home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.211

< prev

next >

Wrap

Text File  |  1995-01-03  |  18KB  |  412 lines

---

1. VIRUS-L Digest   Wednesday,  4 Oct 1989    Volume 2 : Issue 211
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. New virus? - further report (Mac)
17. Lost mail in U.K.
18. Tiger Teams
19. Re: Followup on new virus (Mac)
20. Columbus Day Virus in the Military
21. Virus protection (PC)
22. NIST Special Publication
23. Re: viruses in Commercial Software
24. Correction to previous posting (Mac)
25. new IBMPC anti-virals
26. UNIX virus proof?! (UNIX)
27. Jerusalem Virus -B (PC)
28.  
29. ---------------------------------------------
30.  
31. Date:    03 Oct 89 14:49:03 +0000
32. From:    jap2_ss@uhura.cc.rochester.edu (Joseph Poutre)
33. Subject: New virus? - further report (Mac)
34.  
35. Here is a further report on the possible virus at the U of R.  The
36. student consultants at the University computing center made copies of
37. programs they believed infected and sent them to our computer center.
38. I had an infected copy of Macwrite 5.01 for a while., where I
39. discovered the added STR and the changed ICN.  I have had reports of
40. Macwrite II being attacked, but the info I have is inconplete.  I am
41. still trying to get another infected program, but I am never around
42. when an infected disk is found.  When I get one those that requested a
43. copy will be sent one via email, if it works.  The infected System on
44. the consultants' hard drive is 6.0.2, and the only symptom it has
45. shown so far is the "Last Modified" date and time change at irregular
46. intervals, including this morning.  I was able to induce a change by
47. repeatedly doing a Get Info on the system.
48.  
49. The virus probably found its way onto the disk when a consultant put
50. recovered files from a disk showing what may be sysmptoms of the virus
51. onto the hard drive.  Vaccine is installed in teh System folder, and
52. did nothing.  The system also has NVIR immunity.  The applications
53. known to be attacked, so far, are Macwrite 5.01, Macwrite II, the
54. System and its associated files.  All of them, even the clipboard.  I
55. just watched to Last Modified date change on Laserwriter change during
56. a copy.  (Needless to say the consultants are working on replacing and
57. File Locking everything.  This appears to protect against the virus.)
58. I will obtain copies of the infected stuff and try to do some
59. comparisons using Resedit.
60.  
61. To repeat, Disinfectant 1.2 has no effect, and Vaccine does not
62. protect against it, at least from infecting within a disk.  I plan to
63. spend today working with infected and non-infected programs, and
64. report my findings, and those of the others working on tis problem.
65.  
66. Joseph Poutre (The Mad Mathematician)
67. jap2_ss@uhura.cc.rochester.edu
68. Understand the power of a single action.  (R.E.M.)
69.  
70. ------------------------------
71.  
72. Date:    Mon, 02 Oct 89 09:40:10 -0000
73. From:    "David.J.Ferbrache"
74. Subject: Lost mail in U.K.
75.  
76. Due to disruption of the mail gateway at Heriot-Watt University mail
77. during the month of September has been intermittent. Anyone who has
78. sent mail to me and not received a reply, please accept my apologies
79. and resend the letter.
80.  
81. The info-server facility is currently clearing a backlog of requests and
82. should return to normal service shortly.
83.  
84. Many thanks
85.  
86. - ------------------------------------------------------------------------------
87. Dave Ferbrache                            Internet   <davidf@cs.hw.ac.uk>
88. Dept of computer science                  Janet      <davidf@uk.ac.hw.cs>
89. Heriot-Watt University                    UUCP       ..!mcvax!hwcs!davidf
90. 79 Grassmarket                            Telephone  +44 31-225-6465 ext 553
91. Edinburgh, United Kingdom                 Facsimile  +44 31-220-4277
92. EH1 2HJ                                   BIX/CIX    dferbrache
93. - ------------------------------------------------------------------------------
94.  
95. ------------------------------
96.  
97. Date:    03 Oct 89 14:03:00 +0700
98. From:    "Okay S J" <okay@tafs.mitre.org>
99. Subject: Tiger Teams
100.  
101. In VIRUS-L V2NO208 "Thomas B. Collins, Jr." <TBC101@PSUVM.BITNET> writes:
102. >Say I get my new system, put all the software on
103. >it, and run a few virus scanners that turn up nothing.  I then run all
104. >applications from my hard drive, and don't use any floppy disks.  It
105. >wouldn't make sense for me to check my hard drive every day for viruses,
106. >because they don't just pop up from nowhere.
107.  
108. You're discounting the fact that your machine could be on a network. Having
109. an infected machine on a network where one transfers files between machines
110. can be just as bad as sticking a floppy in the machine.  One shot does
111. not cure all
112.  
113. >If I did add software to my system, I would check it for viruses before
114. >adding it.  I think it would make more sense for the Tiger Teams to come
115. >in in the middle of the day, ask you to please save your work, and then
116. >run a virus checker on your system.
117.  
118. It would cause too much of a loss of productivity and interruption of
119. the work routine.  Night is better if you're going to do it. Plus the
120. public embarrasment of having ones machine checked. Seriously, its
121. kind of like any test for drugs or AIDS or anything like that. Its not
122. so much as to whether you are infected, but just the idea that it was
123. done. After all, why have a test done if there isn't some
124. suspicion...This at least would be the view of most people around
125. those who had their machines tested.  'Did you hear George got busted
126. by the Tiger Team last week?---They didn't find anything, but you
127. never know....'
128.  
129. >If anything is found, you are "cited" as letting a virus into your system.
130. >If you're clean, you go back to work, and the Tiger Team moves on.
131.  
132. What exactly does 'cited' mean? Disciplined?, public marked as a
133. electronic leper in the company? fired? --Now that we've established
134. how they would operate, what should be the penalties for those
135. 'caught'?
136.  
137. Stephen Okay    Technical Aide, The MITRE Corporation
138. x6737        OKAY@TAFS.MITRE.ORG/m20836@mwvm.mitre.org
139.                'Geez...I actually have to use a disclaimer now,
140.                 I must be getting important!'
141. Disclaimer:Its mine, mine, mine, mine, mine !!!!!!!!!!!!!!
142.  
143. ------------------------------
144.  
145. Date:    03 Oct 89 16:14:59 +0000
146. From:    eplrx7!milbouma@uunet.UU.NET (milbouma)
147. Subject: Re: Followup on new virus (Mac)
148.  
149. >No anti-virus program has been able to find it, including Interferon,
150. >Virus Rx, Anti-pan, and Disinfectant 1.2.  If this is recognized by anyone,
151. >please email me ASAP at the address below with devirusing help.
152.  
153. I tried to e-mail but the message bounced.
154.  
155. I do not recognize the virus by your description, but if it is new
156. then no one will including the antiviral apps that you mention.
157.  
158. I can recommend Symantec's new antiviral package, SAM, which will flag
159. any abnormal writes from an application (like Vaccine if you're
160. familiar with it, but better than Vaccine).  SAM will at least protect
161. your machines from getting infected and also has a Virus scanner
162. program that scans for known viruses and can also repair irreplaceable
163. apps that are infected.  Part of the protection init also will ask you
164. if you want to scan a floppy for known viruses whenever you insert
165. one.
166.  
167. I also recommend that you contact Symantec and give them a copy of
168. your virus so they can update their Virus scanner program.
169.  
170. Symantec can be contacted at (408) 253-9600, (800) 441-7234.
171.  
172. Please keep the net posted on further developments with this virus.  I
173. would especially be interested to know if the SAM INIT flags infection
174. attempts by the virus.
175.  
176. Thanks
177.  
178. (I do not work for Symantec)
179.  
180. ------------------------------
181.  
182. Date:    Tue, 03 Oct 89 11:10:34 -0600
183. From:    Chris McDonald ASQNC-TWS-RA <cmcdonal@wsmr-emh10.army.mil>
184. Subject: Columbus Day Virus in the Military
185.  
186. While I did not see the computer chronicles report referenced by a
187. poster in a recent Virus-L edition, I would propose that there really
188. is no accurate way at the present time to gauge any computer viral
189. infection within the military given existing policies and
190. organizational structures.  The diversity of organizations has
191. resulted in differing policies as to whether such reporting is or is
192. not mandatory.  This "discretionary" rather than "mandatory" reporting
193. ensures in my opinion that viral infections go unreported.  Indeed, I
194. am aware of an outbreak of the Israeli B virus strain which infected
195. several PCs at a particular Army activity which I subsequently learned
196. was not reported through its chain-of-command.  In all fairness the
197. written policies applicable to that activity do not make reporting
198. mandatory.
199.  
200. In so far as the Columbus Day virus is concerned, the Army's
201. Information Systems Command through a variety of sources has tapped
202. the resources of Virus-L to alert its users as to the potential
203. threat.  An advisory message on the subject has been distributed
204. utilizing information first seen on Virus-L.  Other Army Commands have
205. retransmitted the same information.
206.  
207. I would like to propose that the military subscribers to Virus-L
208. perhaps pursue the problem of reporting by answering these questions:
209.  
210.     1.  Has your site experienced a viral infection?
211.  
212.     2.  What viruses were present?
213.  
214.     3.  Was it reported to the next level of command?
215.  
216. I am volunteering to compile the results and then post a summary of
217. the responses received to Virus-L.  I will of course ensure the
218. confidentiality of the identity of all sites.  Responses should be
219. sent to me directly at <cmcdonal@wsmr-emh10.army.mil>.  If this is
220. unacceptable, then perhaps someone out there in NETLAND has a better
221. idea.  Parenthetically, I wonder if Ken might provide a breakdown of
222. who actually subscribes to Virus-L in terms of military, university,
223. and contractor subscribers?  This would be important to assess the
224. level of participation.
225.  
226. [PS:  Congratulations on your marriage!]
227.  
228. [Ed. Thanks!  It would be extremely difficult to quantify the
229. different VIRUS-L subscribers, particularly since we're now
230. distributing VIRUS-L via the comp.virus Usenet newsgroup.  I can tell
231. you, however, that the actual mailing list contains just shy of 1300
232. subscribers, over 200 of which are redistribution points.  These sites
233. represent a solid cross-section of educational, commercial, military,
234. and government sites in several countries.  Most (perhaps 70%) of the
235. sites are educational, with approximately equal numbers of com, mil,
236. and gov sites.  Let me stress that these are not accurate numbers for
237. any sort of statistical analysis.]
238.  
239. ------------------------------
240.  
241. Date:    Tue, 03 Oct 89 14:01:11 -0600
242. From:    Brian Piersel <S1CH@SDSUMUS.BITNET>
243. Subject: Virus protection (PC)
244.  
245. I'm a new owner of an IBM AT compatible computer, and so I am not
246. very familiar with the various anti-virus programs. Could someone
247. explain to me how these work, and/or recommend one to get? Respond
248. directly to me, if possible. Thanks in advance...
249.  
250.  ------------------------------
251.  Brian Piersel
252.  BITNET:    S1CH@SDSUMUS            ICBM: 96.50W 44.20N
253.  INTERNET:  S1CH%SDSUMUS.BITNET@VM1.NoDak.EDU
254.       (The Internet address doesn't always work)
255.  "Live long and prosper."
256.  
257. ------------------------------
258.  
259. Date:    Tue, 03 Oct 89 14:16:52 -0600
260. From:    Chris McDonald ASQNC-TWS-RA <cmcdonal@wsmr-emh10.army.mil>
261. Subject: NIST Special Publication
262.  
263. I would like to add some additional thoughts to those who have already
264. commented on the NIST "Computer Viruses and Related Threats: A
265. Management Guide."
266.  
267. 1.  I believe there is a signifiant error on page 2-6.  The report in
268. discussing the INTERNET Worm states: "It was unclear what the network
269. worm's objective was, as it did not destroy information, steal
270. passwords, or plant viruses or Trojan horses."  I think there is
271. substantial evidence to prove that the Worm in causing denial of
272. service attacks did indeed destroy information.  Donn Seeley has made
273. the point that the author of the Worm program specifically "deleted"
274. an audit file so as to hide his location.  There are also numberous
275. reports that the program successfully "captured" passwords on other
276. hosts to which the Worm author was not entitled.  The NIST authors
277. reference Dr. Spafford's report on page A-1 which addresses the
278. "stealing" of passwords.  Both Seeley's and Spafford's analysis of the
279. incident can be found, along with other related papers, in the Jun 89
280. edition of the "Communications of the ACM."  This ACM edition is
281. probably the best reference on the entire incident available in the
282. public domain.  I think it should have been included in the NIST
283. reference list.
284.  
285. 2.  I differ from several commentators who suggest that the document
286. is "prejudiced" against the use of public domain and shareware
287. products.  I think on pages 3-3 and 5-3 the document stresses only
288. that organizations should develop a clear policy on the acquisition
289. and on the use of such software.
290.  
291. 3.  I am struck by the lack of any reference to Virus-L, RISKS Forum
292. and other INTERNET services which have for years provided we users the
293. best available, open source information on the subject of computer
294. viruses.  There is also little in the way of reference to the work of
295. professional associations such as ACM, IEEE, the Computer Security
296. Institute, and the Information Systems Security Association in
297. addressing the computer virus phenomenon.  Surely "technical
298. managers", who are the audience for this publication, could use such
299. resources to implement the virus prevention suggestions in the NIST
300. publication.
301.  
302. Chris Mc Donald
303. White Sands Missile Range
304.  
305. ------------------------------
306.  
307. Date:    Tue, 03 Oct 89 12:11:00 -0400
308. From:    <ACSAZ@SEMASSU.BITNET>
309. Subject: Re: viruses in Commercial Software
310.  
311. We too have been hit, though not recently.  Last semester, a freehand
312. disk from Aldus had scores on it right out of the box.  These
313. 'professionals' should pay more attention to what they are doing.
314.  
315.                                    Alex Z... . .  .
316.  
317. ------------------------------
318.  
319. Date:    Tue, 03 Oct 89 20:31:00 -0500
320. From:    <CTDONATH@SUNRISE.BITNET>
321. Subject: Correction to previous posting (Mac)
322.  
323. Sorry, folks, I spread a little misinformation without realizsing it.
324. I have Disinfectant 1.2, not 1.5. (BTW- does anyone know where the latest
325. versions can be obtained as they become available?) I had gotten swamped
326. with requests for 1.5. Sorry!
327.  
328. ------------------------------
329.  
330. Date:    Tue, 03 Oct 89 21:37:54 -0500
331. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
332. Subject: new IBMPC anti-virals
333.  
334. New additions to the archives.  For the most recent site listings, see
335. vol 2 num 209 of VIRUS-L (or better yet, save those monthly site lists!).
336. All the files in this batch are shareware.
337.  
338. bootchk.exe
339.         Program to verify boot sector of disk.  Performs comparison with
340.         secure copy of boot sector.  To be used in autoexec.bat.  Sent to
341.         me by author.  Version 1.00 (first release).  Self-extracting zip.
342. m-1704.arc
343.         Update to previous file of same name.  Only change is in docs to
344.         warn of possible false alert issued by viruscan.  Direct from
345.         author's BBS.
346. netscan.arc
347.         Network compatible program to scan disks for known viruses.
348.         Version 0.4v33, update to previous releases.  Direct from author's
349.         BBS.
350. scanrs39.arc
351.         Resident program to scan executables for viruses before loading.
352.         Version 0.9v39, update to previous releases.  Note minor change
353.         in spelling of archive name.  Direct from author's BBS.
354. scanv40.arc
355.         Program to scan disk and report any viruses found.  Version 0.7v40,
356.         update to previous releases.  Direct from author's BBS.
357. shez48.exe
358.         Shell program for manipulating archives which, with this new
359.         release, is compatible with viruscan.  Version 4.8.  From HomeBase
360.         where it was placed by author.  Self-extracting LZH archive.
361.         [ I was unable to get the viruscan aspect to work as advertised ]
362.         [ but I only put forth a minimal effort. -- jrw                 ]
363.  
364.  
365. BOOTCHK.EXE    Verifies boot sector against secure copy, v1.00
366. M-1704.ARC     Repairs and removes infections of 1704A and 1704B viruses
367. NETSCAN.ARC    Network compatible program to scan for viruses, 0.4v33
368. SCANRS39.ARC   Resident program to check for viruses, 0.9v39
369. SCANV40.ARC    Scans disks and reports viruses found, 0.7v40
370. SHEZ48.EXE     Shell for archive manipulation w/ virus checking, v4.8
371.  
372. Jim
373.  
374.  
375. ------------------------------
376.  
377. Date:    Tue, 03 Oct 00 19:89:58 +0000
378. From:    ficc!peter@uunet.uu.net
379. Subject: UNIX virus proof?! (UNIX)
380.  
381. I wouldn't say UNIX is virus-proof (I posted a hoax article about a
382. UNIX virus over a year ago, just before the Internet Worm incident),
383. but it's sure a hell of a lot more virus-resistant than DOS.
384.  
385. ------------------------------
386.  
387. Date:    04 Oct 89 07:14:43 +0000
388. From:    consp06@bingvaxu.cc.binghamton.edu
389. Subject: Jerusalem Virus -B (PC)
390.  
391.  
392. SUNY Binghamton has been hit by the Jerusalem Virus.  It seems to be
393. spreading pretty well.  We are looking for:
394.  
395. 1) Advice.
396. 2) SCAN38, SCANRES, etc... any of those.
397. 3) UNVIRUS
398.  
399. We have SCAN28, and we want to know where to get everything else we
400. need to arm ourselves against this nasty villain.
401.  
402.                 Thank you very much.
403.  
404.                                         -Robert Konigsberg
405.  
406.  
407. ------------------------------
408.  
409. End of VIRUS-L Digest
410. *********************
411. Downloaded From P-80 International Information Systems 304-744-2253
412.