home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.208

< prev

next >

Wrap

Text File  |  1995-01-03  |  20KB  |  456 lines

---

1. VIRUS-L Digest   Monday,  2 Oct 1989    Volume 2 : Issue 208
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. How can I get SCANV3x ???
17. paper comparing biological and computer viruses
18. MILIVIRUS REPLY
19. Re: MILIVIRUS REPLY
20. Jerusalem virus infection, query (PC
21. New virus? (Mac)
22. Followup on new virus (Mac)
23. Re: F-PROT anti-virus package (PC)
24. Virus Protection
25. Apple II Viruses
26. Flushot+ and Artic speech package (PC)
27. RE: Tiger teams at night
28. RE: Review of NIST anti-virus paper...
29. RE: Tiger Teams
30.  
31. ---------------------------------------------------------------------------
32.  
33. Date:    28 Sep 89 19:01:39 +0000
34. From:    smg%eedsp@gatech.edu (Steve McGrath)
35. Subject: How can I get SCANV3x ???
36.  
37.  
38. Could some kind soul please tell me where I can get a copy of the
39. SCANV program (or send it to me, if, as I believe, it is shareware)?
40. I have been trying to call the BBS at (408)988-4004 with no success,
41. and the more I read about the viri which are out there the more
42. apprehensive I am getting. I don't, by the way, have access to
43. Compuserve.
44.  
45. Thanks in advance,
46. Stephen
47.  
48.  
49. - --
50. Stephen McGrath
51. Georgia Tech, School of EE, DSP Lab, Atlanta, GA  30332
52. (404)894-3872
53. smg@eedsp.gatech.edu
54.  
55. ------------------------------
56.  
57. Date:    Thu, 28 Sep 89 11:19:13 -0400
58. From:    Peter Jaspers-Fayer <SOFPJF@UOGUELPH.BITNET>
59. Subject: paper comparing biological and computer viruses
60.  
61.     This is an outline for a semi-serious paper on the similarities
62. between biological and computer viruses, and the efforts to understand
63. and combat them.  I present it here in the hopes that others may wish
64. to contribute a paragraph or so (sorry no money, but I'll give credit
65. for any material I receive).
66. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
67.  
68.     Loosely termed, a virus is a "piece of information" that
69. replicates itself by using it's host's own machinery.  Methods of
70. entry into the host system are various.  The infection often has a
71. latency period that differs from one species of virus to another.
72. They may, in fact, appear to be entirely benign.  Viruses often "hide"
73. in specific parts of the infected system, sometimes multiplying there,
74. sometimes completely dormant, until some external event triggers the
75. onset of the symptoms.
76.  
77.     Concerning the effort to understand and combat biological and
78. computer viruses; there are also many correspondences between the
79. identification, classification, taxonomy, evolutionary theory and
80. epidemiology of the two disciplines.
81.  
82.     Often in reading the network discussion list "VIRUS-L", I am
83. struck by the familiarity (my own background is biology) of the
84. arguments that have arisen about:
85.  
86. - -  How best to identify a new virus,
87. - -  What to name it,
88. - -  When it started,
89. - -  Where it originated,
90. - -  It's relation to other viruses,
91. - -  The possible evolutionary path,
92. - -  What methods of infection there are,
93. - -  The ways a virus can combat detection and defences,
94. - -  How quickly it spreads,
95. - -  The percentage of the host population that is infected,
96. - -  What the latency period is, and how the onset of symptoms are triggered.
97.  
98.     The only absolutely sure way to understand the virus is to dis-
99. assemble it into it's component parts, and read the code.
100. Unfortunately, we are only recently able to disassemble the simplest
101. of the biological virus, and the ability to understand all of the
102. approximately 10K instructions of that simple virus is many years
103. away.
104.  
105. What other analogies can you see?    Can you expand on any of the above?
106.  
107. Stretching things just a little bit further, there are analogies between:
108.  
109.          Biological                             Computer
110. - --------------------------------       -----------------------------
111. Atlanta Center for Disease Control   - Computer Virus Industry Association
112. DNA viruses                          - Boot-Sector Viruses
113. RNA viruses                          - .EXE, .COM resident viruses
114. AIDS                                 - A (as yet uninvented - I hope) virus
115.                                        that seeks out and destroys only
116.                                        anti-viral programs, leaving you
117.                                        prone to infection by other viruses.
118.  
119. I'd like to flesh this out a bit.  Suggestions need not be serious,
120. and flights of fancy welcomed.  The material may be used in a talk we
121. are giving on computer viruses and other ills.
122.  
123. Please reply directly to me at SofPJF@VM.UoGuelph.Ca, or
124. SOFPJF@UOGUELPH.BITNET Thanks.
125.  
126.  /PJ
127.                      -------------------------------
128. First Law of Wing Walking: Never leave hold of what you have got until
129. you have got hold of something else.
130.  
131. ------------------------------
132.  
133. Date:    Thu, 28 Sep 89 11:06:00 -0500
134. From:    JEWALSH%FORDMURH.BITNET@VMA.CC.CMU.EDU
135. Subject: MILIVIRUS REPLY
136.  
137. Although I haven't gotten my feet too wet with the administrative functions
138. of the Army, as far as I can tell:
139.  
140.         a.  In the combat service support branches, e.g.:  Adjutant General
141.             Finance Corps, etc., the only C.O.A. for dealing with system
142.             malfunctions is to call the programmers in.
143.  
144.         b.  On the combat support level, e.g.:  branches like Air Defense
145.             Artillery may operate with safeguards and procedures when dealing
146.             with viruses.  Considering that it is equipment that safeguards
147.             our nation's defense, one would HOPE that it is resistant to
148.             viruses.  But, more than anything else, I have a feeling that
149.             it's relegated to the knowledgable computer operators to resolve
150.             problems with the systems.
151.  
152.         c.  Combat Arms branches, e.g.:  Infantry, Artillery, and Armor, don't
153.             do a lot with computer systems except on the unit level.  (Within
154.             individual tanks, or on the platoon level for troop movement, etc.)
155.             The level to which it is prone to viruses is, in my estimation,
156.             minimal, and the ease by which the components can be replaced takes
157.             away the risk.
158.  
159. If anyone knows more about the Army's Plan on Viruses, please post!  I'd be
160. interested to learn about it.
161.  
162. Jeffrey Walsh
163. Fordham University
164. BITNET%"JEWALSH@FORDMURH"
165.  
166. ------------------------------
167.  
168. Date:    Thu, 28 Sep 89 14:46:25 -0400
169. From:    "Dennis G. Rears (FSAC)" <drears@PICA.ARMY.MIL>
170. Subject: Re: MILIVIRUS REPLY
171.  
172. Jeffrey, you write:
173.  
174. >       a.  In the combat service support branches, e.g.:  Adjutant General
175. >           Finance Corps, etc., the only C.O.A. for dealing with system
176. >           malfunctions is to call the programmers in.
177.  
178.    Also Ordnance, Transportation, JAG, & Chaplain Corps.
179.  
180. >       b.  On the combat support level, e.g.:  branches like Air Defense
181. >           Artillery may operate with safeguards and procedures when dealing
182. >           with viruses.  Considering that it is equipment that safeguards
183. >           our nation's defense, one would HOPE that it is resistant to
184. >           viruses.  But, more than anything else, I have a feeling that
185. >           it's relegated to the knowledgable computer operators to resolve
186. >           problems with the systems.
187.  
188.    Air Defense is a combat arms branch.  Signal, Military Police,
189. Military Intelligence, and Chemical Corps are service.
190.  
191. >If anyone knows more about the Army's Plan on Viruses, please post!  I'd be
192. >interested to learn about it.
193.  
194.    Overall DOD has done little or anything.  They were one of the last
195. to know about the worm incident.  They care more about administrative
196. security than real security issues.  (My opinion only!)
197.  
198. Dennis
199.  
200. ------------------------------
201.  
202. Date:    Fri, 29 Sep 89 08:46:48 -0500
203. From:    Jeff Medcalf <jeffm%uokmax@uokmax.ecn.uoknor.edu>
204. Subject: Jerusalem virus infection, query (PC)
205.  
206. The PC lab at the Engineering Computer Network, University of
207. Oklahoma, has detected multiple virus infections (mostly Jerusalem
208. virus) on its PCs.  The viruses were found and removed with Unvirus,
209. with thanks to its authors.
210.  
211. However, I would like to find some programs which would detect and
212. remove more than 7 viruses.  Any information regarding anti-viral
213. archive sites, anti-viral programs, and documentation would be greatly
214. appreciated.
215.  
216. Also, how many viruses have been identified, and which are the largest
217. threats to security in the United States of America?
218.  
219. Thank you
220.  
221. ------------------------------
222.  
223. Date:    29 Sep 89 15:02:38 +0000
224. From:    jap2_ss@uhura.cc.rochester.edu (Joseph Poutre)
225. Subject: New virus? (Mac)
226.  
227. We here at the University of Rochester may have discovered a new
228. virus, or a variation on a theme.  What it does is infect Macwrite and
229. the Chooser, so that when a document is printed, Macwrite crashes.
230. The virus changes the name to Macwight or Macwite, but this is the
231. only clue so far.  I am trying to get more data, more none is
232. forthcoming.  I will do what i can today and tommorrow, and give
233. furthr reports.  Disinfectant 1.1 doesn't work, so please email me the
234. latest version of disinfectant to try.  The sooner the better, because
235. the Vice-Provost's office is infected, and they may lose a 75 page
236. report for the government.  (What, no backups?  What do you think.
237. Argh.)
238.  
239. The Mad Mathematician
240. jap2@uhura.cc.rochester.edu
241. Understand the power of a single action.  (R.E.M.)
242.  
243. ------------------------------
244.  
245. Date:    29 Sep 89 19:22:37 +0000
246. From:    jap2_ss@uhura.cc.rochester.edu (Joseph Poutre)
247. Subject: Followup on new virus (Mac)
248.  
249. This is a followup to my earilier report.  I will try to give more
250. details from my and others investigations.
251.  
252. The virus definatly attacks Macwrite.  It adds a str ID 801 and
253. modifies the icon to say Macwite instead of the standard application
254. icon.  The application increases in size by 104 bytes, 56 in the
255. string.  they are added in sector 014F, according to Fedit Plus 1.0.
256.  
257. It also attacks the system, in an unknown fashion.  I was able to
258. induce it to do something by repeated Get Infos.  This may be a
259. counter towards a more fatal outcome.  Some of the disks have crashed
260. after giving the This is not a Macintosh disk.  Shall I initialize it?
261. warning.  This happens almost immediatly after attempts to print.
262.  
263. The chooser is unable to find printer resources, and claims there are
264. none.  When the File locked, Lock, Bozo and File Protect bits are set,
265. the virus apparently cannot infect.  It doesn't appear able to attack
266. a disk write protected by the corner tab, either.  Tommorrow I will be
267. performing further experimenets, and will upload exact locations for
268. the added code, and probably the string listing, too.  No anti-virus
269. program has been able to find it, including Interferon, Virus Rx,
270. Anti-pan, and Disinfectant 1.2.  If this is recognized by anyone,
271. please email me ASAP at the address below with devirusing help.  If
272. not, I will try to do everything I can.  Thank you for your time and
273. effort.
274.  
275. The Mad Mathematician
276. jap2@uhura.cc.rochester.edu
277. Understand the power of a single action.  (R.E.M.)
278.  
279. ------------------------------
280.  
281. Date:    Fri, 29 Sep 89 17:44:08 -0400
282. From:    dptg!att!ll1a!nesac2!jec@rutgers.edu
283. Subject: Re: F-PROT anti-virus package (PC)
284.  
285. Yes, there's probably enough interest to warrant posting the program.
286.  
287. But will you be able to keep it current, and get the current version to
288. registered users as fast as the virus?
289.  
290. John
291. - ---
292. USnail: John Carter, AT&T, 401 W. Peachtree, FLOC 2932-6, Atlanta GA 30308
293. Video:  ...att!nesac2!jec   ...attmail!jecarter    Voice: 404+581-6239
294. The machine belongs to the company.  The opinions are mine.
295.  
296.  
297. ------------------------------
298.  
299. Date:    Fri, 29 Sep 89 19:33:00 -0400
300. From:    JHSangster@DOCKMASTER.ARPA
301. Subject: Virus Protection
302.  
303. It seems to me that this whole problem will be largely solved when and
304. only when the vendors all start "signing" their software with a
305. digital signature based on public key cryptography.  At least then any
306. one who wishes to check a program for authenticity need only check to
307. see that it passes the digital signature check with the alleged
308. vendor's public key.  Of course you also have to know that the
309. checking program hasn't been tampered with, the hardware hasn't been
310. tampered with, etc., etc., but at least we would have a starting point
311. for software authentication.
312.  
313. The signature approach and the use of signature checking seem to me
314. the only way to make definitive progress against viruses.  All other
315. approaches are dependent on details of the viruses code, which as we
316. have seen change with time and with each new virus.  Digital
317. signatures will let us check that at least a trusted source has put
318. its signature on the code, and that it has not been altered since
319. then.  Software developers will then have to get serious about
320. preventing viruses from creeping in at the factory if they are not
321. already serious.
322.  
323. If members of the appropriate software standards body are listening, I
324. hope they give consideration to such a standard ASAP.  The standard
325. should allow for both existing and future developers as well as private
326. individuals (hobbyists who may develop freeware) to have a unique public
327. key.  Then software users who neglect to check the signature use the
328. software at their own risk, but if they experience damage and can prove
329. it, they will be in a position to apply some heat to the vendor who
330. provided the signed, but infected, software.
331.  
332. The ideal way to implement checking would be to build it into the
333. loader.  This may become feasible if a worldwide standard is adopted.
334. Meanwhile checking could be implemented in a way which did not require
335. ROM modifications.  The standard could provide for inclusion of the
336. vendor's public key and the resulting signature in the format of any
337. loadable file.
338.  
339. - -John Sangster SPHINX Technologies, Incorporated (617) 235-8801 / P.O.
340. Box 81287, Wellesley Hills, MA 02181
341.  
342. ------------------------------
343.  
344. Date:    Fri, 29 Sep 89 19:48:56 -0500
345. From:    davidbrierley@lynx.northeastern.edu
346. Subject: Apple II Viruses
347.  
348.      If any readers of VIRUS-L have any information on viruses
349. affecting Apple II series computers I would be very appreciative if
350. they could e-mail it to me.  I am especially interested in public
351. domain and shareware antiviral programs.  Please note that I have
352. virus information posted in Info-Apple.  Thank you.
353.  
354.                                     David R. Brierley
355.                                     davidbrierley@lynx.northeastern.edu
356.  
357. ------------------------------
358.  
359. Date:    Fri, 29 Sep 89 22:54:00 -0400
360. From:    Yahn Zawadzki <S72UZAW%TOE.TOWSON.EDU@IBM1.CC.Lehigh.Edu>
361. Subject: Flushot+ and Artic speech package (PC)
362.  
363.   I am new to this list, and don't know much abot various anti-viral
364. programs for the IBM - but I have run into some problems I think may
365. be caused by one of them.  In our labs, I am setting up a workstation
366. for visually impaired - the major role plays there a package called
367. ARTIC - hardware/software driven speech synthesizer.  Part of that
368. program is a memory-resident code which can intercept any program, and
369. provide support for ARTIC's hardware from within.  This way, one can
370. have the machine read the screen, or just read the key combinations,
371. etc.  Now, on the same drive I have installed Flushot+ (students have
372. access to the station).  I am not familiar with Flushot or Flushot+,
373. so I can't tell what is happening: at all times, there is a '+' in the
374. top right corner of the screen, and some of the functions of ARTIC are
375. for some reason disabled.  I dug through ARTIC's manuals - there is no
376. mention of anything which could explain the situation..  Anyone out
377. there - PLEASE tell me whether it is Flushot intefering with ARTIC
378. here (I suspect '+' signifies something!)  or am I looking in the
379. wrong direction...  If anyone out there has used ARTIC business
380. version - and knows of an anti-virus which will not react to ARTIC's
381. software - please let me know..!
382. Thanks - Yahn.
383.  
384. -
385.  -------------------------------------------------------------------------------
386.    Yahn Zawadzki                            Bitnet:    S72UZAW @ TOWSON
387. Student Lab Assistant                       INET:      yahn@towson.edu
388. Towson State Univ.
389. Disclaimer: Any Views Expressed Above Are Those Of Mine And Not Of The Towson
390.             State University.
391.          A N D   Y E S  -   I   A M   A   M A C   P E R S O N !!!
392. -
393.  -------------------------------------------------------------------------------
394.  
395. ------------------------------
396.  
397. Date:    Sat, 30 Sep 89 09:18:16 -0400
398. From:    dmg@lid.mitre.org (David Gursky)
399. Subject: RE: Tiger teams at night
400.  
401. In the VIRUS-L Digest V2 #207, cpsolv!rhg@uunet.UU.NET (Richard H. Gumpertz)
402. writes:
403.  
404. > Why should such a "tiger team" work under cover of dark?  Why not "surprise
405. > inspections"?...
406.  
407. Because people use their computers during the day.  If the Tiger Team
408. finds the person is following all the proper anti-viral procedures,
409. why should the Tiger Team interrupt the user's normal workday?
410.  
411. ------------------------------
412.  
413. Date:    Sat, 30 Sep 89 09:30:38 -0400
414. From:    dmg@lid.mitre.org (David Gursky)
415. Subject: RE: Review of NIST anti-virus paper...
416.  
417. In the VIRUS-L Digest V2 #207, time@oxtrap.oxtrap (Tim Endres) writes:
418.  
419. > Sounds like the committee was seated with commercial software vendors!
420.  
421. The NIST paper was written by two staff members there, and is not a
422. committee report.  I've received some feedback from NIST on my
423. comments to the effect of "Good point.  We did not intend the bias
424. towards commercial software, but it is certainly there".
425.  
426. ------------------------------
427.  
428. Date:    Sat, 30 Sep 89 14:39:00 -0400
429. From:    "Thomas B. Collins, Jr." <TBC101@PSUVM.BITNET>
430. Subject: RE: Tiger Teams
431.  
432. Another thought on the Tiger Teams...  It doesn't make much sense to me.
433. If I don't add any new software to my system at work, I'm not going to
434. worry about viruses.  Say I get my new system, put all the software on
435. it, and run a few virus scanners that turn up nothing.  I then run all
436. applications from my hard drive, and don't use any floppy disks.  It
437. wouldn't make sense for me to check my hard drive every day for viruses,
438. because they don't just pop up from nowhere.
439.  
440. If I did add software to my system, I would check it for viruses before
441. adding it.  I think it would make more sense for the Tiger Teams to come
442. in in the middle of the day, ask you to please save your work, and then
443. run a virus checker on your system.  If anything is found, you are
444. "cited" as letting a virus into your system.  If you're clean, you go
445. back to work, and the Tiger Team moves on.
446.  
447. - -------
448. Tom "Shark" Collins       Since ICS is comprised of 2 people, my views
449. tbc101@psuvm.psu.edu      are the opinion of at least 50% of the company.
450.  
451. ------------------------------
452.  
453. End of VIRUS-L Digest
454. *********************
455. Downloaded From P-80 International Information Systems 304-744-2253
456.