home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.178 < prev    next >
Text File  |  1995-01-03  |  5KB  |  114 lines
  1. VIRUS-L Digest   Monday, 21 Aug 1989    Volume 2 : Issue 178
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Basic Virus Questions (PC)
  17. NEW VIRUS DICOVERED AND DISASSEMBLED
  18. Fixing Disinfectors/Virus Finders
  19.  
  20. ---------------------------------------------------------------------------
  21.  
  22. Date:    18 Aug 89 10:52:00 -0400
  23. From:    "Andrew R. D'Uva" <aduva@guvax.BITNET>
  24. Subject: Basic Virus Questions (PC)
  25.  
  26. After hearing quite a bit about viruses, particularly the Internet
  27. 'Worm' of November, 1988, I have a few questions concerning prevention
  28. of virus infiltration on IBM PCs/clones using MS-DOS 3.3x or 4.01.
  29.  
  30. 1) Is the possibility of virus infection limited to executable
  31.    programs (.com or .exe extensions)? Or can an operating system be
  32.    infected from reading a document file or graphic image?
  33.  
  34. 2) Are there generic "symptoms" to watch for which would indicate a virus?
  35.  
  36. 3) Any suggestions on guidelines for handling system archiving
  37.    procedures so that an infected system can be "cleaned up"?
  38.  
  39.    Thanks for the help.
  40.  
  41.    Andrew D'Uva
  42.    Jnet--->           ADUVA@GUVAX
  43.    Internet--->       ADUVA@GUVAX.GEORGETOWN.EDU
  44.  
  45. ------------------------------
  46.  
  47. Date:    Fri, 18 Aug 89 19:07:11 -0500
  48. From:    Christoph Fischer <RY15%DKAUNI11.BITNET@IBM1.CC.Lehigh.Edu>
  49. Subject: NEW VIRUS DICOVERED AND DISASSEMBLED
  50.  
  51.  
  52. We just finished to disassemble a new virus, it was sent to us by the
  53. university of Cologne. We haven't found any clue that this virus showed
  54. up before.
  55. Here are the facts we found:
  56.    0. It works on PC/MS-DOS ver. 2.0 or higher
  57.    1. It infects COM files increasing them by 1206 to 1221 bytes
  58.       (placing the viruscode on a pragraph start)
  59.    2. It infects EXE files in two passes: After the first pass the EXE
  60.       file is 132 bytes longer; after the second pass its size increased
  61.       by an aditional 1206 to 1221 bytes (see 1.)
  62.    3. The virus installs a TSR in memory wich will infect executable
  63.       files upon loading them (INT 21 subfunction 4B00) using 8208 bytes
  64.       of memory
  65.    4. The only "function" we found, was an audible alarm(BELL character)
  66.       whenever another file was successfully infected.
  67.    5. It infects COM files that are bigger than 04B6h bytes and smaller
  68.       than F593h bytes and start with a JMP (E9h)
  69.    6. It infects EXE files if they are smaller than FDB3 bytes (no
  70.       lower limit)
  71.    7. It opens a file named "VACSINA.   " without checking the return
  72.       value. At the end it closes this file without ever touching it.
  73.  
  74.  The facts 4 and 7 make us belive it is a "Beta-Test" virus that might
  75.  have escaped prematurely by accident.
  76.  The word VACSINA is really odd beause of its spelling. All languages I
  77.  checked (12) spell it VACC... only Norwegians write VAKSINE. Has anybod
  78.  an idea?
  79.  We produced an desinfectant and a guardian.
  80.  The PC room at Cologne (28 PCs) was also infected by DOS62 (Vienna)|
  81.  We call the virus VACSINA because of the unique filename it uses|
  82.  
  83.        Chris & Tobi & Rainer
  84. *****************************************************************
  85. * TORSTEN BOERSTLER AND CHRISTOPH FISCHER AND RAINER STOBER     *
  86. * Micro-BIT Virus Team / University of Karlsruhe / West-Germany *
  87. * D-7500 Karlsruhe 1, Zirkel 2, Tel.: (0)721-608-4041 or 2067   *
  88. * E-Mail: RY15 at DKAUNI11.BITNET or RY12 at DKAUNI11.BITNET    *
  89. *****************************************************************
  90.  
  91. ------------------------------
  92.  
  93. Date:    Fri, 18 Aug 00 19:89:35 +0000
  94. From:    utoday!greenber@uunet.UU.NET (Ross M. Greenberg)
  95. Subject: Fixing Disinfectors/Virus Finders
  96.  
  97.  
  98. To Mr. McAfee:  (Hi John!)
  99.  
  100. Simply do what I do: encrypt the string you're looking for yourself,
  101. then decrypt it when you first run the program.  Works like a champ
  102. here....
  103.  
  104. Sheesh!  Do i have to tell my competition everything?  :-)
  105.  
  106. Ross
  107.  
  108.  
  109. ------------------------------
  110.  
  111. End of VIRUS-L Digest
  112. *********************
  113. Downloaded From P-80 International Information Systems 304-744-2253
  114.