home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.214

< prev

next >

Wrap

Text File  |  1995-01-03  |  8KB  |  172 lines

---

1. VIRUS-L Digest   Thursday,  5 Oct 1989    Volume 2 : Issue 214
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Re: paper comparing biological and computer viruses
17. CNN coverage of Columbus Day Virus and Friday 13th Virus
18. The DataCrime viruses (PC)
19. Two new PC viruses
20. That's the news...
21.  
22. ---------------------------------------------------------------------------
23.  
24. Date:    05 Oct 89 06:07:51 +0000
25. From:    munnari!gara.une.oz.au!pmorriso@uunet.UU.NET (Perry Morrison MATH)
26. Subject: Re: paper comparing biological and computer viruses
27.  
28. SOFPJF@UOGUELPH.BITNET (Peter Jaspers-Fayer) writes:
29. >     This is an outline for a semi-serious paper on the similarities
30. > between biological and computer viruses, and the efforts to understand
31. > and combat them.  I present it here in the hopes that others may wish
32. > to contribute a paragraph or so (sorry no money, but I'll give credit
33. > for any material I receive).
34.  
35. I wrote a short paper published in the Futurist which introduces the
36. analogy of software and organic viruses. For historical adequacy of
37. your paper, I'd appreciate it if you included it in your bibliography:
38.  
39.         Morrison, P.R. "Computer Parasites May Cripple Our Computers",
40. The Futurist, 1986, 20(2), 36-38.
41.  
42. _  _______________________W_(Not Drowning...Waving!)______________________
43. Perry Morrison  Ph.D, V.D (and scar).
44. SNAIL: Maths, Stats and Computing Science, UNE, Armidale, 2351, Australia.
45. perrym@neumann.une.oz   or pmorriso@gara.une.oz         Ph:067 73 2302
46.  
47. ------------------------------
48.  
49. Date:    Thu, 05 Oct 89 08:51:37 -0500
50. From:    Jim Ennis <JIM@UCF1VM.BITNET>
51. Subject: CNN coverage of Columbus Day Virus and Friday 13th Virus
52.  
53. Hello,
54.  
55.   Viruses were covered on the CNN 'AT&T Information and Technology'
56. segment of the CNN Daybreak show Weds, 10/4/89.  There was a good
57. non-techie description of what a virus is, how it spreads and some
58. safe computing (safe sex) practices.  They did not mention how to
59. detect the virus and remove, or who you could contact for more
60. information.
61.  
62. They had short pieces with Winn Schwartau 'American Computer
63. Security', Richard Carr 'NASA', and Ross Greenberg 'Software Author'.
64. The show seems to be lumping all computer security problems as
65. 'viruses', it did not attempt to differentiate (sp?) the different
66. types of problems facing computers.  Also, they said that the virus
67. will not affect many people, they did not give any estimates on the
68. number of possible infections (which from following this list is
69. pretty small).
70.  
71. The segment might run on Sunday during the 'Science & Technology' half
72. hour show (usually in the early afternoon).  It was only about 3-4
73. minutes long.
74.  
75. Jim Ennis
76. UCF Computer Services
77.  
78. ------------------------------
79.  
80. Date:    Thu, 05 Oct 89 17:13:10 +0200
81. From:    Y. Radai <RADAI1%HBUNOS.BITNET@VMA.CC.CMU.EDU>
82. Subject: The DataCrime viruses (PC)
83.  
84.   In August, Alan Roberts, David Chess, and Kelly Goen discussed the
85. DataCrime II virus on VIRUS-L, but only from one point of view: that
86. it's encrypted and that the decryption code includes a routine which
87. prevents looking at the code with a single-step utility.  Unless I
88. missed something, none of them thought of telling us anything else
89. concerning how DC-2 differs from the original DC.  Much later,
90. however, we did learn several additional differences, for example:
91. (1) DC-2 infects EXE as well as COM files.
92. (2) It increases file size by 1514 bytes.
93. (3) Whereas DC avoids infecting COM files whose 7th letter is "D"
94. (thus avoiding infection of COMMAND.COM), DC-2 avoids infecting COM
95. files whose 2nd letter is "B" (presumably so as not to infect
96. IBMBIO.COM and IBMDOS.COM).
97.  
98.   So far, so good.  But I have since discovered that there was one
99. very important difference which (again, assuming that I haven't missed
100. anything) was not mentioned by anyone on the List: Whereas DC per-
101. forms its damage (low-level format of cylinder 0 of the hard disk) on
102. any day between Oct 13 and Dec 31 of any year, DC-2 does it on any day
103. between Jan 1 and Oct 12, except on Sundays!
104.  
105.                                           Y. Radai
106.                                           Hebrew Univ. of Jerusalem
107.  
108. ------------------------------
109.  
110. Date:    Thu, 05 Oct 89 14:33:43 +0200
111. From:    Y. Radai <RADAI1%HBUNOS.BITNET@VMA.CC.CMU.EDU>
112. Subject: Two new PC viruses
113.  
114.   Two new viruses have been discovered in Israel.  One of them is
115. called the Alabama virus.  It infects EXE files and increases their
116. size by 1560 bytes.  Unlike many other resident viruses, it does not
117. use Int 21h function 31h to stay resident.  It loads itself 30K under
118. the highest memory location reported by DOS, but (unlike MIX1) it does
119. not lower the amount of memory reported by BIOS or DOS.
120.   It hooks Int 9 and checks for Ctrl-Alt-Del.  (It uses IN and OUT
121. commands to confuse anti-virus people.)  When it identifies this com-
122. bination it causes an apparent boot but remains in RAM.
123.   After 1 hour of operation (the virus checks the time on each Int 9
124. or Int 21 call), the following flashing boxed message appears:
125.  
126.     SOFTWARE COPIES PROHIBITED BY INTERNATIONAL LAW..............
127.     Box 1055 Tuscambia ALABAMA USA.
128.  
129.   This virus does not necessarily infect the file which is currently
130. being executed.  First it looks for an uninfected file in the cur-
131. rent directory, and if it finds one it infects it.  Only if it does
132. not find one does it infect the executed file.
133.   But sometimes, when it finds an uninfected file, instead of infect-
134. ing it, it will *exchange* it with the currently executed file without
135. renaming it, so that the user will think that he is executing one pro-
136. gram while he is actually executing another one!
137.  
138.   I have less information about the other virus (not even a name for
139. it).  It adds 4096 to all infected files (both EXE amd COM, incl.
140. COMMAND.COM).  But when you perform DIR you don't see the increase in
141. file size since the virus shows you the *original* (uninfected) sizes.
142. Like the Alabama and MIX1, it does not use the usual TSR function.  It
143. also uses INs and OUTs to confuse single-step utilities.
144.  
145.   My thanks to Eli Shapira for this info.
146.  
147.                                           Y. Radai
148.                                           Hebrew Univ. of Jerusalem
149.  
150. ------------------------------
151.  
152. Date:    Thu, 05 Oct 89 16:00:00 EDT
153. From:    "Kenneth R. van Wyk" <krvw@SEI.CMU.EDU>
154. Subject: That's the news...
155.  
156. To quote Saturday Night Live's Dennis Miller, That's the news and I am
157. out of here!
158.  
159. VIRUS-L/comp.virus will be back on-line when I return from Maui/Kaui
160. on Oct. 23.  Until then, use VALERT-L for *VIRUS ALERTS* only.  Please
161. do not use VALERT-L for anything other than virus alerts.
162.  
163. Aloha,  :-)
164.  
165. Ken van Wyk
166.  
167. ------------------------------
168.  
169. End of VIRUS-L Digest
170. *********************
171. Downloaded From P-80 International Information Systems 304-744-2253
172.