home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.170 < prev    next >
Text File  |  1995-01-03  |  7KB  |  158 lines
  1. VIRUS-L Digest   Tuesday,  8 Aug 1989    Volume 2 : Issue 170
  2.  
  3. Today's Topics:
  4.  
  5. WARNING: New Mac virus (reposted from comp.sys.mac)
  6. Typo Virus (PC)
  7. Israeli Boot Virus (PC)
  8. nFLU Virus & Disinfectant (Mac)
  9. FLU_SHOT+ V1.6 and Boot Blocks (PC)
  10.  
  11. ---------------------------------------------------------------------------
  12.  
  13. Date:    Mon, 07 Aug 89 12:48:25 -0000
  14. From:    "John Norstad" <jln@acns.nwu.edu>
  15. Subject: WARNING: New Mac virus (reposted from comp.sys.mac)
  16.  
  17. Another Macintosh virus named "nFLU" has been discovered at the
  18. University of Minnesota.  This virus is identical to nVIR B,
  19. except for the name change.
  20.  
  21. Disinfectant version 1.2 has been configured to recognize nFLU.
  22. We recommend that all Disinfectant users obtain a copy of this new version.
  23.  
  24. Version 1.2 also contains a few other minor changes.  For a detailed
  25. list of all the changes see the section titled "Version History"
  26. in the online document.
  27.  
  28. Disinfectant is free.
  29.  
  30. Features:
  31.  
  32. - - Detects and repairs files infected by Scores, nVIR A, nVIR B, Hpat,
  33.   AIDS, MEV#, nFLU, INIT 29, ANTI, and MacMag.  These are all of the
  34.   currently known Macintosh viruses.
  35. - - Scans volumes (entire disks) in either virus check mode or virus
  36.   repair mode.
  37. - - Option to scan a single folder or a single file.
  38. - - Option to "automatically" scan a sequence of floppies.
  39. - - Option to scan all mounted volumes.
  40. - - Can scan both MFS and HFS volumes.
  41. - - Dynamic display of the current folder name, file name, and a thermometer
  42.   indicating the progress of a scan.
  43. - - All scans can be canceled at any time.
  44. - - Scans produce detailed reports in a scrolling field.  Reports can be
  45.   saved as text files and printed with an editor or word processor.
  46. - - Carefully designed human interface that closely follows Apple's
  47.   guidelines.  All operations are initiated and controlled by 8 simple
  48.   standard push buttons.
  49. - - Uses an advanced detection and repair algorithm that can handle partial
  50.   infections, multiple infections, and other anomalies.
  51. - - Careful error checking.  E.g., properly detects and reports damaged and
  52.   busy files, out of memory conditions, disk full conditions on attempts
  53.   to save files, insufficient privileges on server volumes, and so on.
  54. - - Works on any Mac with at least 512K of memory running System 3.2
  55.   or later with HFS.
  56. - - Can be used on single floppy drive Macs with no floppy shuffling.
  57. - - Extensive online document describing Disinfectant, viruses in general,
  58.   the Mac viruses in particular, recommendations for "safe" computing,
  59.   Vaccine, and other virus fighting tools.  We tried to include everything in
  60.   the document that the average Mac user needs to know about viruses.
  61.  
  62. John Norstad
  63. Academic Computing and Network Services
  64. Northwestern University
  65. 2129 Sheridan Road
  66. Evanston, IL 60208
  67.  
  68. Bitnet:      jln@nuacc
  69. Internet:    jln@acns.nwu.edu
  70. AppleLink:   a0173
  71. CompuServe:  76666,573
  72.  
  73. ------------------------------
  74.  
  75. Date:    Sat, 05 Aug 89 16:55:21 -0700
  76. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  77. Subject: Typo Virus (PC)
  78.  
  79.     I just began an analysis of the Typo virus and, as with all new
  80. reported viruses, I ran McAfee's ViruScan against it as a first step.
  81. Imagine my surprise when it identified it as the Ping Pong virus!
  82. After tearing it apart, it turned out to be 90% original Ping Pong.
  83. Someone has taken the Ping Pong Carrier mechanism and modified the
  84. code that displays the bouncing dot to effect the typographical errors
  85. reported by Y Radai.  I gave the disassembly to John and I believe
  86. Scan version 33 discriminates between the two viruses.  John also just
  87. gave me a copy of the new Datacrime-2 virus, which is a strange beast.
  88. The encryption at the front of the virus is very different from the
  89. 1701/4 encryption method.  Included in the decryption code is a
  90. routine to prevent looking at the code through debug, Codeview or
  91. other single step utility.  I'll report back when I've ripped the
  92. beast apart, meanwhile I gave John sufficient info to update ViruScan
  93. so it can identify it (I think it's also included in V33).
  94.  
  95. Alan
  96.  
  97. ------------------------------
  98.  
  99. Date:    Sat, 05 Aug 89 17:06:52 -0700
  100. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  101. Subject: Israeli Boot Virus (PC)
  102.  
  103. This is a forward from John McAfee:
  104. ============================================================================
  105.  
  106.     Mr Radai rightly points out that there are two boot viruses that
  107. have emanated from Israel.  He suggests that we call the first one
  108. (the one that causes letters to fall from the screen) the "Swap"
  109. virus, since the message - 'SWAP Virus FAT12' appears in the modified
  110. boot record.  I would heartily agree, except that the version I have
  111. does not display such a message.  The thirty byte modification to the
  112. boot record (in my copy), is program code - no data characters at all.
  113. I don't know now whether we are talking about different viruses
  114. (although both allegedly originated with Mr. Tal) or whether some
  115. slight, or major, modification has been made to this virus in its
  116. travels.  In any case, for the meantime, I will leave the VIRUSCAN
  117. messages alone.  The original virus I still call the 'Israeli Boot',
  118. the new virus I call the 'Typo'.  I will change the name to a more
  119. acceptable name after someone has educated me on this issue.
  120.     Thanks for bearing with me.
  121.  
  122. John McAfee
  123.  
  124. ------------------------------
  125.  
  126. Date:    Mon, 07 Aug 89 10:39:26 -0400
  127. From:    Joe McMahon <XRJDM@SCFVM>
  128. Subject: nFLU Virus & Disinfectant (Mac)
  129.  
  130. Disinfectant 1.2 has been added to the automatic file distribution for
  131. those who are AFD'd to the VIRUSREM package at SCFVM. The file should
  132. be distributed this evening.
  133.  
  134.  --- Joe M.
  135.  
  136. ------------------------------
  137.  
  138. Date:    Mon, 07 Aug 00 19:89:51 +0000
  139. From:    utoday!greenber@uunet.uu.net
  140. Subject: FLU_SHOT+ V1.6 and Boot Blocks (PC)
  141.  
  142. There is a minor bug in FLU_SHOT+, V1.6, that will (depending upon the
  143. version of DOS used) ocasionally trigger the Boot Block Has Changed
  144. Message.  Ends up I forgot to zero out the top half of a register.
  145.  
  146. Fixed in V1.7.  (The beta's all went out today, by the way...thanks
  147. for your patience!)
  148.  
  149. Some people have recently started telling me about V1.6 telling them the
  150. boot has changed (under DOS 4.0) and (when they investigate it) they
  151. find that to be true.  No firsthand verification yet, though...
  152.  
  153. ------------------------------
  154.  
  155. End of VIRUS-L Digest
  156. *********************
  157. Downloaded From P-80 International Information Systems 304-744-2253
  158.