action (to pull files in from the
88. > "virtual reader" user input queue).  Although certain idiotic viruses
89. > (the CHRISTMA virus being the most notable) have affected CMS, it is
90. > not as subject to damage as is unix, where files are transmitted
91. > directly to the user's file space, rather than an independent queue.
92.  
93. sorry guys I hate to dispel your fantasies on both of you but rumuour
94. are getting rife as of late and its time to quench some of them:
95.  
96. 1. CMS is also known as VM/CMS its the equivalant of a complete OS in
97. its own virtual machine...
98.  
99. 2. neither MVS nor VM could be infected by 16 bytes of code in an none
100. obtrusive manner... an overwriting virus possibly...!! however these
101. are both large expensive mainframe SCP(system control programs) note I
102. didnt include cms in this he is a user interface!! but they most
103. defintely can be infected!!!!!!
104.  
105. 3. given the richness of the 2 above environments and both of them
106. predate any other System control programs currently used now... no
107. human intervention is necessary for an infection mechanism to
108. accomplish its designed task!!!!
109.  
110. 4. to acheive point 3 above... one must be what is knwown in IBM
111. Parlance as a SYSPROG not just a technical support specialist... in
112. other words it most likely is not going to be the local 14 year old
113. sunnyvale hacker!!!(that would implement this code)
114.  
115.                            cheers
116.                             kelly
117.  
118. ------------------------------
119.  
120. Date:    Wed, 19 Jul 89 21:51:10 -0000
121. From:    A.SIGFUSSON@ABERDEEN.AC.UK
122. Subject: More on VIRUSCAN (PC)
123.  
124. After my first comments on VIRUSCAN I have had some replies from other
125. people and this program seems to work in different ways on different
126. machines.  I have used it on a COMMODORE PC 10 II and an AMSTRAD 1640, both
127. using MSDOS 3.2 and in both cases when doing a multiple scan of diskettes
128. the program thinks it is scanning the same diskette.  I have tried this
129. both on drive A: and B: and this makes no difference.  Rollo D. Rodgers
130. has tried this on different types of machines and had no difficulties if
131. the scan was done on the B: drive using DOS 3.2 (I think) but if scanned
132. on drive A: the scan is not done properly.
133. As I Pointed out this can be avoided by doing something different like DIR
134. or as Rollo D. Rogers suggested by hitting *C before each disk.  There is
135. a new version of VIRUSCAN out now and since I do not have a copy I dont know
136. if this has been fixed but I would be interested to know or if somone could
137. mail me a copy.
138.  
139.                Best regards,
140.  
141.               Arnor Sigfusson (A.SIGFUSSON@UK.AC.ABERDEEN)
142.  
143. ------------------------------
144.  
145. Date:    19 Jul 89 22:14:27 +0000
146. From:    bucsb!ckd@husc6.harvard.edu (Christopher Davis)
147. Subject: VACATION & VALERT-L (was Re: VACATION Virus)
148.  
149.  
150. In article <> VIRUS-L@IBM1.CC.Lehigh.EDU writes:
151. - - [Description of Vacation "virus" deleted]
152. - -
153. - - [Ed. It appears to me to be more a case of an infinite mail loop than
154. - - anything that could be called a virus.  I frequently get messages on
155. - - VIRUS-L/comp.virus which are sent from a VACATION program (VMS or
156. - - Unix).  Since VIRUS-L is moderated, however, I merely delete the
157. - - message.  If the message goes out to the list, and the VACATION
158. - - program replies, you have an endless cycle.  Use any VACATION program
159. - - very cautiously.]
160.  
161. All the vacation programs I've ever seen only send one reply to any
162. address; this is to prevent mail loops such as the one that we saw on
163. VALERT-L not too long ago.
164.  
165. [For those not on the list, what happened is that a VACATION program
166. sent one--count 'em, one--reply to the list (a reply to a mis-sent
167. subscription request, at that!).  Then, some JANET site started
168. bouncing mail back due to a full disk at one site--but was bouncing it
169. to THE LIST ADDRESS.  Needless to say, the resulting mail loop was
170. rather horrendous, especially since the messages got bigger each time. --ckd]
171. - --
172.   /\  | /  |\  @bu-pub.bu.edu <preferred>  | Christopher K. Davis, BU SMG '90
173.  /    |/   | \ %bu-pub.bu.edu@bu-it.bu.edu |      uses standardDisclaimer;
174.  \    |\   | /  <for stupid sendmails>     |       BITNET: smghy6c@buacca
175.   \/  | \  |/  @bucsb.UUCP <last resort>  or ...!bu-cs!bucsb!ckd if you gotta.
176.  --"Ignore the man behind the curtain and the address in the header." --ckd--
177.  
178. ------------------------------
179.  
180. Date:    Wed, 19 Jul 89 23:11:29 +0000
181. From:    Fridrik Skulason <frisk@RHI.HI.IS>
182. Subject: (Possibly) a new COMMAND.COM virus (PC)
183.  
184. Yesterday I went to check out a reported virus infection in a large
185. company here.
186.  
187. The main symptom was that COMMAND.COM would grow by approx. 400 bytes,
188. when it was infected. The virus was a bit similar to the original
189. "Jerusalem" virus in one respect - it was unable to recognize existing
190. infections and the file would just grow and grow (which caused it to
191. be noticed).
192.  
193. When I arrived, they were very proud that they had just "wiped out" the
194. infection.
195.  
196. They did not reformat every single hard disk, as one site here that got
197. infected by the Ping-Pong virus just did, but they wiped out every copy
198. of COMMAND.COM using WIPEFILE, and then restored them from the original
199. floppies.
200.  
201. So - I was unable to obtain a sample.
202.  
203. Since the description does not fit any virus that I know of, I would like
204. to ask everybody if they have heard of this virus, which (just possibly)
205. arrived with a number of illegal copies of software from Hong-Kong.
206.  
207. If I obtain a sample or more information, I will post a full description
208. on VIRUS-L.
209.  
210. ------------------------------
211.  
212. Date:    Thu, 20 Jul 89 08:33:06 -0500
213. From:    Thomas Heil <ICH211@DJUKFA11.BITNET>
214. Subject: Leisure Suit Larry .... (PC)
215.  
216. Hello!
217.  
218. Could someone please summarize the "Leisure Suit Larry" trojan horse
219. case for me? I heard about it but didn't learn the details yet.
220. Please respond directly to me as I'm not on this list.
221.  
222. Thanks in advance,
223. T.H.
224.  
225. ------------------------------
226.  
227. End of VIRUS-L Digest
228. *********************
229. Downloaded From P-80 International Information Systems 304-744-2253
230.