home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.205

< prev

next >

Wrap

Text File  |  1995-01-03  |  18KB  |  422 lines

---

1. VIRUS-L Digest   Wednesday, 27 Sep 1989    Volume 2 : Issue 205
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Re: Is this a virus? (PC)
17. Anti-virus virus
18. re: IBM Virus (from EXPERT-L list) (PC)
19. LAN boot disks. (PC)
20. ACS Demo - is it a virus? (Apple)
21. Information wanted about Selftest (tm)
22. notchless disks (PC)
23. Atari ST VIRUS ALERT!!
24. Lotus Virus
25. Re: IBM Virus (from EXPERT-L list) (PC)
26. Tiger Teams
27. Re: Software company distributing viruses (PC)
28. Tiger Teams & Viruses
29. Disk Killer Virus (PC)
30. Re: SCANV38 (PC)
31.  
32. ---------------------------------------------------------------------------
33.  
34. Date:    26 Sep 89 16:13:44 +0000
35. From:    carroll1!dnewton@uunet.UU.NET (Dave Newton)
36. Subject: Re: Is this a virus? (PC)
37.  
38. In article <0008.8909251230.AA29228@ge.sei.cmu.edu> Christoph.Fischer.RY15@DKAU
39. NI11 writes:
40. >Hi,
41. >  we just had an inquiery about 4 strange files that appeared on a
42. >Microsoft WORD installation. All 4 files are hidden system and readonly.
43. >
44. >The file MWA is text and contains:
45. >
46. >Copyright   1984 by Microsoft
47. >Word Freedom Fighters:
48.  [names deleted]
49. >Charles Simonyi
50.  
51.  ^^^^^^^^^^^^^^^ I only recognize this name as being a guy who worked/works
52.  at microsoft, he was profiled in the microsoft press book _Porgrammers at
53.  Work_.
54.  
55.  Plus it's pretty unlikely that microsoft would copyright a virus.
56.  
57.  Of course, it could just be a ruse...
58.  
59. David L. Newton       |      dnewton@carroll1.UUCP     | Quote courtesy of
60. (414) 524-7343 (work) |     dnewton@carroll1.cc.edu    | Marie Niechwiadowicz,
61. (414) 524-6809 (home) | 100 NE Ave, Waukesha, WI 53186 | Boston College.
62. [Q]: How many surrealists does it take to screw in a light bulb? [A]: The fish.
63.  
64. ------------------------------
65.  
66. Date:    26 Sep 89 16:40:00 +0000
67. From:    carroll1!dnewton@uunet.UU.NET (Dave Newton)
68. Subject: Anti-virus virus
69.  
70.    One of the arguments raised against AVV's is the possible escalation of
71. of viral warfare.  It seems to me that this has already happened with the
72. vaccine programs.
73.    I'd be almost certain that most virus writers will try to circumvent
74. detection by writing (perhaps) a self-modifying virus, or a resident virus
75. that will attempt to detect detection.
76.    If any comp.virus readers have read any of William Gibson's "Cyperpunk"
77. novels, in which software protection (ICE) is handled by AI, the concept
78. of AVV's will be nothing new.
79.    From a technological standpoint, they provide an interesting challenge,
80. both for the virus writer and anti-virus virus writer.
81.  
82. David L. Newton       |      dnewton@carroll1.UUCP     | Quote courtesy of
83. (414) 524-7343 (work) |     dnewton@carroll1.cc.edu    | Marie Niechwiadowicz,
84. (414) 524-6809 (home) | 100 NE Ave, Waukesha, WI 53186 | Boston College.
85. [Q]: How many surrealists does it take to screw in a light bulb? [A]: The fish.
86.  
87. ------------------------------
88.  
89. Date:    26 Sep 89 00:00:00 +0000
90. From:    David.M..Chess.CHESS@YKTVMV
91. Subject: re: IBM Virus (from EXPERT-L list) (PC)
92.  
93. Sounds basically like the Jerusalem Virus; in particular, the
94. little signature string given occurs in the JV.   Not sure
95. why they aren't seeing files change in size when they're
96. infected.   Perhaps the fact that a file gets infected when
97. it executes (rather than when the original infected file executes)
98. is causing confusion.  The multiple infections that they're
99. seeing (and attributing to disk fragmentation) are also
100. characteristic of the JV.  Or, of course, it could be some
101. Brand New nasty...                    DC
102.  
103. ------------------------------
104.  
105. Date:    Tue, 26 Sep 89 14:39:00 -0500
106. From:    Reality is not an Industry Standard <PETERSON@LIUVAX.BITNET>
107. Subject: LAN boot disks. (PC)
108.  
109. If your LAN o/s and cards support the function - try auto boot roms.
110. We run Novell nets with various cards that all autoboot from a server.
111. (Novell 2.1x allows you to have multiple boot files for different pcs)
112.  
113. This method keeps the boot code very safe, allows for global changes,
114. and the students just need a blank formatted disk.
115.  
116. In addition, any new software gets installed from an account that does
117. *not* have supervisor's (operator) status - one dept. forund that out
118. the hard way.
119.  
120. J. Peterson/Sys Eng
121. LIU-Southampton
122. PETERSON@LIUVAX.BITNET
123.  
124. ------------------------------
125.  
126. Date:    26 Sep 89 18:22:15 +0000
127. From:    carroll1!dtroup@uunet.UU.NET (Dave Troup)
128. Subject: ACS Demo - is it a virus? (Apple)
129.  
130. I was just looking at the disk (just unpacked) of the ACS Demo. Should
131. the Catalog of the disk be :
132.  
133.         WHAT
134.         ARE.YOU
135.         LOOKING
136.         FOR
137.  
138.         END OF DATA
139.  
140.         ]
141.  
142. Im just a little leary, someone wanna check on this for me.
143.  
144. thanks...
145.  
146. "We got computers, we're tapping phone lines, knowin' that ain't allowed"
147.      _______  _______________    |David C. Troup / Surf Rat
148.      _______)(______   |         |dtroup@carroll1.cc.edu : mail
149.   _______________________________|414-524-6809______________________________
150.  
151. ------------------------------
152.  
153. Date:    Tue, 26 Sep 89 14:27:35 -0400
154. From:    wayner@svax.cs.cornell.edu (Peter Wayner)
155. Subject: Information wanted about Selftest (tm)
156.  
157. Someone recently mentioned a shareware product called "selftest." Can
158. anyone provide me with any information about how to find the selftest
159. program or perhaps something about its design?
160.  
161. Thank you,
162.  
163. Peter Wayner
164. (wayner@cs.cornell.edu)
165.  
166. ------------------------------
167.  
168. Date:    Tue, 26 Sep 89 15:15:38 -0400
169. From:    Marcus J. Ranum <mjr@cthulhu.welch.jhu.edu>
170. Subject: notchless disks (PC)
171.  
172.         Don't let notchless disks give you a sense of false
173. confidence!  I have a drive on my system at home with the notch detect
174. jumpered off on one of the drives from when I used to be a student at
175. a place where they used exactly the protection scheme you describe.
176.  
177. - --mjr();
178.  
179. ------------------------------
180.  
181. Date:    Tue, 26 Sep 89 13:23:00 -0500
182. From:    Holly Lee Stowe <IHLS400%INDYCMS.BITNET@VMA.CC.CMU.EDU>
183. Subject: Atari ST VIRUS ALERT!!
184.  
185. At least 2 instances of the "Key" virus have been found on ORIGINAL
186. WordUp 2.0 disks from Neocept for the Atari ST and Mega computers.
187.  
188. If you have WordUp 2.0, please use Virus Killer 2.2 or some other
189. virus checking program to check your disks!
190.  
191. Holly Lee Stowe,
192. Faculty/Staff Consulting
193. .......................................................................
194. He has all the subtlety and wit of a speed bump.
195.                              - paraphrased from Oleg Kisilev in alt.flame
196. +---------------------------------------------------------------------+
197. |    @@@ @@@   @@@ @@@@@@@@@ @@@   @@@ @@@   Holly Lee Stowe          |
198. |   @@@ @@@   @@@ @@@   @@@ @@@   @@@ @@@    Bitnet:  IHLS400@INDYCMS |
199. |  @@@ @@@   @@@ @@@@@@@@@ @@@   @@@ @@@     IUPUI Computing Services |
200. | @@@  @@@@@@@@ @@@        @@@@@@@@ @@@      799 West Michigan Street |
201. | Indiana U. - Purdue U. at Indianapolis     Indianapolis, IN   46202 |
202. +---------------------------------------------------------------------+
203.  
204. ------------------------------
205.  
206. Date:    Tue, 26 Sep 89 13:50:23 -0700
207. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
208. Subject: Lotus Virus
209.  
210.     The new Lotus 123 virus is being turned over to Lotus Corp (a CVIA
211. member) for analysis and disassembly.  It is imbedded in an 800K EXE
212. file and no-one other than Lotus was willing to attempt a disassembly.
213. The CVIA will publish results as soon as we get them.
214. Alan
215.  
216. ------------------------------
217.  
218. Date:    Tue, 26 Sep 89 16:16:10 -0400
219. From:    Chris Haller <CJH@CORNELLA.cit.cornell.edu>
220. Subject: Re: IBM Virus (from EXPERT-L list) (PC)
221.  
222. >From:    Ken Hoover <consp21@bingvaxu.cc.binghamton.edu>
223. >Subject: IBM Virus (from EXPERT-L list) (PC)
224. >
225. >Original-Date:         Mon, 18 Sep 89 17:38:00 EDT
226. >Original-From:         Sanjay Hiranandani <GDO@CRNLVAX5.BITNET>
227. >
228.  [text omitted]
229.  
230. Oh well, I was considering writing to VIRUS-L about this anyway, and
231. this posting precipitates a response.  Here is the current situation
232. about the virus that showed up at Sibley Hall at Cornell University.
233.  
234. John McAfee's VIRUSCAN v36 identified this virus as Jerusalem B, and
235. its appearance and behavior correspond with this identification, AS
236. FAR AS I KNOW.  (Would some kind soul please send me a type
237. description of "Jerusalem B" so I can verify the identification more
238. completely?  I think this is the version of the Israeli that attacks
239. both .COM and .EXE files on both floppy and hard disks, that was
240. modified (probably in the U.S.) to be less obtrusive, and that
241. WordPerfect and FoxBase catch in the act because they detect its
242. alteration of their file.) We are using UNVIRUS, which we retrieved
243. from the archive at Kansas State, to clean up.
244.  
245. Incidentally, we find VIRUSCAN and SCANRES very useful and intend to
246. ask Mr. McAfee about site licensing arrangements for Cornell
247. University.  (That's why we haven't sent in our shareware fees yet!
248. Most of us on the staff here won't use software without paying for it,
249. except preliminarily.)  However, do not let this kind of endorsement
250. of one person's (or group's) efforts deter those of you who are
251. writing other protective software.  No single program, indeed no
252. single way of addressing the problem, will be sufficient to protect a
253. diverse computing community like this from the threat of viruses.
254. This semester we may recommend SCANRES, but we are counting on there
255. still being a lot of people using FLU_SHOT+ here, and next semester we
256. may recommend something else, or a newer version of FLU_SHOT, or a
257. program that checks CRC polynomials to detect altered files or disk
258. sectors.  The idea is that in a large and diverse community like a
259. major university, a virus may get started locally but it won't get
260. very far before it sets off an alarm on someone's system.  If everyone
261. using PC's were using the same kind of protection, a virus written to
262. evade that particular protection would spread farther.  This is not a
263. new idea, it's one I learned from reading this list!  Thank you all.
264.  
265. - -Chris Haller, Research and Analysis Systems, Cornell University
266. BITNET: <CJH@CORNELLA>  Internet: <CJH@CornellA.CIT.Cornell.edu>
267. Acknowledge-To: <CJH@CORNELLA>
268.  
269. ------------------------------
270.  
271. Date:    Tue, 26 Sep 89 18:12:26 -0400
272. From:    Steve <XRAYSROK%SBCCVM.BITNET@VMA.CC.CMU.EDU>
273. Subject: Tiger Teams
274.  
275.    Maybe I just don't understand, but I personally think the "Tiger Team"
276. idea put forth (by David Gursky) on this list is a little ridiculous
277. because:
278.    1) Most viruses are not spread by someone sneaking in at night and
279. against your wishes copying something onto your computer.  Rather,
280. they are usually spread voluntarily (but unknowingly) by the user
281. exposing the computer to foreign contaminated disks or programs.  If I
282. always (almost always anyway) operate within a closed system, how is
283. letting someone *tamper* with my computer going to help me? I'd feel
284. much safer just scanning for known viruses, which brings up the next
285. point.
286.    2) What corporation (or employee for that matter) is willing to
287. take the risk of letting someone (outsiders or corporation employees)
288. *tamper* with the computers which the company (and the employee)
289. depends upon, especially when proper operating procedures (regular
290. backups, etc.) will offer you very good protection?
291.    3) Can you guarantee that the "Team" will not do damage?  No, you
292. cannot.  And if they are introducing live viruses, we already know
293. that no one can guarantee that the viruses will be benign in every
294. situation (as has been discussed many times by others on this list),
295. or that they will not get away.
296. Acknowledge-To: <XRAYSROK@SBCCVM>
297.  
298. ------------------------------
299.  
300. Date:    26 Sep 89 21:43:51 +0000
301. From:    chinet!ignatz@att.att.com
302. Subject: Re: Software company distributing viruses (PC)
303.  
304. In article <0007.8909251241.AA29279@ge.sei.cmu.edu>
305. bnr-di!borynec@watmath.waterloo.edu (James Borynec) writes:
306. >Software companies may be the largest source of virus contamination
307. >around.  After all, they send disks everywhere and no one worries
308. >about 'shrink wrap' software being 'unclean'.  I have only been hit by
309. >two viruses - both came from software companies - one of which was
310. >Texas Instruments.  The guy in the office next door was hit by a copy
311. >of a virus on his (shrink wrap) copy of WordPerfect.  I think it is
312. >shocking that people are told just to watch out for viruses when
313. >engaged in software 'swapping'.  Everyone should regard EVERY disk
314. >that enters their machine with suspicion.
315.  
316. It's probably been mentioned before, but it can't hurt to repeat.
317. Some software houses--especially discount stores--have a very liberal
318. return policy.  Unfortunately, it seems that shrinkwrap equipment is
319. neither very expensive nor difficult to obtain, and some stores will
320. accept such returned software, repackage and re-shrinkwrap it, and
321. return it to the store shelf.  Thus, you really can't be certain that
322. the sealed shrink-wrap you bought *hasn't* been tampered with at some
323. point along the line.
324.  
325. It really is starting to look like either there will have to be
326. tamper-proof shrinkwrap (as resulted from the Tylenol disaster in the
327. OTC consumer market), or a general practice of scanning *any*
328. purchased software for contamination...
329.  
330.                 Dave Ihnat
331.                 ignatz@homebru.chi.il.us (preferred return address)
332.                 ignatz@chinet.chi.il.us
333.  
334. ------------------------------
335.  
336. Date:    Tue, 26 Sep 89 20:24:00 -0500
337. From:    <CTDONATH%SUNRISE.BITNET@VMA.CC.CMU.EDU>
338. Subject: Tiger Teams & Viruses
339.  
340. Someone has suggested that "Tiger Teams" use (as one of their tests)
341. viruses. A "controlled" atmosphere is suggested.
342.  
343. Like the idea of an anti-virus virus, this usage may run out of
344. control and cause more damage than expected. If the tiger team fails
345. to exterminate ALL copies of the virus (which is very likely in the
346. chaotic user environment), there is the possibility of virus parinoia
347. (i.e. lawsuits), files that grow in size for no good reason (very
348. dangerous when a disk is full or nearly so [programs abend or refuse
349. to run]), and the possibility of lost data thru virus malfunctions.
350.  
351. Another problem is the nature of a tiger team using a virus: the virus
352. would be released in a (probably) unsuspecting work area. The presence
353. of strangers insisting on checking every disk that leaves the area
354. (and don't forget the problem of LANs and file transfers) would cause
355. chaos.
356.  
357. Remember, a "good" virus used for a "good" purpose would have to be
358. working perfectly. And we all know how programs work perfectly under
359. all conditions all the time :-)
360.  
361. ------------------------------
362.  
363. Date:    Tue, 26 Sep 89 18:50:40 -0700
364. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
365. Subject: Disk Killer Virus (PC)
366.  
367. The CVIA has isolated the "Disk Killer" virus after 6 months of work
368. and over three dozen reports.  The virus activates after a random time
369. period which varies from a few days to a few months, and when it
370. activates, it performs a low level format of the hard disk - thereby
371. destroying itself along with everything else.  As it formats, it
372. displays the message - "Disk Killer -- Version 1.00 by COMPUTER OGRE.
373. Don't turn off the power or remove the diskettes while Disk Killer is
374. processing.  I wish you luck."  The first organization to report this
375. virus was Birchwood systems in San Jose in early Summer.  Additional
376. reports were received from Washington, Oklahoma, Minnesota and
377. Arizona.  We finally isolated it at Wedge Systems in Milpitas
378. California and discovered that it is a boot sector infector that
379. infects hard disks and floppies.  The internal messages do not appear
380. in sector zero, but are stored in sector 152 on floppy disks and an as
381. yet undetermined location on hard disks.  This had always added to the
382. confusion over the virus because message remnants were sometimes
383. discovered in the middle of executable files, and it was assumed that
384. the virus was a COM or EXE infector.  The virus appears to be very
385. widespread and everyone should watch out for it.  If your boot sector
386. does not contain the standard DOS error messages, then immediately
387. power down and clean out the boot.
388.  
389. (Infected boot sectors begin with FAEB).  This is a nasty virus and
390. should be treated cautiously.  ViruScan V39 identifies the virus, but
391. it will not be posted till the 29th due to major revisions in SCAN's
392. architecture for version 39.
393.  
394. Alan
395.  
396. ------------------------------
397.  
398. Date:    26 Sep 89 15:30:08 +0000
399. From:    bnr-fos!bmers58!mlord@watmath.waterloo.edu (Mark Lord)
400. Subject: Re: SCANV38 (PC)
401.  
402. In article <0012.8909251241.AA29279@ge.sei.cmu.edu> portal!cup.portal.com!Alan_
403. J_Roberts@Sun.COM writes:
404. >ViruScan V38 is out and has been sent to Compuserve and the
405. >comp.binary sites.  This version identifies the MIX1, the New Ping
406.  
407. ViruScan V37 was recently uploaded to SIMTEL20, and a question about
408. it's authenticity has been posted to one of the .ibm.pc newsgroups.
409. Apparently the length of the SCAN program is 34 bytes longer than the
410. constant (??)  length that the author said would be preserved for all
411. versions.
412.  
413. Is this a valid copy, or might it have a little parasite attached ?
414.  
415. - -Mark
416.  
417. ------------------------------
418.  
419. End of VIRUS-L Digest
420. *********************
421. Downloaded From P-80 International Information Systems 304-744-2253
422.