home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.20 < prev    next >
Text File  |  1995-01-03  |  8KB  |  212 lines
  1. VIRUS-L Digest              Friday, 20 Jan 1989         Volume 2 : Issue 20
  2.  
  3. Today's Topics:
  4. Friday the 13th virus
  5. re: PC Viruses
  6. RE: Any connection between ping-pong virus and Word Perfect? (PC)
  7. re: PDP Virus
  8. UK virus information server
  9.  
  10. ---------------------------------------------------------------------------
  11.  
  12. Date:  Fri, 20 Jan 89 08:28:50 EST
  13. From:  "John P. McNeely" <JMCNEELY@UTCVM.BITNET>
  14. Subject: Friday the 13th virus
  15.  
  16.      I read this on the RISKS discussion list concerning the rumors of
  17.      the Friday 13th virus.
  18.  
  19. - ---------------------------Original message----------------------------
  20.  
  21. Date: Wed, 18 Jan 1989 22:28:34 PST
  22. From: Peter Neumann <neumann@csl.sri.com>
  23. Subject: Friday the 13th Again
  24.  
  25. There were various reports of Friday-the-13th virus deletions in
  26. Britain, attacking MS-DOS systems.  The so-called virus "has been
  27. frisky and hundreds of people, including a large firm with over 400
  28. computers, have telephoned with their problems," according to Alan
  29. Solomon, director of S and S Enterprises, a data recovery center in
  30. Chesham.  The virus reportedly bore similarities to the Friday the
  31. 13th Israeli virus (13 May 1988, the previous Friday the 13th).
  32. [Source: SF Chronicle, 14 Jan 1989, p. B1]
  33.  
  34. ------------------------------
  35.  
  36. Date:        20 January 89, 15:01:30 +0100 (MEZ)
  37. From:        Otto Stolz <RZOTTO@DKNKURZ1.BITNET>
  38. Subject:     re: PC Viruses
  39.  
  40. First Main Proposition of Virus Hunting: Every program designed to
  41. catch viruses can be circumvented by virus-writers who know its
  42. principles of operation.
  43.  
  44. Second Main Proposition of Virus Hunting: Every virus can be catched
  45. and prevented from further propagating, if its principles of operation
  46. are known.
  47.  
  48. > Does anyone know where we can get a program which either runs resident
  49. > on a PC and prevents viruses from attacking the hard disk
  50.  
  51. According to the above 1st Proposition, there is no such thing!
  52. However, you may obtain programs to prevent particular virus strains
  53. from propagating to your hard disk, e.g. IMMUNE for 4 Israeli strains.
  54.  
  55. To prevent Boot-Sector-Viruses from propagating, you can buy SafeGuard
  56. cards for your PCs, to prevent booting from floppy disks, altogether.
  57. Proceed thus: boot from a clean, original DOS diskette, format your
  58. hard disk, re-install software on it, and then install the SafeGuard
  59. card (do not allow for further booting until you've completed these
  60. steps).
  61.  
  62. > or non-resident programs which detect the presence of a virus?
  63.  
  64. Again, there is no such thing!  The best option you have: To detect
  65. COM- and EXE-viruses, write your own program to compute some signature
  66. value from all bytes in a file and compare it with a value obtained
  67. earlier in the same way.  Lock away the source of your program and
  68. every hints on its algorithm in a safe place, and apply it regularly
  69. to every program file you use (including itself).
  70.  
  71. I hope that helps
  72.                   Otto Stolz
  73.  
  74. [Ed. Fred Cohen has an interesting way of phrasing your two
  75. propositions - "There ain't a horse that can't be rode or a man that
  76. can't be throwed."]
  77.  
  78. ------------------------------
  79.  
  80. Date:     Fri, 20 Jan 89  16:12:59 MET
  81. From:     <UNRZC6@DERRZE0.BITNET>  (Dirk Bode)
  82. Subject:  RE: Any connection between ping-pong virus and Word Perfect? (PC)
  83.  
  84. Eldads Word Perfect problem sounds much like the problem we had at our
  85. Computer Center. It is produced by a little memory resident virus
  86. witch infects every COM or EXE File without damages, exept WP 4.2!!
  87. Now, how can you detect this virus ?? First look at your memory
  88. residents (with MAPMEM or such tools). There is after the virus is
  89. installed a new program (nearly 1700 Byte). Every time you execute a
  90. program the virus copy itself at the begining of this file. If you
  91. execute an infected file the virus checks first if it's already
  92. installed then execute the normal program. So, if you got this virus
  93. you may never recognise until you use an copy of Word Perfect 4.2:
  94. after infection you can't work from a HD.  If somebody is interessted
  95. in a program to check if a file is already infected send me a note!
  96.  
  97. Dirk Bode
  98. Regionales Rechenzentrum Erlangen
  99. unrzc6@derrze0.bitnet
  100.  
  101. ------------------------------
  102.  
  103. Date:     Fri, 20 Jan 89 10:55 EST
  104. From:     <SYSTEM@CRNLNS.BITNET>
  105. Subject:  re: PDP Virus
  106.  
  107. Thomas,
  108.  
  109. Oh, the memories that brings back.
  110.  
  111. You neglected to mention that the "PDP" was a "PDP-10".  There are
  112. lots of other PDPs in the world: PDP-11s and PDP-8s are still widely
  113. used. PDP-10s have mostly gone the way of all good things. CompuServe
  114. is still using a lot of them, but they don't run TOPS-10.
  115.  
  116. The program may have mutated since the last time I saw it (about 10
  117. years ago), but here is what I remember.  The program you describe was
  118. neither a "virus" nor a "worm" in the current senses of those terms.
  119. Probably the closest term would be "trojan horse".
  120.  
  121. The "cookie" program was a privileged program running under TOPS-10.
  122. It was usually run by one "friend" to annoy another.  It used a
  123. privileged "ttcall" (TOPS-10 terminal I/O call) to allocate the
  124. victim's terminal and would pester him or her mercilessly until either
  125. the victim "fed" it a "cookie" or the perpetrator exited the program.
  126. The computer's "system manager" had to be involved, since the program
  127. needed to be "installed" (the Tops-10 terms were somewhat different),
  128. so the program wasn't entirely uncontrollable.
  129.  
  130. Ah, those were the good old days: when 0.25 MIPS mainframes took up an
  131. entire room, large disk drives were 20 MegaBytes, and you couldn't
  132. afford more than 256KBytes of core memory.
  133.  
  134. Thanks for the nostalgia.
  135.  
  136. Selden E. Ball, Jr.
  137. (Wilson Lab's network and system manager)
  138.  
  139. Cornell University                 Voice: +1-607-255-0688
  140. Laboratory of Nuclear Studies        FAX: +1-607-255-8062
  141. Wilson Synchrotron Lab            BITNET: SYSTEM@CRNLNS
  142. Judd Falls & Dryden Road        Internet: SYSTEM@LNS61.TN.CORNELL.EDU
  143. Ithaca, NY, USA  14853       HEPnet/SPAN: LNS61::SYSTEM = 44283::SYSTEM
  144.  
  145. ------------------------------
  146.  
  147. Date:       Thu, 19 Jan 89 14:28:52 GMT
  148. From:       The Heriot-Watt Info-Server <infoadm@CS.HW.AC.UK>
  149. Subject:    UK virus information server
  150.  
  151. UK redistribution list and archive server
  152.  
  153. For the information of other UK and European members of the virus-l
  154. list, there is now a UK redistribution of the valert-l and virus-l
  155. lists from Heriot-Watt University, Edinburgh.
  156.  
  157. The virus-l redistribution currently has 42 members, 14 of which are
  158. academic site or company central redistribution points.
  159.  
  160. There is also an information server located at Heriot-Watt which
  161. currently holds:
  162.  
  163. 1. All back issues of the virus-l list (in digest for from November, in
  164.    monthly or weekly log form from April)
  165. 2. Copies of the Trojan-PRO software from the RPICICGE archives
  166. 3. Copies of the LEHIIBM1 listserver software archives
  167. 4. Copies of the SCFVM listserver MAC software archives
  168. 5. Risks digests from November onwards
  169. 6. Various documentation on viruses, worms etc. Eg Gene Spaffords report
  170.    on the internet worm.
  171.  
  172. The information server is similar to the UK distributed information servers
  173. and takes requests in the form of a mail message to the server mail
  174. address <info-server@cs.hw.ac.uk>
  175.  
  176. For help on the use of the server send a mail message with the request help, eg
  177.  
  178. request: help
  179.  
  180. For an index of the topics available send,
  181.  
  182. request: index
  183. topic: index
  184.  
  185. For a list of all virus information available, send
  186.  
  187. request: virus
  188. topic: index
  189.  
  190. If anyone has any reports or software which they would like to appear on this
  191. server please feel free to send them to <davidf@cs.hw.ac.uk>. Updates on new
  192. items will be posted to the UK redistribution list. Any European subscribers
  193. who wish to be kept informed of software availability please drop me a note.
  194.  
  195. Finally, if anyone has a binhex 4.0 conversion utility running under unix
  196. I would dearly like a copy.
  197.  
  198. Yours sincerely,
  199.    Dave Ferbrache,                          <davidf@uk.ac.hw.cs> [Janet]
  200.    Dept of computer science                 <davidf@cs.hw.ac.uk> [Internet]
  201.    79 Grassmarket                           (UK) 031-225-6465 ext 553
  202.    Edinburgh. EH1 2HJ
  203.  
  204. [Ed. Thanks for all your time and effort, Dave!  It is much
  205. appreciated.]
  206.  
  207. ------------------------------
  208.  
  209. End of VIRUS-L Digest
  210. *********************
  211. Downloaded From P-80 International Information Systems 304-744-2253
  212.