home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.203

< prev

next >

Wrap

Text File  |  1995-01-03  |  13KB  |  318 lines

---

1. VIRUS-L Digest   Tuesday, 26 Sep 1989    Volume 2 : Issue 203
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Warning - Mac software NoteWriter infected
17. 123 virus (PC)
18. More Datacrime hoopla, propoganda, and general paranoia
19. re: should we fight fire with fire
20. A book with a long title...
21. centel corp. and viruscan
22. Self Replicating Virus Hunter / Seekers
23. anti-virus software accessibility
24.  
25. ---------------------------------------------------------------------------
26.  
27. Date:    Mon, 25 Sep 89 11:52:57 -0400
28. From:    GATEH%CONNCOLL.BITNET@VMA.CC.CMU.EDU
29. Subject: Warning - Mac software NoteWriter infected
30.  
31. Forwarded warning from Info-Mac.  (Ken, if this has already appeared in a
32. VIRUS-L digest, please ignore.  Apologies to all if this is a duplicate!)
33.  
34. - - Gregg  TeHennepe        gateh@conncoll
35.  
36. - --- Forwarded mail from Info-Mac@sumex-aim.stanford.edu
37.  
38. Date: Tue, 19 Sep 89 10:46 EDT
39. From: <PJORGENS%COLGATEU.BITNET@forsythe.stanford.edu> (Peter Jorgensen)
40. Subject: WARNING NoteWriter Software Infected!
41.  
42. A few words of warning for potential and actual NoteWriter users.
43.  
44. We bought two copies of NoteWriter Software and both disks were infected with
45. Scores and nVir.  Attempting to install the (copyprotected) software on a Mac
46. II running Vaccine failed, and rendered the original unusable. The backup disk
47. which we ordered was also infected.
48.  
49. The publisher has been very unhelpful.  Their tech support doesn't know
50. anything about viruses, virus protection programs (like Vaccine) or most of
51. what else we tried to ask them.
52.  
53. Peter Jorgensen
54. Microcomputer specialist
55. Colgate University - Hamilton, NY 13346
56. AppleLink - U0523
57. BITNET - PJORGENSEN@COLGATEU
58. tel - 315-824-1000 ext 742
59.  
60.  
61. - --- End of forwarded message from Info-Mac@sumex-aim.stanford.edu
62.  
63. ------------------------------
64.  
65. Date:    Mon, 25 Sep 89 18:47:00 -0400
66. From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
67. Subject: 123 virus (PC)
68.  
69. for lack of a better name and until/if someone objects with a
70. legitimate reason, i feel the name for the virus targeted
71. at release 3 of lotus 123 should be called 123nhalf since it
72. causes your spreadsheet to be saved exactly one half the size
73. it should be.
74.  
75. in any event, an update is in order. we have now discovered that
76. this virus will only, repeat only infect the 123dos.exe file,
77. when running on a machine with a '286 processor. it will not
78. infect the file on a '386 system. we are attempting to determine
79. the exact reason for this strange coincidence. it is felt at the
80. current time that the way a '386 creates virtual machines may
81. have something to do with it.
82.  
83. the virus also will not infect files unless there is a minimum
84. of 3 megabytes of extended memory. expanded memory does not matter
85. and does not come into the picture.
86.  
87. a scan program is now available which quickly checks the 123dos file
88. in three different locations to determine if the virus is present.
89. a copy is on the way to mr. mcafee of mcafee associates for his
90. observations.
91.  
92. hopefully mr. mcafee will post it on homebase so the rest of the
93. readers can benefit from this program. the name of the scan program
94. is 123scan.exe and it should be at mcafee associates bythe end of
95. this week.
96.  
97. we have no way of uploading to the mainframe here, so i cannot
98. convert it to a .uue file for transit through the nets. however
99. the program is shareware and will soon be available.
100.  
101. for those of you who are not familiar with this virus, it infects
102. the large file named 123dos.exe which is now used in release 3
103. of lotus 123. there is only one symptom, but that is all this one
104. needs.
105.  
106. if your copy of 123dos.exe is infected, no matter what size
107. spreadsheet you create and save, it will only be saved as one
108. half the size.
109.  
110. in other words, a 100 x 100 cell spreadsheet will only be saved
111. as a 50 x 50 cell spreadsheet. as you can imagine this can be
112. quite a problem.
113.  
114. well, that's it for now!
115.  
116. ------------------------------
117.  
118. Date:    Mon, 25 Sep 89 19:13:23 -0400
119. From:    dmg@retina.mitre.org (David Gursky)
120. Subject: More Datacrime hoopla, propoganda, and general paranoia.
121.  
122. I've just spent the past three hours reading and re-reading various
123. forms of hype about the alleged upcoming attack on October 13 of the
124. Datacrime virus.  I would like to make a couple comments about this.
125.  
126. First and foremost, there is no doubt in my mind (nor has there ever
127. been any doubt in my mind), that Datacrime is a real virus, causes
128. real problems, and will next strike on October 13 (it is, after-all, a
129. "time-bomb" virus, that activates on specific dates, in this case,
130. Friday the 13ths).
131.  
132. I have real doubts however that this virus has made any inroads into
133. the United States beyond the 10 cases John McAfee has cited
134. previously.
135.  
136. I suppose it is a good thing that the NoCrime application has been
137. updated to detect a new strain of DataCrime, and that all sorts of
138. other PC-based applications have been updated to detect DataCrime, (as
139. an aside, the people who make "Quarantine" for the MS-DOS called me
140. today to let me know they are sending me a demo copy of their
141. application to beat on, and they made a point to let me know it
142. detects DataCrime!), *however*, all of this does not an epidemic make!
143.  
144. Sure people are updating their applications to fight Datacrime;
145. Datacrime is a known virus that uses established infection techniques!
146. It's not that hard (I would imagine) to make the changes to the
147. applications to fight Datacrime.
148.  
149. When it all comes down to it, if the desktop computers of the United
150. States were under attack right now by Datacrime (or any of dozens of
151. other viruses), we would be seeing signs of it, and Virus-L would be
152. full of reports of infections.  No infections, no virus.
153.  
154. Now can everyone please calm down?  The sky is not falling.
155.  
156. Disclaimer:  Dis is soup.  Dis is art.  Soup.  Art.  [Apologies to L. Tomlin.]
157.  
158. David Gursky
159. Member of the Technical Staff, W-143
160. Special Projects Department
161. The MITRE Corporation
162.  
163. ------------------------------
164.  
165. Date:    Mon, 25 Sep 89 18:47:00 -0400
166. From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
167. Subject: re: should we fight fire with fire
168.  
169. i do not think a new anti-virus is the answer. i think software
170. manufacturers have to take the initiative in the virus war.
171.  
172. for instance, the 123scan.exe program which detects the 123nhalf
173. virus, uses the new selftest (tm) module to detect any changes
174. made to the program file after it was compiled.
175.  
176. selftest (tm) is not perfect, but what is these days? in any
177. event in three months of testing, a program protected by selftest (tm)
178. has never failed to indicate that a change has been made.
179.  
180. selftest (tm) was written by and for shareware authors. it adds just
181. a few seconds to the load time of a program, and detects a change in
182. file length, or bit level changes made to the file.
183.  
184. i think it is time that the manufacturers who have raked in the money
185. for years get more involved in the fight against viruses.
186.  
187. the opinions expressed in this message are my own.
188.  
189.  
190. ------------------------------
191.  
192. Date:    Mon, 25 Sep 89 19:19:31 -0400
193. From:    dmg@retina.mitre.org (David Gursky)
194. Subject: A book with a long title...
195.  
196. John McAfee has just published a book on viruses entitled: "Computer
197. Viruses, Worms, Data Diddlers, Killer Programs, and other Threats To
198. Your System: What The Are, How They Work, and How to Defend Your PC or
199. Mainframe Environment" (By McAfee and Colin Hayes, from St. Martin
200. Press -- $24.95 hardback, $16.95 softback).
201.  
202. My questions about the propriety of calling Viruscan "shareware"
203. aside, I've had a copy of the book set aside and I'm picking it up
204. tonight.  John's work in this area is well-known, and I anxiously look
205. forward to reading this (but at 350 pp, don't count on hearing any
206. comments from me soon about it!)
207.  
208. And would someone from Homebase *please* ask John to make the title of
209. his next book shorter!  <Grin>
210.  
211. David Gursky
212. Member of the Technical Staff, W-143
213. Special Projects Department
214. The MITRE Corporation
215.  
216. ------------------------------
217.  
218. Date:    Mon, 25 Sep 89 19:14:00 -0400
219. From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
220. Subject: centel corp. and viruscan
221.  
222. in a recent message to this list from david gursky, he made a
223. statement which needs to be corrected. he made the statement
224.  
225. "if the author of a package wants to limit the sources from which
226. his or her work is available, fine! but by doing so you forfeit
227. the right to label,your work as shareware!"
228.  
229. this is not so. shareware is for the most part copyrighted and
230. mr. mcafee's software does indeed carry a copyright! as the owner
231. of a work which is copyrighted, j. mcafee caN CALL IT SHAREWARE
232. OR ANY OTHER NAME HE DESIRES, EVEN FREEWARE, AND STILL MAINTAIN
233. THE ABSOLUTE RIGHT TO DETERMINE WHO MAY OR MAY NOT DISTRIBUTE
234. HIS COPYRIGHTED WORK!
235.  
236. A copyrighted work is the sole property of the holder of the
237. copyright.like it or not, that is the law of the land. until
238. such time a case comes to court, copyrighted shareware remains
239. the property of the copyright holder, who may decide who has the
240. right to distribute such work.
241.  
242. the opinions expressed here are my own.
243.  
244. ------------------------------
245.  
246. Date: Tue, 26 Sep 89 03:51:38 GMT
247. From: utstat!davids@uunet.UU.NET (David Scollnik)
248. Subject: Self Replicating Virus Hunter / Seekers
249.  
250. In a recent posting CZMUREK%DREW.BITNET@VMA.CC.CMU.EDU writes ...
251.  
252. % I began to design a virus algorythm that would eventually serve
253. % as the platform for the destruction of other viruses.  It's purpose
254. % would be to infect single programs, single disks, or multiple disks in
255. % the first, second and third versions respectively.  Before any alarm
256. % sets in here about my intentions, I would like to say that the purpose
257. % here is to aid in the effort to combat these little nasties.
258.  
259. I thought many of you might be interested to know that at least one such
260. "utility" has been written and distributed for the Amiga. The one I have
261. heard of is called "System-Z" , which is composed of two parts , namely
262. the System-Z "installer" and the Sys-Z "bootblock".
263.  
264. When an Amiga is booted up from a disk containing the Sys-Z bootblock,
265. it announces to the user that it is now present in memory ( until the
266. machine in question is de-powered ) by way of a quick rainbow screen
267. and a short series of musical notes. This program will identify a
268. variety of Amiga specific viruses located in other disk's bootblocks,
269. and allow the user the option of overwriting the bootblock of the
270. infected disk with the Sys-Z bootblock. Apparently it does NOT write
271. itself indiscriminately to other disk's bootblocks, but only when the
272. user selects to do so.
273.  
274. Many Amiga users do not consider this to be a virus , but many others
275. do. In fact , at least one Virus Checker / Disinfectant / Obliterator
276. I know of considers it to be a virus , and identifies it as such. The
277. reason many do consider it a virus is the fact that it locates itself
278. in the bootblock. I believe that this "utility" hails from Europe ,
279. and might even of been of a commercial nature.
280.  
281. Perhaps someone else out there has more info on this creature. I have
282. never actually seen it in action , only seen documentation on it in
283. forums like this and in one Virus Killer's documentation.
284.  
285. --
286.   David P.M. Scollnik         |   UUCP:   utstat!davids
287.   University of Toronto       |  bitnet:  davids@utstat.utoronto
288.   Deptartment of Statistics   |    arpa:  davids@utstat.toronto.edu
289.   (hi mom !!!)
290.  
291. ------------------------------
292.  
293. Date:    Sat, 23 Sep 89 11:11:00 -0400
294. From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
295. Subject: anti-virus software accessibility
296.  
297. some universities have no pratical way of allowing students or
298. faculty to download software acquired over the network. this
299. can be a problem for many reasons.
300.  
301. i know that homebase exists, however to call there once a week or
302. so to obtain the latest copies of the viral software packages can
303. get to be expensive.
304.  
305. does anyone know of any reliable bbs in the new york area which
306. maintains copies of the latest viruscan, etc; programs?
307.  
308. if not, i would be willing to make copies and distribute them to
309. anyone who sends a disk and return postage. of course, this is
310. only if mr. mcafee would give his permission, and if i can get
311. clean copies to begin with.
312.  
313. ------------------------------
314.  
315. End of VIRUS-L Digest
316. *********************
317. Downloaded From P-80 International Information Systems 304-744-2253
318.