home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.196

< prev

next >

Wrap

Text File  |  1995-01-03  |  9KB  |  256 lines

---

1. VIRUS-L Digest   Tuesday, 19 Sep 1989    Volume 2 : Issue 196
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Macintosh Virus
17. oct 13 virus (PC)
18. nbbs virus simulator (PC)
19. 123 protected mode virus (PC)
20. F-PROT anti-virus package (PC)
21. have you a name for (what might be) a virus (PC)
22.  
23. ---------------------------------------------------------------------------
24.  
25. Date:    Tue, 19 Sep 89 09:48:00 -0400
26. From:    "JOHN P. BRADLEY"
27. Subject: Macintosh Virus
28.  
29. Howdy!
30.      Well it was bound to happen - why should we be any different?  We
31. believe we have discovered a virus in our microcomputer lab.  So far, we
32. have only found one contaminated diskette.  This is a MAC station disk
33. used for booting a MAC to work with Appleshare.  We ran VIRUS Rx and it
34. confirmed a user's suspicion.  The report from VIRUS Rx detected the
35. presence of the SCORES virus (or so it seemed to indicate).
36.      Has anyone else had a similar experience and could offer any ideas
37. on how to proceed?  At present, we are beginning to check all station disks
38. and offering to check any user's disks for a virus.  Next step, is
39. education of the users, hoping that this won't get out of hand.
40.      Any ideas would be greatly appreciated.
41.  
42. ==========================================================================
43. ! John P. Bradley                !    U.S. Mail : Hawkins Hall, Room 029 !
44. ! Senior Programmer/Analyst      !                SUNY                   !
45. ! Computing Support Center       !                Plattsburgh, NY  12901 !
46. ! State University of New York   !                (518) 564-4433         !
47. ! College at Plattsburgh         !    BitNet    : BRADLEJP@SNYPLAVA      !
48. !                                !                POSTMAST@SNYPLAVA      !
49. ==========================================================================
50.  
51. ------------------------------
52.  
53. Date:    Mon, 18 Sep 89 19:39:00 -0400
54. From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
55. Subject: oct 13 virus (PC)
56.  
57. can the october 13th virus be fooled into triggering early
58. by advancing the date on the system?
59.  
60. if so, if someone loads an intercept program like sentry2 or
61. another good program, will it intercept and warn you of
62. impending disaster?
63.  
64. ------------------------------
65.  
66. Date:    Mon, 18 Sep 89 19:39:00 -0400
67. From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
68. Subject: nbbs virus simulator (PC)
69.  
70. does anyone know where we can obtain the nbbs simulator.
71.  
72. we are doing some research here and it would be of
73. great vakue to us.
74.  
75. thanks.
76.  
77. ------------------------------
78.  
79. Date:    Mon, 18 Sep 89 18:50:00 -0400
80. From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
81. Subject: 123 protected mode virus (PC)
82.  
83. It would appear that a new virus is on the scene. it seems that
84. some strain attacks >only< the large (700k+) plus file supplied
85. with lotus 123 version 3.
86.  
87. basically what happens seems to be as follows:
88.  
89. 1) The file grows in size (one time) by 3907 bytes.
90. 2) Any spreadsheet saved after the virus has infected the file
91.    is exactly half the size of what it should be. in other words
92.    if you have a spreadsheet 100 x 100 cells in size, after you
93.    save it and then retrieve again, it is exactly 50 x 50 in
94.    size.
95.    I call this a virus because the file does grow in size one time
96.    and if you erase the file, restore the file from a backup and
97.    run lotus again, the file grows again in size.
98.  
99.    It also seems to cause files which run in protected mode/dos
100.    mode to grow as well. makes me feel that this is a virus
101.    geared to extended memory programs.
102.  
103. in any event as soon as the code is isolated i will make it
104. available to homebase so they can figure out a test to see if
105. it is present.
106.  
107. this has not damaged anything at the univerisity. this is strictly
108. on observation based on outside experiences.
109.  
110. w.r.
111.  
112.  
113. ------------------------------
114.  
115. Date:    Tue, 19 Sep 89 15:27:34 +0000
116. From:    frisk@rhi.hi.is (Fridrik Skulason)
117. Subject: F-PROT anti-virus package (PC)
118.  
119. Some time ago I sent out several copies of my F-PROT anti-virus package.
120. Those copies were only beta-release, and not intended for general
121. distribution, although they were uploaded to SIMTEL by mistake. Now I have
122. fixed all the problems reported to me and added a number of new features.
123.  
124. F-PROT will be made available soon, but it is now in final testing at
125. around 20 sites here in Iceland.
126.  
127. I am still speculating on how to distribute it. Is the idea of shareware,
128. where you will automatically receive the next major update for a
129. contribution of $15 (or equivalent) acceptable ?
130.  
131. I would be very interested in knowing how much interest there is for
132. this set of programs. If you would like to see it distributed on SIMTEL,
133. comp.binaries.ibm.pc etc, please let me know. (A short reply saying just
134. "yes" will do). If there seems to be sufficient interest in this program,
135. it will made available later this month.
136.  
137. F-PROT includes a number of anti-viral programs, including:
138.  
139.    1)    A device driver that provides full protection against
140.     most viruses. The program will check every program run
141.     for infection by any of the following viruses:
142.  
143.         April 1. (sURIV 1.0 and sURIV 2.0)
144.         Cascade (1701, 1704)
145.         DataCrime
146.         DataCrime-II
147.         405
148.         Friday 13. (Miami, Munich)
149.         Fu Manchu
150.         Icelandic (incl. Saratoga)
151.         Jerusalem (incl. sURIV 3.0)
152.         Lehigh
153.         Traceback
154.         Vienna (DOS 62)
155.  
156.     In addition the program will also provide protection against
157.     the following boot sector viruses:
158.  
159.         Ping-Pong (Italian)
160.         Brain
161.         Stoned (New Zealand)
162.         Den Zuk
163.         Alameda/Yale
164.         Typo
165.  
166.     It is also able to stop (but not identify) new boot sector viruses.
167.  
168.     The viruses listed above are responsible for over 99% of
169.     infections.
170.  
171.     The best part is that this program only occupies around 1K of
172.     memory, and is totally invisible unless an attempt is made to run
173.     an infected program.
174.  
175.    2)   A program that will look for infections and remove them. This
176.     program can handle all the viruses listed above, and in addition
177.     it will detect infections by the following viruses:
178.  
179.         Pentagon
180.         Swap
181.         Nichols
182.         Agiplan
183.         2730
184.  
185.     These viruses are very rare, but code to remove them will
186.     be added as soon as I obtain a copy of them.
187.  
188.     The following viruses have been reported, but are extremely rare
189.     and certainly not a serious threat (yet).
190.  
191.         Dbase
192.         Oropax
193.         Ohio
194.         RAP
195.         MIX1
196.  
197.     Code to detect and remove them will be added as soon as possible.
198.  
199.    3)    A program that will modify any .EXE or .COM file and add code
200.     to it, so that the program will check itself for infection by
201.     ANY virus when run. This will provide full protection against
202.     any new program viruses. This addition to the program will not
203.     interfere with normal execution.
204.  
205.    4)   A TSR program that will watch out for suspicious activity:
206.  
207.         Attempts to write to the FAT.
208.         Formatting of the hard disk.
209.         Making Read-Only .EXE or .COM files Read/Write.
210.         Writing to a .EXE and .COM file
211.  
212.     Other similar programs exist, but this one is also able to:
213.  
214.     .... stop viruses that bypass INT 21 when performing
215.          DOS functions (like the Icelandic virus does).
216.  
217.     .... prevent all four methods used in the TRYOUT program
218.          in Dr. Solomon's Anti-Virus Toolkit from working.
219.  
220.     As far as I know, no other similar program can do this.
221.  
222.    5)    A number of utilities:
223.  
224.         Memory-mapping program
225.         Inoculation program
226.         Checksum program
227.         Disk locking program
228.         + a few more.
229.  
230. - --------------------------------------------------------------------
231.          Fridrik Skulason          University of Iceland
232.          frisk@rhi.hi.is
233.  
234.           Guvf yvar vagragvbanyyl yrsg oynax .................
235.  
236. ------------------------------
237.  
238. Date:    19 Sep 89 16:49:48 +0000
239. From:    trw@hrc63.uucp (Trevor Wright "Marconi Baddow")
240. Subject: have you a name for (what might be) a virus (PC)
241.  
242. I've heard of a virus (possibly) whereby the screen randomly scrolls
243. up either over its full width, or restricted to a small window
244. covering 8 lines in the top left, ie, the bottom line scrolls up and
245. obliterates the intermediate lines. I'm told there are no harmful
246. effects, and it's been seen on several makes of system and MS-DOS 3.2
247. and 3.3, both inside applicationsand just in MS-DOS command mode..
248.  
249. Anyone got a name for this virus ??
250.  
251. ------------------------------
252.  
253. End of VIRUS-L Digest
254. *********************
255. Downloaded From P-80 International Information Systems 304-744-2253
256.