home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.168 < prev    next >
Text File  |  1995-01-03  |  9KB  |  199 lines
  1. VIRUS-L Digest   Friday,  4 Aug 1989    Volume 2 : Issue 168
  2.  
  3. Today's Topics:
  4.  
  5. Israeli boot viruses; New UnVirus (PC)
  6. New FTP source for anti-virals (PC) - Internet access required
  7. IBM Australian/Stoned Virus (PC)
  8. Re: viruses that reprogram ANSI keys
  9. Re: Shareware? Hmm... (Mac)
  10.  
  11. ---------------------------------------------------------------------------
  12.  
  13. Date:    Thu, 03 Aug 89 17:07:48 +0300
  14. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
  15. Subject: Israeli boot viruses; New UnVirus (PC)
  16.  
  17.   Israeli boot-sector viruses
  18.   ---------------------------
  19.   At least two boot-sector viruses were discovered in Israel recently.
  20. One, which hooks interrupt 17h and causes letters sent to the printer
  21. to be replaced by similar sounding ones, was reported by Yair Gany and
  22. by myself in VIRUS-L at the end of June.  I referred to it then as the
  23. "Mistake" virus, but I now prefer the name "Typo".
  24.   Another virus, mentioned by John McAfee a few days ago, was de-
  25. scribed only as being a boot-sector virus discovered in Israel; he
  26. suggested calling it the "Israeli Boot" virus since he thought that no
  27. such viruses had been reported from Israel previously.  But since the
  28. Typo is also a boot-sector virus, John's suggestion is inappropriate.
  29.   I have not yet seen the new virus in action, but according to info
  30. sent me by Yuval Tal, it causes letters on the screen to fall.  (There
  31. are two other viruses which fit this description: the Cascade/Autumn/
  32. Blackjack virus and the Traceback virus, but they infect files, not
  33. boot sectors.)  I suggest we call it the Swap virus, since the words
  34. SWAP VIRUS FAT12 appear in the modified boot sector.
  35.  
  36.   New version of UNVIRUS
  37.   ----------------------
  38.  
  39.   A few weeks ago I offered to send the virus-eradicating program
  40. UNVIRUS to anyone who wanted it.  It has now been updated to eradicate
  41. many more viruses.  I have sent a package UNVIR6.ARC to Keith Petersen
  42. for uploading to the SIMTEL20 archive.  It consists of the following
  43. three files:
  44.  
  45. UNVIR6.DOC    Instructions for use of the following two programs.
  46.  
  47. UNVIRUS.EXE   Eradicates Israeli (2 strains), Ping-Pong, Brain, Typo,
  48. (Vers. 6)     April-1-Com, April-1-Exe.
  49.  
  50. IMMUNE.EXE    Prevents infection by Israeli and April-1 viruses and
  51. (Vers. 5)     notifies of presence in RAM of any boot-sector virus.
  52.  
  53.   The authors (Yuval Rakavy and Omri Mann) plan to extend UNVIRUS to
  54. many more viruses in the near$future, but they always give priority to
  55. those which have appeared in Israel.  The next virus on the list will
  56. evidently be the Swap virus.
  57.  
  58.                                           Y. Radai
  59.                                           Hebrew Univ. of Jerusalem
  60.  
  61.   P.S.  Please do not send requests for UNVIR6 to me.  If it is not
  62. yet on SIMTEL20 it soon will be.
  63.  
  64. ------------------------------
  65.  
  66. Date:    Thu, 03 Aug 89 12:15:52 -0500
  67. From:    kichler@ksuvax1.cis.ksu.edu (Charles Kichler)
  68. Subject: New FTP source for anti-virals (PC) - Internet access required
  69.  
  70. The following files dealing with computer viruses are now available by
  71. anonymous ftp (file transfer protocol) from 'hotel.cis.ksu.edu' [Ed.
  72. IP number is 129.130.10.12] located in Computer Science Dept. at
  73. Kansas State University, Manhattan, KS.  The files have been and will
  74. be collected in the future from reliable sources, although no warranty
  75. is implied or stated.  I will attempt to update the files as often as
  76. possible.  If anyone becomes aware of new updates or new anti-viral
  77. programs, let me know.  All files are in the /ftp/pub/Virus-L
  78. sub-directory.
  79.  
  80. ./               DETECT2.ARC.1    GREENBRG.ARC.1   VACCINE.ARC.1
  81. ../              DIRTYDZ9.ARC.1   IBMPAPER.ARC.1   VACCINEA.ARC.1
  82. 00-Index.doc     DPROT102.ARC.1   IBMPROT.DOC.1    VACI13.ARC.1
  83. ALERT13U.ARC.1   DPROTECT.ARC.1   INOCULAT.ARC.1   VCHECK11.ARC.1
  84. BOMBCHEK.ARC.1   DPROTECT.CRC.1   MD40.ARC.1       VDETECT.ARC.1
  85. BOMBSQAD.ARC.1   DVIR1701.EXE.1   NOVIRUS.ARC.1    VIRUS.ARC.1
  86. CAWARE.ARC.1     EARLY.ARC.1      PROVECRC.ARC.1   VIRUSCK.ARC.1
  87. CHECK-OS.ARC.1   EPW.ARC.1        READ.ME.FIRST    VIRUSGRD.ARC.1
  88. CHK4BOMB.ARC.1   F-PROT.ARC.1     SCANV30.ARC.1    pk36.exe
  89. CHKLHARC.ARC.1   FILE-CRC.ARC.2   SENTRY02.ARC.1   pk361.exe
  90. CHKSUM.ARC.1     FILECRC.ARC.2    SYSCHK1.ARC.1    uu213.arc
  91. CHKUP36.ARC.1    FILETEST.ARC.1   TRAPDISK.ARC.1
  92. CONDOM.ARC.1     FIND1701.ARC.1   TROJ2.ARC.1
  93. DELOUSE1.ARC.1   FSP_16.ARC.1     UNVIR6.ARC.1
  94.  
  95. The current list only includes programs for MS/PC-DOS computers.  I will
  96. continue to expand the collection to include some worthwhile textual
  97. documents and possible programs for other machines and operating systems.
  98.  
  99. The procedure is to first ftp to the hotel.cis.ksu.edu.  [Ed. type:
  100. ftp hotel.cis.ksu.edu (or ftp 129.130.10.12).  Enter "anonymous"
  101. (without the quotes) as a username and "your id" as a password.]  Then
  102. use 'cd pub/Virus-L'.  Next get the files you would like.  You will
  103. need the 'pk361.exe' to expand the ARChived programs.  Be sure to
  104. place ftp in a binary or tenex mode [Ed. type "bin" at ftp> prompt].
  105. Please note that the highly recommended VirusScan program
  106. (SCANV30.ARC.1) is available.
  107.  
  108. If there are any questions, send mail to me and I will make every effort
  109. to help you as soon as time allows.
  110.  
  111. [Ed. Sorry for all the editorial comments...  And thank you for all of
  112. your efforts, Chuck!]
  113.  
  114. Charles "chuck" E. Kichler, Into. to PC Instructor/Co-ordinator
  115. Computer & Info. Science    Kansas State Univ. * Yesterday,
  116. Internet: kichler@ksuvax1.cis.ksu.edu          |  I knew the answers.
  117. BITNET: kichler@ksuvax1.bitnet                 * Today,
  118. UUCP: {rutgers,texbell}!ksuvax1!kichler        |  they changed the answers.
  119.  
  120. ------------------------------
  121.  
  122. Date:    04 Aug 89 07:35:42 -0100
  123. From:    Jeff Raynor <raynor@rzsin.sin.ch>
  124. Subject: IBM Australian/Stoned Virus (PC)
  125.  
  126.   One  of  my  colleagues  has  just  become  infected  with  the
  127. "Stoned/Australian"  virus  and contacted me for  help.   I  have
  128. searched through my VIRUS-L archives for information.
  129.  
  130.   There  seems little specific details of what part of  the  hard
  131. disk it infects, nor how to remove it.  The best information  was
  132. on 8-May-89 from Alan_J_Roberts/Jim Goodwin:
  133. >..this  virus stores itself between the partition table and  the
  134. > first partition.
  135.  
  136.   According to Norton Utilities, Absolute sector Side 0, Cylinder
  137. 0, Sector 1 is my partition table, while Sector 2 is the start of
  138. my DOS partition.  Where is the virus supposed to reside? at  the
  139. end  of  the  1st  sector, or is there  an  error  in  my  sector
  140. numbering?
  141.  
  142.   There is further mention that SYS fails to remove the virus  (I
  143. can  confirm that), but recommends MDISK.  I have downloaded  the
  144. <MSDOS.TROJAN-PRO>MD40.ARC  from Simtel, but find that it is  DOS
  145. version specific, MD40 is for DOS 4.0 only.  In this case, I need
  146. MD32, but would like MD30 and MD33 as we run 3.1 and 3.3 here.  I
  147. would also like to see a DOS independent algorithm to remove  the
  148. virus  manually  using  DEBUG low-level  read/writes  or  a  Disk
  149. editor.
  150.  
  151.      Thanks for your help
  152.      Jeff Raynor
  153.  
  154.  EARN: RAYNOR@RZSIN.SIN.CH
  155.  Post: Paul Scherrer Institut, Badenerstrasse 569,
  156.        8048 Zurich, Switzerland.
  157.  
  158.  
  159. ------------------------------
  160.  
  161. Date:    03 Aug 89 22:18:25 +0000
  162. From:    hutto@attctc.Dallas.TX.US (Jon Hutto)
  163. Subject: Re: viruses that reprogram ANSI keys
  164.  
  165.  
  166. They don't usually harm people using communications softwares as much as
  167. it does BBS's, because the sequences are set for only certain directories,
  168. and files.
  169.  
  170. IBM's ANSI.SYS doesn't let you filter them out eithere. There are some
  171. ANSI substitutes that do. Such as NANSI, and PC-Mag had one in an issue
  172. called ANSI.COM.
  173.  
  174.  
  175. - --
  176. - --
  177.   Jon Hutto     PC-Tech BBS  (214)271-8899     2400 baud
  178. USENET:    {ames, texbell, rutgers, portal}!attctc!hutto
  179. INTERNET:  hutto@attctc.dallas.tx.us  or  attctc!hutto@ames.arc.nasa.gov
  180.  
  181. ------------------------------
  182.  
  183. Date:    Thu, 03 Aug 89 08:21:33 -0400
  184. From:    "W. K. Bill Gorman" <34AEJ7D@CMUVM.BITNET>
  185. Subject: Re: Shareware? Hmm... (Mac)
  186.  
  187.      Yeah, I know - wrong list, but...
  188.  
  189.      Wouldn't it be interesting if others, say auto dealers, took
  190. this same position,i.e., since one  has the use of a vehicle purchased from
  191. them, kick in the difference in price between, say, the '89 and '90 models?
  192. Yeow!!!  :-)
  193.  
  194. ------------------------------
  195.  
  196. End of VIRUS-L Digest
  197. *********************
  198. Downloaded From P-80 International Information Systems 304-744-2253
  199.