home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.160 < prev    next >
Text File  |  1995-01-03  |  10KB  |  227 lines
  1. VIRUS-L Digest   Wednesday, 26 Jul 1989    Volume 2 : Issue 160
  2.  
  3. Today's Topics:
  4.  
  5. Re: virus sociology
  6. VNET and the CHRISMA EXEC (IBM VM/CMS)
  7. Computer Virus Research
  8. Less well known viruses?
  9. Viruscan tested.
  10. ***WARNING*** VIRUSCAN Trojan (PC)
  11.  
  12. ------------------------------------------------------------
  13.  
  14. Date:    25 Jul 89 12:47:21 +0000
  15. From:    krvw@sei.cmu.edu (Kenneth van Wyk)
  16. Subject: Re: virus sociology
  17.  
  18. In article virus sociology of 21 Jul 89 20:10:28 GMT
  19. mrc@Tomobiki-Cho.CAC.Washington.EDU (Mark Crispin) writes:
  20.  
  21. >     The question is: can we speculate that many, if not most, of this
  22. >scum reads (and perhaps participates) in this newsgroup?  Isn't the
  23. >effort of cataloging all the viri egging the scum on to greater
  24. >efforts?
  25.  
  26. I suppose that it's possible to find a pessimistic outlook on just
  27. about everything...  The flip side of it is that we're getting
  28. valuable information out to people who really need it to understand
  29. (hence cope with) the virus problem.  I think that positive side
  30. outweighs any negative side.
  31.  
  32. >     The next question is: how much effort should we be putting into
  33. >getting the vendors of various machines and operating systems to
  34. >design their software to be virus-proof as opposed to writing new
  35. >virus detectors/fixers?  Let's face it, the current generation of
  36. >personal computers have non-existant security not only from viri but
  37. >also from user screwups.
  38.  
  39. Newer machines are already being equipped with features, such as
  40. hardware memory protection, privileged i/o instructions, etc., that
  41. can help in preventing viruses.  It's still up to the operating system
  42. software to properly use the available hardware.  To that end, I
  43. believe that it is worthwhile for customers to push vendors to supply
  44. more secure and thoroughly tested hardware and software.
  45.  
  46. Ken
  47.  
  48.  
  49.  
  50. ------------------------------
  51.  
  52. Date:    Tue, 25 Jul 89 09:49:00 -0400
  53. From:    John McMahon <FASTEDDY@DFTBIT.BITNET>
  54. Subject: VNET and the CHRISMA EXEC (IBM VM/CMS)
  55.  
  56. ***> From:    David M. Chess <CHESS@YKTVMV.BITNET>
  57. ***> Subject: re: the CHRISTMA EXEC on BITNET and VNET (IBM VM/CMS)
  58. ***>
  59. ***> While I was lucky enough to be on vacation when CHRISTMA hit
  60. ***> VNET, my impression is that (press to the contrary), VNET
  61. ***> handled it about like BITNET did: a few nodes shut down or
  62. ***> cold started, but most just installed and ran some filters
  63. ***> on RSCS and local spool.   Lots of human and CPU time and net
  64. ***> bandwidth wasted, but not a system-wide shutdown.  This is
  65. ***> just an unofficial impression, of course!
  66.  
  67. As I recall, VNET Topology is not like BITNET's.  BITNET is currently
  68. a tree structure, slowly migrating to a mesh topology backbone of
  69. sites connected via the BITNET II software (NJE over TCP/IP).  VNET,
  70. on the other hand, is a set of trees connected by a fairly extensive
  71. wide-area mesh backbone.
  72.  
  73. As I recall (it's been a while), this mesh backbone only consists of a
  74. handful of nodes (Sixteen to Twenty), one at each major IBM center.
  75. Shutting that down would effectively isolate each IBM center.  As to
  76. whether or not that is a "System-Wide" shutdown, well you will have
  77. ask the media.  As to whether or not that happened, you would have to
  78. ask IBM.
  79.  
  80. +------------------------------------+----------------------------------------+
  81. |John "Fast Eddie" McMahon           |    Span: SDCDCL::FASTEDDY (Node 6.9)   |
  82. |Advanced Data Flow Technology Office|    Arpa: FASTEDDY@DFTNIC.GSFC.NASA.GOV |
  83. |Code 630.4 - Building 28/W255       |  Bitnet: FASTEDDY@DFTBIT               |
  84. |NASA Goddard Space Flight Center    |GSFCmail: JMCMAHON                      |
  85. |Greenbelt, Maryland 20771           |   Phone: x6-2045                       |
  86. +------------------------------------+----------------------------------------+
  87.  
  88. ------------------------------
  89.  
  90. Date:    Tue, 25 Jul 89 11:28:00 -0500
  91. From:    <DQB@ORNLSTC.BITNET>
  92. Subject: Computer Virus Research
  93.  
  94. I am doing research at the University of Tennessee on the current
  95. state of computer viruses.  Most of the material that I have found
  96. to date has been written by members of this discussion list. I
  97. would appreciate direct correspondence from members who have
  98. written papers, books or articles or who are currently conducting
  99. research in this area.
  100.  
  101. If nothing else, I would like to make a reference to other research
  102. work that is being conducted by members of the discussion list.  If
  103. any of you have other material that can be sent to me electronically,
  104. I would appreciate it.
  105.  
  106. I will redistribute a complete list of these research references via
  107. this discussion group.
  108.  
  109. ------------------------------
  110.  
  111. Date:    Tue, 25 Jul 89 19:36:47 -0000
  112. From:    David.J.Ferbrache <davidf@CS.HW.AC.UK>
  113. Subject: Less well known viruses?
  114.  
  115. Having just finished an update on the list of known IBM and MAC viruses
  116. I have come across a few reported viruses which no/few details seem
  117. to be available on. These are:
  118.  
  119. IBM PC Boot sector
  120.   Nichols virus      both are incorporated in the 0.29 viruscan test
  121.   2730 virus         strings, but have not been reported in full
  122. IBM PC Link viruses
  123.   Screen             characteristic lengths and identifying signatures
  124.   Dbase              are currently unknown for these two viruses covered
  125.                      in Ross's article in the June edition of byte
  126.   Agiplan            So far no-one seems to have a sample of this virus
  127.                      available, also no signatures have been provided
  128.   Mistake            Again no signatures available
  129.  
  130. I would also be interested in characteristic lengths and signature byte
  131. sequences for a number of the Homebase variants described in Jim Goodwin's
  132. list.
  133.  
  134. On a further point a remarkable similarity has been established between
  135. the Saratoga and Icelandic (variant 1) virus code. This similarity is
  136. reflected in the code sequences used by Viruscan 0.29. The question
  137. raised by this observation is which came first, the Saratoga virus detected
  138. in California or the Icelandic virus. With the recent report of a
  139. second strain of the Icelandic virus which bypasses Interrupt table
  140. dos call monitoring methods it seems that the virus is under active development
  141. by a hacker in Iceland.
  142.  
  143. Finally, I will be forwarding three notes from Joe Hirst in the next
  144. few days concerning the Ashar variant of Brain, Saratoga virus and
  145. his views on the foundation of national research centres. I will establish
  146. a temporary mail account <bcvrc@cs.hw.ac.uk> for his centre and will relay
  147. any correspondence received.
  148.  
  149.  
  150. - ------------------------------------------------------------------------------
  151.  
  152. Dave Ferbrache                            Internet   <davidf@cs.hw.ac.uk>
  153. Dept of computer science                  Janet      <davidf@uk.ac.hw.cs>
  154. Heriot-Watt University                    UUCP       ..!mcvax!hwcs!davidf
  155. 79 Grassmarket                            Telephone  +44 31-225-6465 ext 553
  156. Edinburgh, United Kingdom                 Facsimile  +44 31-220-4277
  157. EH1 2HJ                                   BIX/CIX    dferbrache
  158. - ------------------------------------------------------------------------------
  159.  
  160.  
  161. ------------------------------
  162.  
  163. Date:    26 Jul 89 00:12:43 +0200
  164. From:    cth_co@tekno.chalmers.se (CHRISTER OLSSON)
  165. Subject: Viruscan tested.
  166.  
  167. I tested VIRUSCAN but it can't found 1701/1704 (Cascade) virus in files
  168. with EXE-extension. If you rename a COM-file to an EXE-file, the 1701
  169. virus infected the file but VIRUSCAN don't check the file because
  170. VIRUSCAN only search COM-files for the 1701/1704 (Cascade) -virus.
  171.  
  172.  
  173. ------------------------------
  174.  
  175. Date:    Tue, 25 Jul 89 19:47:00 -0700
  176. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  177. Subject: ***WARNING*** VIRUSCAN Trojan (PC)
  178.  
  179. Someone has taken the VIRUSCAN program and hacked it into a trojan.
  180. Richard Levey of Shareware Enterprises in Elmont, NY, and J.J. Webb
  181. of Lockheed have both submitted copies of a program that they
  182. thought was identical to VIRUSCAN version 19 in the way it
  183. operated.  On analysis, the program turned out to be Viruscan V19
  184. with a number of modifications.
  185.  
  186. No attempt was made to modify the VIRUSCAN program messages,
  187. internal data strings or instruction sequences, with the single
  188. exception of the copyright notice.  The copyright notice was
  189. changed to 'Copyright 1989, WileySoft Corporation".  The only
  190. modification made to the documentation was the change of name and
  191. address to:
  192.  
  193.         WileySoft
  194.         11 Trafalgar Square
  195.         Nashua, NH 03063
  196.  
  197. And a request to send $24 to the above address was added.
  198.  
  199. The program was then compressed, a front end loader/decompressor
  200. was tacked on, and the final package was infected with what appears
  201. to be a modified version of the Jerusalem virus.  The final EXE
  202. file was named SCAN (the same as the VIRUSCAN executable module)
  203. and was 22917 bytes long.
  204.  
  205. A check with the local Nashua phone company found no listing for
  206. such a company, and no WileySoft Corporation was registered in the
  207. state of New Hampshire.
  208.  
  209. VIRUSCAN users should be aware of this trojan program.  Please
  210. check that your executable module is exactly 34400 bytes long.  All
  211. versions of VIRUSCAN have been this length and all future versions
  212. are planned to have the same length.  Ensure that the McAfee
  213. Associates copyright is displayed with the version ID and phone
  214. number in the first display line.  If there are any questions about
  215. the validity of your program, an original copy may be downloaded
  216. from HomeBase, 408 988 4004, from SIMTEL20 or some other reliable
  217. source.
  218.  
  219.  
  220. John McAfee ..-....
  221.  
  222. ------------------------------
  223.  
  224. End of VIRUS-L Digest
  225. *********************
  226. Downloaded From P-80 International Information Systems 304-744-2253
  227.