home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.191 < prev    next >
Text File  |  1995-01-03  |  8KB  |  203 lines
  1. VIRUS-L Digest   Wednesday, 13 Sep 1989    Volume 2 : Issue 191
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. October 12/13-CORRECTION (PC)
  17. Iceland/Saratoga viruses (PC)
  18. Virus frequency (PC)
  19. Suggestions on subject lines in comp.virus
  20. nVIR A Found on Book's Disk (Mac)
  21. RE: October 12th 13th Virus (pc)
  22.  
  23. ---------------------------------------------------------------------------
  24.  
  25. Date:    Tue, 12 Sep 89 13:55:21 +0000
  26. From:    frisk@rhi.hi.is (Fridrik Skulason)
  27. Subject: October 12/13-CORRECTION (PC)
  28.  
  29. I apologize for any confusion I may have caused, but it seems that the
  30. Datacrime viruses (1168 and 1280) do in fact not activate on Oct. 12.
  31.  
  32. The correct activation date is Oct. 13.
  33.  
  34. So:    No viruses vill activate on Oct. 12, but quite a few will
  35.        attack on Friday Oct. 13.
  36.  
  37.        Datacrime vill attack the first time an infected program is
  38.        run, on (or after) Oct. 13.
  39.  
  40. (Thanks to D. Chess for the correction)
  41.  
  42.  
  43. ------------------------------
  44.  
  45. Date:    12 Sep 89 00:00:00 +0000
  46. From:    David.M..Chess.CHESS@YKTVMV
  47. Subject: Iceland/Saratoga viruses (PC)
  48.  
  49. There seem to be three different viruses in this general family:
  50.  
  51.    - One is a resident EXE-file infector that infects every tenth
  52.      EXE file executed, and sometimes will mark a free cluster on a
  53.      hard disk as bad (the "damage" routine).  I've seen this one
  54.      called the "Saratoga 1".
  55.    - The second (not that the order I'm listing them in necessarily
  56.      means anything) is just like the first, except that it checks
  57.      the segment of the INT13 vector, and if it's not 0070 or F000,
  58.      it doesn't do anything.   I've seen this called the "Saratoga 2",
  59.      and also the "Icelandic Disk-Crunching virus" (that name is from
  60.      Fridrik Skulason).
  61.    - The third differs from the first in that it bypasses INT21 (by
  62.      means that I suppose I shouldn't mention in public), and doesn't
  63.      have the "mark a cluster bad" code.  It doesn't have the INT13
  64.      check that the second version does.   Fridrik Skulason calls
  65.      this, quite reasonably, the "Icelandic Virus, version 2".
  66.  
  67. Does this check correctly with everyone?   The Saratoga/Icelandic
  68. nomenclature is a bit confusing, and I want to make sure that
  69. there's general agreement about the facts, if not the names...   DC
  70.  
  71. ------------------------------
  72.  
  73. Date:    Tue, 12 Sep 89 20:58:52 +0000
  74. From:    frisk@rhi.hi.is (Fridrik Skulason)
  75. Subject: Virus frequency (PC)
  76.  
  77. It was interesting to see the numbers by John McAfee, regarding the
  78. frequency of various PC viruses in the US. Just to illustrate how
  79. different things are elsewhere, here is an estimate of the situation
  80. here in Iceland.
  81.  
  82.     1701/1704       60 %
  83.     Ping-Pong       30 %
  84.     Icelandic        5 %
  85.     Brain            5 %
  86.  
  87. No other virus has so far been detected here in Iceland, which quite
  88. surprising, since some viruses that are very common elsewhere,
  89. Jerusalem and Stoned in particular, should have arrived here by now.
  90.  
  91. The major reason the 1701/1704 number is so high is that some large
  92. companies have been infected. They include the University of Iceland,
  93. the Post & Telephone company and two major computer companies here.
  94.  
  95. In one case there was a company-wide infection, and a good reason for
  96. that.  It seems that somebody in management had decided that only a
  97. handful of men should have permission to install new software. This
  98. was done for a number of reasons, one of them to minimize the
  99. likelihood of virus infections.
  100.  
  101. What happened was that one person in this group got infected, and
  102. within two weeks he had spread the infection all over the company -
  103. You see, they were upgrading from DOS 3.2 to 3.3, and he was
  104. resposible for distributing the master copies to every department. On
  105. every disk was a copy of the Icelandic keyboard program - a program
  106. that was executed in AUTOEXEC.BAT. And - this program was infected
  107. with 1704.
  108.  
  109. The past week the entire PC support department there has been working
  110. overtime cleaning up their mess and running disinfection programs.
  111.  
  112.  
  113.  
  114.  
  115. ------------------------------
  116.  
  117. Date:    12 Sep 89 09:58:57 +0000
  118. From:    d88-sli@nada.kth.se (Stefan Lindmark)
  119. Subject: Suggestions on subject lines in comp.virus
  120.  
  121.  
  122. As a reader of comp.virus and *many* other newsgroups there is one thing
  123. that I really appreciate: Intelligent subject lines. Lots of time can be
  124. saved if subject lines contain proper information so that uninterested
  125. readers may do effective kills.
  126.  
  127. What has this got do to with comp.virus? I am (personally) interested only
  128. in articles regarding Macintosh virus strains. Thus I have put in my kill
  129. file PC, Amiga etc, so that I don't have to read them.
  130.  
  131. Now this is my idea: Everybody should compose subject lines that show which
  132. computer system the article considers. Examples:
  133.  
  134. Subject: New mega-nasty virus strain (Mac)
  135. Subject: Disk-destructive virus (Amiga)
  136. ...
  137.  
  138. Comments? Suggestions?
  139.  
  140. [Ed. A good point, and I've been promoting good subject lines on
  141. VIRUS-L/comp.virus for some time now.  And, I do try to put a (PC),
  142. (Mac), etc. at the end of subject lines where applicable, if the
  143. author has not already.]
  144.  
  145. Stefan Lindmark  Email: d88-sli@nada.kth.se  Snail-mail: Don't even bother...
  146. If everybody helped one newuser today, the world would look a bit happier.
  147.  
  148. ------------------------------
  149.  
  150. Date:    12 Sep 89 09:04:13 +0000
  151. From:    chinet!henry@att.att.com
  152. Subject: nVIR A Found on Book's Disk (Mac)
  153.  
  154.  
  155. I just received the book "Applied HyperTalk" which contains a disk with
  156. HyperCard 1.2.2 on it.  This disk is infected with nVIR A!
  157.  
  158. The Book:
  159.         Applied HyperTalk
  160.         by Jerry Daniels and Mary Jane Mara
  161.         Brady Utility, Prentice Hall Trade, Simon & Schuster
  162.         ISBN: 0-13-040882-4
  163. The Disk:
  164.         Brady
  165.         HyperCard 1.2.2 infected with nVIR A
  166.         Also Several stacks and a text file which are not infected.
  167.  
  168. I will be contacting the publisher, the Small Computer Book Club (where
  169. I got the book), and Apple about this.
  170.  
  171. If you have a copy of this, PLEASE check it for viruses!!!
  172.  
  173.                         Henry C. Schmitt
  174.                         Author of Virus Encyclopedia
  175. - --
  176.   H3nry C. Schmitt     | CompuServe: 72275,1456  (Rarely)
  177.                        | GEnie: H.Schmitt  (Occasionally)
  178.  Royal Inn of Yoruba   | UUCP: Henry@chinet.chi.il.us  (Best Bet)
  179.  
  180. ------------------------------
  181.  
  182. Date:    Wed, 13 Sep 89 11:50:00 -0500
  183. From:    Bradley James Bouwkamp <BOUWKAMP%HOPE.BITNET@VMA.CC.CMU.EDU>
  184. Subject: RE: October 12th 13th Virus (pc)
  185.  
  186.      Everybody (the press ) is talking about the virus and as one
  187. person stated "The Mania is started".  Well to add to the panic
  188. I just heard about it over the RADIO in Grand Rapids Mi.  I
  189. Didn't here all of it, but mainly it said watch out for it and
  190. some "group of people" have a anti-virus for it and to give them
  191. a call if you wanted a copy.
  192.  
  193. Brad Bouwkamp
  194.  
  195.  
  196.  
  197.  
  198. ------------------------------
  199.  
  200. End of VIRUS-L Digest
  201. *********************
  202. Downloaded From P-80 International Information Systems 304-744-2253
  203.