home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.213

< prev

next >

Wrap

Text File  |  1995-01-03  |  16KB  |  352 lines

---

1. VIRUS-L Digest   Thursday,  5 Oct 1989    Volume 2 : Issue 213
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Pointer to Cohens publications
17. Re: Followup on new virus (Mac)
18. Re: Why not change OS?
19. About the DH&S proceeding(s)...
20. Re: OGRE virus in Arizona (PC)
21. Increasing rate of virus appearances
22. Binghamton Jerusalem-B virus - The day after. (PC)
23. M-1704 question (PC)
24. WSMR newspaper article on Anti-Virus program
25.  
26. ---------------------------------------------------------------------------
27.  
28. Date:    Wed, 04 Oct 89 19:18:50 -0500
29. From:    Christoph Fischer <RY15@DKAUNI11.BITNET>
30. Subject: Pointer to Cohens publications
31.  
32. Hello
33.   I need the exact bibliographic data of Fred Cohen's dissertation
34. and publications in the field of computerviruses.
35. If there exists an downloadable printfile with such material I would
36. be very happy about any hints.
37. Thanks Chris
38. *****************************************************************
39. * Torsten Boerstler and Christoph Fischer and Rainer Stober     *
40. * Micro-BIT Virus Team / University of Karlsruhe / West-Germany *
41. * D-7500 Karlsruhe 1, Zirkel 2, Tel.: (0)721-608-4041 or 2067   *
42. * E-Mail: RY15 at DKAUNI11.BITNET or RY12 at DKAUNI11.BITNET    *
43. *****************************************************************
44.  
45. ------------------------------
46.  
47. Date:    04 Oct 89 18:09:20 +0000
48. From:    ut-emx!chrisj@cs.utexas.edu (Chris Johnson)
49. Subject: Re: Followup on new virus (Mac)
50.  
51.  
52. In article <0004.8910041115.AA07054@ge.sei.cmu.edu> eplrx7!milbouma@uunet.UU.NE
53. T (milbouma) writes:
54. >I can recommend Symantec's new antiviral package, SAM, which will flag
55. >any abnormal writes from an application (like Vaccine if you're
56. >familiar with it, but better than Vaccine).  SAM will at least protect
57. >your machines from getting infected and also has a Virus scanner
58. >program that scans for known viruses and can also repair irreplaceable
59. >apps that are infected.  Part of the protection init also will ask you
60. >if you want to scan a floppy for known viruses whenever you insert
61. >one.
62.  
63. Of course, as an alternative to SAM, you can save yourself a lot of
64. money and go with GateKeeper 1.1.1, which has not only been stopping
65. viruses around the world 6 months longer than SAM (and all the other
66. johnny-come-lately commercial systems), but is completely free.
67. Furthermore, I gather that GateKeeper is significantly more
68. configurable than SAM insofar as it maintains a privilege list which
69. can be easily viewed and edited (I've never used SAM, so I don't speak
70. from first-hand experience on this point, but people assure me that
71. it's a *very* important difference in practice).
72.  
73. If you need telephone support, though, SAM is clearly better for
74. you... the closest thing to interactive support available with
75. GateKeeper is email.
76.  
77. GateKeeper doesn't provide a virus-scanner, but with Disinfectant
78. available (also for free) it's not much of a problem.
79.  
80. One other thing that makes GateKeeper unique in the world of Macintosh
81. anti- virus systems is that it keeps a log file that details exactly
82. what virus related operations have been attempted, when, by whom and
83. against whom.
84.  
85. GateKeeper 1.1.1 (as well as Disinfectant) is available from most
86. archive sites, including a local system, ix1.cc.utexas.edu in the
87. microlib/mac/virus directory.
88.  
89. Well, happy virus hunting no matter what system you choose,
90. - ----Chris (Johnson)
91. - ----Author of GateKeeper
92.  
93. ------------------------------
94.  
95. Date:    Wed, 04 Oct 89 17:01:06 -0400
96. From:    Tim Endres <time@oxtrap.aa.ox.com>
97. Subject: Re: Why not change OS?
98.  
99. Better than changing OS to get better virus "resistance", why not
100. encourage the systems designers at Apple and IBM to implement
101. protection in their respective operating systems?
102.  
103. An entire document dedicated to stopping virus acitivity at the OS
104. level was mailed to John Sculley at Apple. Yet, to this day, even with
105. an entire new OS release, not one of the suggestions given has been
106. implemented! I am sure that there are many complex issues facing a
107. company such as Apple, with regards to this problem, and changes at
108. the OS level to deal with viruses will, and probably should, be slow.
109.  
110. Further, I must give Apple credit for the action they did take when
111. Macintosh viruses first surfaced. In some cases, they sent their own
112. engineers to infected sites for investigation and assistance. They
113. were the first to engage in "Virus Awareness" campaigns.
114. Unfortunately, we have seen no work at the OS level.
115.  
116. What users should be doing, is overtly pressuring computer
117. manufacturers to address this need at the OS level, and start buying
118. equipment from vendors who move in that direction.
119.  
120. ------------------------------
121.  
122. Date:    Wed, 04 Oct 00 19:89:18 +0000
123. From:    utoday!greenber@uunet.UU.NET (Ross M. Greenberg)
124. Subject: About the DH&S proceeding(s)...
125.  
126. I wasn't too happy with the end result of what DH&S (Steve Ross works
127. for them) produced.  The invitational excluded a number of people
128. (including me, so this might be a biased report).  The only person
129. there really familiar with the world of PC and other micro viruses was
130. Pam Kane (Panda Systems & Dr. Panda Utilities - good stuff!).
131.  
132. They spent a great deal of time on nomenclature.  Something like two
133. days.  Very little on practical "how-to's" or anything at all of a
134. technical nature.  The conclusion of the report is basically a
135. sales-promo piece on why you should hire DH&S consultants if you have
136. a virus problem or wish to make sure you don;t get one.
137.  
138. I consider this mailing list *considerably* more informative,
139. objective, and honest.
140.  
141. Note: I ended up attending the symposium, then being asked to leave
142. when I mentioned that it seemed inappropriate to give this little
143. meeting any credibility when only three or four people there, out of
144. the 50 or so who presented, had *ever* seen a virus.  To be honest, I
145. was a gate crasher.
146.  
147. Ross M. Greenberg
148.  Author, FLU_SHOT+
149.  
150. ------------------------------
151.  
152. Date:    04 Oct 89 23:15:47 +0000
153. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
154. Subject: Re: OGRE virus in Arizona (PC)
155.  
156.  
157. In article <0011.8910041808.AA09177@ge.sei.cmu.edu> WIER@NAUVAX.BITNET writes:
158. | Because the OGRE virus operates at such a "low level," none of the
159. | existing virus detection/elimination programs currently in existence
160. | for the IBM PC will work.
161. |
162. | FUTURE VIRUS DETECTION IDEA
163. |
164. | Checksum the boot blocks.
165.  
166. The new program BootChek goes one better than this.  It will compare the
167. entire boot block with a secured copy.  Since it is small, this comparison
168. is fast, and better than a checksum.  If a change is detected, the computer
169. is halted.  WARNING:  This will detect any *change* in the boot block.
170. If you start with an infected system, this won't help.
171.  
172. - --
173. Jim Wright
174. jwright@atanasoff.cs.iastate.edu
175.  
176.  
177. ------------------------------
178.  
179. Date:    Wed, 04 Oct 89 20:39:29 -0400
180. From:    RREINER@YORKVM1.BITNET
181. Subject: Increasing rate of virus appearances
182.  
183. It is my impression, judging primarily from reports on VALERT-L, that
184. the rate at which new viruses are appearing has accelerated
185. substantially in recent weeks.  There was previously what seemed a
186. stable rate of one new virus every few weeks; this seems now to have
187. become one new virus every few days.  Has anyone been keeping more
188. careful records?  What is the rate of increase of the rate of
189. increase?
190.  
191. Richard J. Reiner  BITNET     == rreiner@vm1.yorku.ca
192.                    Internet   == grad3077@writer.yorku.ca
193.                    Compu$erve == 73457,3257
194.  
195. ------------------------------
196.  
197. Date:    05 Oct 89 04:31:42 +0000
198. From:    consp06@bingvaxu.cc.binghamton.edu
199. Subject: Binghamton Jerusalem-B virus - The day after. (PC)
200.  
201. Thanks to all of you who responded so quickly to my messages for help.
202. We now have several programs that will arm us in controlling the
203. virus.  Any more messages, although appreciated, are unnecessary.
204.  
205. It's good to see that people are so eager to help when a crisis
206. occurs.
207.  
208.                                 -Robert Konigsberg
209.  
210. ------------------------------
211.  
212. Date:    Wed, 04 Oct 89 15:07:00 -0400
213. From:    Jim Shanesy <JSHANESY%NAS.BITNET@VMA.CC.CMU.EDU>
214. Subject: M-1704 question (PC)
215.  
216. We (Don Kazem of our Technical Systems group, and myself, a
217. programmer/analyst) have just downloaded M-1704.ARC from the Homebase
218. bulletin board and found upon reading the documentation that SCANV40
219. is supposed to detect M-1704.EXE as a virus.  It does not.  We both
220. ran SCANV40 (also obtained from Homebase) on our respective hard disks
221. and SCAN reports them both as clean.
222.  
223. Don's machine is a PS/2 Model 70 with ESDI-controlled 120 Meg hard
224. disk, and mine is a PS/2 Model 60 with ESDI-controlled 66 Meg hard
225. drive.  We are reluctant to run this program until we verify that it
226. is not indeed infected, since its behavior is different from that
227. described in the documentation.
228.  
229. Any comments, Mr. McAfee?
230.  
231. [Ed. I believe that the newer ViruScan versions were modified to *not*
232. produce this false alarm; perhaps Mr. McAfee can confirm this.]
233.  
234. **********************************************************************
235.  Jim Shanesy  JSHANESY@NAS.BITNET
236.  Office of Computer and Information Technology
237.  National Academy of Sciences
238.  2101 Constitution Ave., NW
239.  Washington, DC  20418
240.  (202)-334-3219
241. **********************************************************************
242.  
243. ------------------------------
244.  
245. Date:    Wed, 04 Oct 89 12:58:00 -0600
246. From:    Chris McDonald ASQNC-TWS-RA <cmcdonal@wsmr-emh10.army.mil>
247. Subject: WSMR newspaper article on Anti-Virus program
248.  
249.                     THE WSMR ANTI-VIRUS PROGRAM
250.  
251.     The subject of computer "viruses" has attracted considerable
252. attention in the last three years.  The publicity of a Columbus Day
253. virus and the continuing infection rates of several Friday the 13th
254. viruses has pointed out the necessity of ensuring all users are aware
255. of common sense policies and procedures to minimize the threat of
256. viral attacks.  This article attempts to describe our virus defense
257. program at the Range.
258.  
259.     We at White Sands have a unique history in viral research.
260. In the summer of 1984 we at White Sands Missile Range sponsored a
261. computer virus "experiment" by a University of Southern California
262. (USC) undergraduate, Mr.  Fred Cohen.  Fred went on to obtain his PhD
263. and has written and lectured extensively on the computer virus
264. phenomenon.  So we have had some direct experience in the area at a
265. rather early stage.
266.  
267.     The definition of a "virus" from Dr. Cohen's original research
268. work is short, but extremely important to understand some recent viral
269. attacks.  He defined a "virus" as "a computer program that can infect
270. other programs by modifying them to include a possible evolved copy of
271. itself."  With the infection property a virus can spread throughout a
272. computer system or network using the authorizations of every user who
273. might use it to infect their own programs.
274.  
275.     Viruses can spread on personal computers as well as on
276. mainframes.  For a variety of reasons we have seen the majority of
277. viruses infecting personal computers.  An Israeli researcher has
278. published a catalog of 77 identified MS-DOS viruses, including their
279. variations, as of 2 Oct 89.  Other researchers have identified at
280. least 10 Macintosh viruses, including variations, as of 3 Oct 89.
281. "Variations" occur as individuals receive a copy of an original virus
282. and then make some change to it for the purpose of creating a "new"
283. virus.
284.  
285.     If a "computer virus" is similar to a "biological virus," then
286. could one apply the defenses or at least the methodology used to
287. counter infectious human diseases to the issue of automation security?
288. On the assumption that the comparison holds, then prevention,
289. treatment and education would seem logical control measures.
290.  
291.     We can limit our exposure to computer viruses by controlling
292. and by monitoring the source of our software.  We can "buy" from
293. reputable sources.  We can apply the two-person rule to the
294. development and to the review of software which we develop in-house.
295. If we must use public domain and shareware software, then we have an
296. obligation to observe the policies and procedures which our particular
297. organization has for the acquisition, control and testing of such
298. software.  Users should also be aware that certain tenant activities
299. at WSMR prohibit the use of public domain software.
300.  
301.     We have at our disposal both commercial and shareware software
302. products to detect known computer viruses.  We have advertised over
303. the Workplace Automation System (WAS) electronic bulletin board the
304. availability of VIRUSCAN which specifically detects several Friday the
305. 13th and Columbus Day viruses identified as the DatacrimeI and
306. DatacrimeII viruses.  Users can contact either Bob Rothenbuhler, the
307. installation systems security manager, at 678-4236, or Chris Mc
308. Donald, an ISC information systems management specialist, at 678-4176
309. for assistance.
310.  
311.     There are a variety of "disinfectant" programs for the MS-DOS
312. and for the Macintosh worlds which we maintain in the event of a viral
313. outbreak.  We also have access to the resources of the National
314. Computer Security Center (NCSC), the Computer Virus Industry
315. Association (CVIA), and the Computer Emergency Response Center (CERT)
316. in the event of viral attacks.  While it is impossible to stockpile
317. all possible "treatment" remedies, we have at least a good foundation.
318.  
319.     Finally, an article such as this serves to "educate" you, the
320. user community, as to the threats and to some of the defenses
321. applicable to the computer virus problem.  We have available a
322. briefing on computer viruses entitled "Everything the New England
323. Journal of Medicine will never tell you!"  which discusses this
324. subject in some detail.  The Information Systems Command has also
325. initiated an eight hour training class, "Protection of Automation
326. Resources", which will address the whole subject of automation
327. security, to include viruses.  Both Bob and Chris are always available
328. to answer specific questions and to assist users within their
329. respective fields of interest.
330.  
331.     While we cannot eliminate computer viruses, we can maintain a
332. program of prevention, detection and education to minimize the
333. possibly negative impact on our computing environment.  Using good
334. common sense computing practices can reduce the likelihood of
335. contracting and spreading any virus.
336.  
337.         - Backup your files periodically
338.         - Control access to your PC or terminal and limit use to those people
339.           whom you know and trust
340.         - Know what software should be on your system and its characteristics
341.         - Use only software obtained from reputable and reliable sources
342.         - Test public domain, shareware, and freeware software before you use
343.           it for production work
344.         - If you suspect your PC contains a virus, STOP using it and get
345.           assistance
346.  
347. ------------------------------
348.  
349. End of VIRUS-L Digest
350. *********************
351. Downloaded From P-80 International Information Systems 304-744-2253
352.