home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.201

< prev

next >

Wrap

Text File  |  1995-01-03  |  26KB  |  615 lines

---

1. VIRUS-L Digest   Monday, 25 Sep 1989    Volume 2 : Issue 201
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Re: Centel Corp. and ViruScan
17. New IBMPC anti-viral programs
18. should we fight fire with fire?
19. Re: Should we fight fire with fire? NO!
20. Macintosh Lock-up
21. Anti-virus virus
22. Re: Software company distributing viruses (PC)
23. The anti-virus virus
24. MIX1 (PC)
25. RFC: Guide to Fighting Macintosh Viruses:...
26. A boincing diamond star (What is it???)
27. SCANV38 (PC)
28. Is this a virus ?
29.  
30. ---------------------------------------------
31.  
32. Date:    Fri, 22 Sep 89 08:21:07 -0400
33. From:    dmg@lid.mitre.org (David Gursky)
34. Subject: Re: Centel Corp. and ViruScan
35.  
36. In
37. (ewiles@iad-nxe.global-mis.dhl.com) writes...
38.  
39. The creator of VirusX for the Amiga certainly feels this way, [that "I
40. want you to get your information from me and no one else"], and for a
41. very good reason: It's the only way to make certain that the program
42. hasn't been tampered with to make it a virus spreader instead of a
43. stopper.
44.  
45. It just so happens that I agree with him.  What better way for some
46. sleazo to get a virus or trojan horse spread than to make it look like
47. it's a common, otherwise trusted, shareware virus killer program?
48.  
49. - -----
50.  
51. I have no qualms with any of this per se.  If the author of a package
52. wants to limit the sources from which his or her work is available,
53. fine!  But by doing so you forfeit the right to label your work as
54. shareware!
55.  
56. Shareware, by definition, is software that is shared with other users
57. for the purpose of preliminary evaluation.  If the user finds the
58. application useful, the user is honor- and legally-bound to pay the
59. requested fee for the software.
60.  
61. Shareware works because the distribution system is the users
62. themselves.  The author has only a minimal say in the distribution.
63. Certainly if the author wants to more strictly limit the dissemination
64. of his or her work, he or she is welcome to do so.  The proper manner
65. is a commercial distributor; anything that tries to mix commercial and
66. shareware, "isn't kosher".
67.  
68. As far as Ed's other argument goes (about using trusted shareware
69. virus killer programs as a carrier for a virus), I can't be the only
70. one who has failed to notice that despite that this is a common fear,
71. it has not happened recently or often (the last case I know of was a
72. "version" of Ross Greenberg's original FluShot, that was a Trojan
73. Horse that destroyed FATs or some-such; even then, this wasn't a virus
74. but a trojan).
75.  
76. Let me take this one step further.  Anti-virus applications (IMO) make
77. a poor carrier for a virus.  In order for a virus to succeed, it must
78. go undetected.  This means that prior to the activation of the virus'
79. logic-bomb or time-bomb, it cannot interfere with the normal operation
80. of the computer or the applications in use on the computer.  To do so
81. greatly improves the chances the virus will be discovered (to wit, the
82. Jerusalem virus).  If we work under the assumption that when a user
83. acquires an anti-virus application, they actually use it (in fact we
84. must work under this rule; otherwise the virus would not spread), the
85. virus necessarily undergoes an increased chance of detection because
86. an application is running that looks for viruses!
87.  
88. Standard disclaimers apply.
89.  
90. David Gursky
91. Member of the Technical Staff, W-143
92. Special Projects Department
93. The MITRE Corporation
94.  
95. ------------------------------
96.  
97. Date:    Fri, 22 Sep 89 09:14:40 -0500
98. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
99. Subject: New IBMPC anti-viral programs
100.  
101. More programs for the IBMPC anti-viral archives.
102.  
103. columbus.arc
104.         Program to backup track zero of a hard drive and restore
105.         track zero.  Meant for disaster recovery, such as that
106.         from "Columbus Day" virus.  Includes source!
107. m-3066.arc
108.         Program to repair damage due to the new "3066" virus.
109.         Checks and repairs and entire drive.  Use with caution.
110. scanres7.arc
111.         Memory resident program to check each program for viruses
112.         before it is executed.  This replaces the previous release
113.         of scanres.
114. scanv37.arc
115.         Scans hard drives or floppies for viruses.  This replaces
116.         the previous release of scanv.
117. virsimul.arc
118.         Program to simulate the non-destructive effects of various
119.         viruses.  Very useful in figuring out what everyone else
120.         is talking about.
121.  
122. COLUMBUS.ARC    Save & restore track zero of hard drive.
123. M-3066.ARC      Recover from the 3066 virus.
124. SCANRES7.ARC    Resident program to detect viruses.
125. SCANV37.ARC     Scans drives and reports presence of viruses.
126. VIRSIMUL.ARC    Simulates non-destructive behavior of viruses.
127.  
128. Jim
129.  
130. ------------------------------
131.  
132. Date:    Fri, 22 Sep 89 11:42:25 -0400
133. From:    "Ronald Johnson," <RJOHNSON%BCSC02.BITNET@VMA.CC.CMU.EDU>
134. Subject: should we fight fire with fire?
135.  
136.  *** Reply to note of 09/22/89 00:11
137.  
138.  The proposed "solution" is not acceptable.
139.  1. It would be the beginning of a new "ARMS RACE" with each side trying to
140.     overpower the other with increasingly sophisticated viruses.
141.  2. The possibility for abuse is frightening.
142.  
143.  .
144.  Regards,
145.  Ronald Johnson, acting Data Security Manager
146.  Security Services, LDB, Vancouver, 254-5711 ext. 353
147.  
148. ------------------------------
149.  
150. Date:    Fri, 22 Sep 89 09:51:53 -0700
151. From:    well!odawa@apple.com (Michael Odawa)
152. Subject: Re: Should we fight fire with fire? NO!
153.  
154. Thank you for bringing this issue up with others before you acted.  We have
155. had previous discussions about this issue, and here are some of the
156. considersations:
157.  
158.    a)  Virus technology is still relatively primitive; there is much we do
159.        not know about the interaction of viruses with other software
160.        functions, such as real-time, cycle counting procedures.  Hence even
161.        a well-intentioned virus writer can not anticipate all the effects
162.        his code may produce.
163.  
164.    b)  It is highly likely that bugs and unintended side effects will be
165.        present in any complex piece of software.  Thus even an intended
166.        "beneficial" virus is likely to take action beyond what was designed
167.        by the author.
168.  
169.    c)  The existence of "good" viruses in the environment would create a
170.        massive identification problem for the anti-viral software routines
171.        which currently exist and which are being developed.  How could a
172.        virus detector distinguish between a "good" virus and a "bad" virus
173.        that was masquerading as a "good" one?
174.  
175.    d)  One of the worst aspects of virus propagation is that it alters the
176.        contents of other people's computers and storage media without their
177.        consent.  This is a very serious ethical principle which cannot be
178.        broached even in the name of public service.  You simply do not have
179.        permission to muck with people's computing hardware without asking
180.        them first.
181.  
182. For these reasons and others, we ask you not to become seduced by the
183. temptation to create a "good" virus.  Indeed, we believe that,
184.  
185.                    The only good virus is a dead one.
186.  
187. Michael Odawa
188. Sofware Development Council
189. odawa@well.uucp
190.  
191. ------------------------------
192.  
193. Date:    Fri, 22 Sep 89 13:26:00 -0500
194. From:    "Chris_C.Conner" <13501CCC%MSU.BITNET@IBM1.CC.Lehigh.Edu>
195. Subject: Macintosh Lock-up
196.  
197. This is the first time I've written to the digest and I hope someone
198. out there has some information on my topic.  I work at the Graphics
199. Lab in Michigan State University's Computer Center, so we get plenty
200. of people coming through to use our MacII and scanner.  A fellow came
201. in the other day and when he inserted his disk into the Mac, the
202. machine locked up.  We run VACCINE, and Disinfectant 1.2.  After
203. restarting the machine, I checked the hard-disk and found nothing, so
204. I inserted his disk again (while Disinfectant was still running) and
205. it locked up again.
206.     I was wondering if anyone knew about this.  If it is some kind of
207. virus it could be a real nuisance.  You couldn't use the disk, or
208. reformat it because you couldn't put it into a machine.  The only
209. thing I can think of doing is using a bulk eraser.
210.  
211.          If anyone has anything, help me out...
212.  
213.                                             CCC
214.  
215. ------------------------------
216.  
217. Date:    Fri, 22 Sep 89 16:02:39 -0500
218. From:    Joe Simpson <JS05STAF%MIAMIU.BITNET@VMA.CC.CMU.EDU>
219. Subject: Anti-virus virus
220.  
221. Recently another proposal to create an anti-virus virus was made on
222. valert-l.  I posted a note that discussion belonged in virus-l and
223. that I would be responding here.
224.  
225. [Ed. Thank you!]
226.  
227. Concerning writing an anti-virus virus.  Such an entity would make
228. unauthorized use of equipment not owned or operated by this virus's
229. creator.  The creator would be acting in just as immoral a fashion
230. as the creators of joke, political, or deliberately desctructive
231. viruses.  In fact, I prefer not to make moral judgements based upon
232. the intent of the virus creator.  I would prefer that they simply
233. refrain from this anti-social behavior no matter what the motivation.
234.  
235. ------------------------------
236.  
237. Date:    22 Sep 89 12:57:23 +0000
238. From:    bnr-di!borynec@watmath.waterloo.edu (James Borynec)
239. Subject: Re: Software company distributing viruses (PC)
240.  
241.  
242. In article <0006.8909211142.AA16502@ge.sei.cmu.edu>, frisk@rhi.hi.is (Fridrik S
243. kulason) writes:
244. >     "We can't have a virus - there are no pirated games here"
245. > I guess this will happen elsewhere, but until now there have been very
246. > few occurrences of software companies distributing viruses (only 4
247. > that I know of).
248.  
249. Software companies may be the largest source of virus contamination
250. around.  After all, they send disks everywhere and no one worries
251. about 'shrink wrap' software being 'unclean'.  I have only been hit by
252. two viruses - both came from software companies - one of which was
253. Texas Instruments.  The guy in the office next door was hit by a copy
254. of a virus on his (shrink wrap) copy of WordPerfect.  I think it is
255. shocking that people are told just to watch out for viruses when
256. engaged in software 'swapping'.  Everyone should regard EVERY disk
257. that enters their machine with suspicion.
258.  
259. J.b.
260. - --
261. UUCP : utzoo!bnr-vpa!bnr-di!borynec  James Borynec, Bell Northern Research
262. Bitnet: borynec@bnr.CA        Box 3511, Stn C, Ottawa, Ontario K1Y 4H7
263.  
264. ------------------------------
265.  
266. Date:    Sat, 23 Sep 89 11:49:00 -0500
267. From:    <CTDONATH%SUNRISE.BITNET@VMA.CC.CMU.EDU>
268. Subject: The anti-virus virus
269.  
270. (regarding a note of 9/22/89 on VALERT-L)
271.  
272. Using a virus to destroy other viruses is a good idea IN THEORY. It
273. assumes two points: 1. the AVV (anti-virus virus) is assumed to work
274. properly under all conditions; 2. the virus-writers are assumed to not
275. create new anti-anti-virus-virus viruses i.e. start a viral arms race.
276.  
277. Regarding point 1:
278. Robert Morris Jr. seemed to want his worm to be "well behaved", with only
279. one rather tame worm living on each system on Internet. However, one little
280. bug (from what little I know) caused the worm to run out of control.
281. Like the author of the Internet worm, the authors of the AVV would probably
282. be crucified if anything went wrong. In fact, the virus hysteria would
283. cause a major uproar even if it worked (would you like a virus to appear
284. on your system without your permission even if it did no damage?)
285.  
286. Point 2:
287. I assume one reason that viruses are written is because it "lives", i.e.
288. it exists, multiplies, travels, and survives in a way resembling, say,
289. a flea. The existance of a virus that "eats" viruses would be seen as a
290. challenge that would become a "survival of the fittest" contest.
291. A viral war would break out between the "bad" virus writers and the
292. "good" virus writers. The battlefield would be computers in general.
293.  
294. - -=- CTDONATH@SUNRISE -=-
295.  
296.  
297. ------------------------------
298.  
299. Date:    Sat, 23 Sep 89 13:59:23 +0000
300. From:    frisk@rhi.hi.is (Fridrik Skulason)
301. Subject: MIX1 (PC)
302.  
303. Actually I was not planning to write more about viruses from Israel
304. for a while, but I just could not resist.
305.  
306. You see, the latest virus reported there, the MIX1 virus, is in fact just
307. a variant of the Icelandic virus. I would not be surprised, if this was
308. in fact the variant mentioned some time ago, as
309.  
310.     "...a hacked variant of the Icelandic virus, that a group of
311.      hackers intends to distribute to various BBS..."
312.  
313. Fortunately, it is just a variant of the Icelandic-1 virus, like Saratoga.
314. If the authors of MIX1 had instead based their variant on Icelandic-2, we
315. might be seeing the start of a serious problem.
316.  
317. I have now almost finished disassembling MIX1, and here are a few details
318. not mentioned by Yuval Tal in his report:
319.  
320. The virus has been modified in several places, in order to fool virus
321. detection programs. The changes include replacing instructions with
322. other equivalent ones.
323.  
324. Examples    XOR AX,AX      --->      MOV AX,0000
325.  
326.         MOV ES,AX       --->     PUSH AX
327.                                          POP ES
328.  
329. Also, NOP instructions have been inserted in several places, including inside
330. the identification strings used by VIRUSCAN and most other similar programs.
331.  
332. This seems to be a response by virus writers to anti-virus programs that look
333. for infection by using identification strings. This method has so far only
334. been used in two viruses that I know of, MIX1 and the '286 variant of the
335. Ping-Pong virus.
336.  
337. Apart from these changes, two parts of the virus are almost identical to other
338. variants of the Icelandic virus. In the installation part, the code to
339. check INT 13 has been removed. (as in Saratoga and Icelandic-2). The infection
340. routine has been modified in the following ways:
341.  
342.     Infect every file (instead of every tenth program run.)
343.     Do not infect a program, unless it is at least 16K long.
344.  
345. The Icelandic virus was first detected in June, disassembled a week later,
346. and the disassembly was made available around the beginning of July. The
347. MIX1 virus appeared in Israel in August - which is a very short time for a
348. virus to spread around the globe.
349.  
350. Now - the question is: How did the authors of MIX1 obtain the Icelandic virus ?
351.  
352. It is almost certain that these viruses do not have the same author, because
353. then the virus would surely have been based on Icelandic-2, which is a much
354. more dangerous and effective variant.
355.  
356. I see the following possibilities:
357.  
358.     1) The author of MIX1 obtained a copy of Icelandic-1 from somebody
359.        who got infected with it, disassembled it and created a new virus.
360.        This sounds reasonable, but there is one major problem, which is
361.        that the Icelandic virus has (as far as I know) not been detected
362.        outside of Iceland.
363.  
364.     2) The author obtained a disassembly, modified it and re-released it
365.        as MIX1. It is already known that at least one virus writer has
366.        access to virus disassemblies, that were only intended for virus
367.        specialists.
368.  
369. The problem is that obtaining well-commented virus disassemblies is not hard,
370. and I would not be surprised if a number of new variants of viruses, based
371. on them would appear in the near future.
372.  
373. MIX1 and Ping-Pong '286 may be just the first of this new generation.
374.  
375.                             ---- frisk
376.  
377. ------------------------------
378.  
379. Date:    23 Sep 89 20:36:15 +0000
380. From:    shull@scrolls.wharton.upenn.edu (Christopher E. Shull)
381. Subject: RFC: Guide to Fighting Macintosh Viruses:...
382.  
383.  
384. Macintosh Virus Experts:
385.  
386.     I have just finished the second draft of a roughly two page
387. guide to fighting machintosh viruses.  (The first draft was proofread
388. only within my group, so don't feel left out if you didn't see it.)
389.  
390.     This set of instructions is fundamentally the advice I have been
391. loosing my voice repeating. To save my voice, I have written it down.
392. Please mail your comments, suggestions and constructive criticism to
393. shull@wharton.upenn.edu, so I can enhance this document.
394.  
395.     In the meantime, if you are tired of explaining how to defend
396. against viruses and you like what I have written, please feel free
397. to distribute my "Guide to Fighting Macintosh Viruses:  Instructions
398. for the Rest of Us", subject only to terms of the Copyright Notice.
399.  
400. Thanks in advance!
401. - -Chris
402.  
403. %--cut here-------------------------------------------------------
404.  
405.               R E Q U E S T   F O R   C O M M E N T
406.  
407.                Guide to Fighting Macintosh Viruses:
408.                  Instructions for the Rest of Us
409.  
410.                        September 23, 1989
411.  
412.                       Christopher E. Shull
413.                        The Wharton School
414.                    University of Pennsylvania
415.                      Shull@wharton.upenn.edu
416.  
417. Disclaimer and Copyright Notice
418.  
419. This document may help you understand and cope with Macintosh
420. viruses. It may however fail in this objective. Use it at your own
421. risk. Neither the author, Christopher E. Shull, nor his employer,
422. the University of Pennsylvania, make any warranty, either express
423. or implied, with respect to the information contained herein.
424.  
425. Copyright 1989, University of Pennsylvania.  Permission is granted
426. to make and distribute copies of this document, provided this
427. disclaimer and copyright notice are preserved on all copies. The
428. document may not, however, be sold or distributed for profit.
429.  
430. Instructions
431.  
432. This file describes how to cope with Macintosh viruses.
433.  
434. 1) Do Not Panic.  As of this writing, all known Macintosh viruses
435.    are easily detected, destroyed and prevented.
436.  
437. 2) Read these instructions from front to back, and then follow
438.    them step by step.
439.  
440. 3) Using Disinfectant to Find and Kill Viruses.
441.   a) Obtain a boot-able diskette containing the program
442.      Disinfectant from a trusted source. Disinfectant was written
443.      by John Norstad of Northwestern University.  The current
444.      version is 1.2, dated August 4, 1989.  (This is also a good
445.      time to get copies of Vaccine and GateKeeper, which are
446.      described in steps 5) and 6).
447.   b) Write Lock this diskette by sliding the write protect tab to
448.      the open position (so you can peek through the little hole).
449.   c) Start or Restart your Mac from this diskette.
450.   d) Run Disinfectant by doubling clicking on its icon, and then
451.      following the simple on-screen instructions:
452.  
453.          Please read the instructions before running Disinfectant
454.          for the first time.  Click on the About button.
455.  
456.          Special key summary.  Hold down the key(s) while
457.          clicking on the Scan or Disinfect button.  (See the
458.          instructions for details.)
459.  
460.          No keys = Scan or disinfect the selected disk.
461.          Option key = Scan or disinfect a single folder or file.
462.          Command key =  Scan or disinfect a sequence of floppies.
463.          Option and Command keys = Scan or disinfect all drives.
464.  
465.      Note that Disinfectant suggests that you read its documentation
466.      first (by clicking the About button.)  This is an excellent
467.      idea. However, if you are in a hurry and willing to risk using
468.      software you don't understand, just read the summary above and
469.      then click on the Disinfect button while holding down the
470.      appropriate key(s) (Scanning before Disinfecting has no benefit
471.      for normal folks).
472.   e) Disinfectant will report the details of its work in its center
473.      window.
474.   f) Examine the summary report to make sure all viruses were
475.      removed and no errors were encountered.  If there were errors,
476.      try to fix the problems and disinfect the problem files or
477.      device again.  If they do not go away, you need to read the
478.      instructions or get help from a Mac expert.
479.   g) When Disinfectant reports that no Viruses have been found, your
480.      main disk is clean.  After disinfecting, be sure to restart
481.      your computer so memory resident viruses are destroyed!  This
482.      is an excellent time to Disinfect all of your diskettes using
483.      the command key-Disinfect button combination.  The next step
484.      is to make sure you don't get any more viruses in the future.
485.  
486. 4) Using Disinfectant to Prevent Viruses.
487.   a) Disinfectant can be used to prevent the spread of viruses
488.      simply by scanning and disinfecting every new diskette that you
489.      ever use on your Mac, and every diskette that you use on
490.      someone else's Mac, and every program you buy or download.
491.   b) Because this requires a conscious, methodical and conscientious
492.      effort, an automatic method of preventing the spread of viruses
493.      is desirable.
494.  
495. 5) Using Vaccine to Prevent Viruses.
496.   a) Vaccine, by Donald Brown of CE Software, Inc. is a Control
497.      Panel Document.  The current and last version is 1.0.  (The
498.      author declines in advance to fuel the escalating viruses and
499.      defenses game.)
500.   b) To use Vaccine, just copy it into your System Folder and
501.      restart your computer.  You do not want to do this until your
502.      System Folder has been disinfected (see step 3), or your
503.      computer may not be able to start.
504.   c) Vaccine is now at work.  No further configuration is required,
505.      although some is possible.
506.   d) To configure Vaccine, select Control Panel from the Apple menu,
507.      then select the Vaccine icon on the Control Panel, and follow
508.      the Instructions therein.
509.   e) As Vaccine's instructions explain, it may prevent some viruses.
510.      For more rigorous defense, you will need to use GateKeeper.
511.  
512. 6) Using GateKeeper to Prevent Viruses.
513.   a) GateKeeper, by Chris Johnson, is also a Control Panel Document.
514.      The current version is 1.1.1, dated June 26, 1989, and is much
515.      easier to configure than version 1.1.
516.   b) Using GateKeeper requires more study on the part of the user,
517.      but should result in a more rigorously defended system.
518.   c) The first step in using GateKeeper is therefore to read, from
519.      front to back, the GateKeeper Introduction and the GateKeeper
520.      Release Notes documents, which come with GateKeeper in MacWrite
521.      format and are therefore readable in most Macintosh word
522.      processing programs.
523.   d) Following the instructions therein you can tighten your Mac's
524.        defenses against Viruses.
525.  
526. 7) If Vaccine or GateKeeper Detects a Virus, return to Step 3) to
527.    remove it.
528.  
529. 8) Join a Macintosh Users' Group so you can keep abreast of virus
530.    developments.  This is important, because new viruses will
531.    appear that manage to circumvent the safeguards above, but we
532.    will simply develop new programs to combat them.
533.  
534.  
535. ------------------------------
536.  
537. Date:    Mon, 25 Sep 89 07:44:33 +0100
538. From:    sajn@loglule.se
539. Subject: A boincing diamond star (What is it???)
540.  
541. A friend of mine has a PC that recently has been infected
542. by some sort of a virus.
543.  
544. The thing that happens is that a small diamond star is randomly
545. bouncing like a ball on the screen.
546.  
547. My questions :
548.  
549. .Does anyone know what damage this virus might do ?
550. .Is there any virus removal software developed for it ?
551.  
552. ------------------------------
553.  
554. Date:    Mon, 25 Sep 89 01:00:12 -0700
555. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
556. Subject: SCANV38 (PC)
557.  
558. ViruScan V38 is out and has been sent to Compuserve and the
559. comp.binary sites.  This version identifies the MIX1, the New Ping
560. Pong, the Dark Avenger, Syslock (3551) and a new Vacsina string
561. identifier.  The MIX1, by the way, is identified by SCAN as an
562. Icelandic varient, since it is 85% or more the original Icelandic
563. virus.  All earlier viruses are still identified by SCAN and the
564. strings have not changed for this version.  SCANRES has also been
565. updated to prevent a system from being infected by any of the above
566. viruses.  Its version is SCANRES8.
567. Alan
568.  
569. ------------------------------
570.  
571. Date:    25 Sep 89 18:54:15 +0000
572. From:    mcvax!kannel.lut.fi!huopio@uunet.UU.NET (Kauto Huopio)
573. Subject: Is this a virus ?
574.  
575.  
576. My Taiwanese-origin Comper AT ( a 12 MHz-machine with 1 meg of RAM)
577. ran into trouble last night. My friend was playing Tetris (the
578. original version), and after that I begun to test WordPerfect 4.2. I
579. looked to some directories and there was some *VERY* odd characters in
580. the directory listings, blinking high intensity white. Quite often
581. there was a "smiley face"-character, also blinking high intensity
582. white. Also, there was some ODD characters just at the beginning of
583. the next line after the command prompt, when giving a DOS command.
584. When I edited a small text with WP and tried to save it..the hard disk
585. light just stayed on and.. I think you can guess the rest. I booted my
586. AT with a floppy disk and ran DIAGS. To my suprise, the hard disk came
587. back! This morning I put up the system, and it worked for a couple of
588. minutes, but died again (Sector not found error on drive C: )
589.  
590. I am running DOS 3.30. Now, I have some questions:
591.  
592. 1) What is the right size of DOS 3.30 COMMAND.COM ?
593.  
594. 2) Should I do a low-level format with Ontrack Disk Manager 3.2 and try to
595.    do a clean system.
596.  
597. 3) If this is caused by a virus, what is the bogus program ??
598.  
599. All help is welcome!!
600.  
601. - --Kauto
602.  
603. PS: Sorry about my poor English..
604.  
605.  ****************** Kauto Huopio (huopio@kannel.lut.fi) **********************
606. *US Mail: Kauto Huopio, Punkkerikatu 1 A 10, SF-53850 Lappeenranta, Finland *
607. *Project: Learn some GNU Emacs first.. :-)                                  *
608. *****************************************************************************
609.  
610. ------------------------------
611.  
612. End of VIRUS-L Digest
613. *********************
614. Downloaded From P-80 International Information Systems 304-744-2253
615.