home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.218

< prev

next >

Wrap

Text File  |  1995-01-03  |  16KB  |  357 lines

---

1. VIRUS-L Digest   Monday, 23 Oct 1989    Volume 2 : Issue 218
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Comments on IBM Virus Scanner (PC)
17. Article pre-Datacrime
18. New anti-viral software (PC)
19. Yale / Alameda Virus (PC)
20. Vacsina virus + Den Zuk virus. (PC)
21. OHIO Virus (PC)
22. Virus infection report (PC)
23. Worms again.... (VAX/VMS)
24. Want suggestions on how to delete virus (PC)
25.  
26. ---------------------------------------------------------------------------
27.  
28. Date:    Thu, 12 Oct 89 11:41:49 -0400
29. From:    Peter Jaspers-Fayer <SOFPJF%UOGUELPH.BITNET@VMA.CC.CMU.EDU>
30. Subject: Comments on IBM Virus Scanner (PC)
31.  
32. We got a copy of IBM's virus scanner.   It is much like McAfee's SCAN,
33. with these differences:
34.  
35. - - It is out of date.  McAfee's product is disseminated via network (a
36.   fact which is looked upon with scorn - or at least with distrust -
37.   by many corporate people) so it is very current.  IBM's checks for 20+
38.   viruses which are mostly fairly old, vs 40+ for John's program, some
39.   of them only weeks old.  I feel this is an important point, as viruses
40.   CAN spread as fast as eMail.
41.  
42. - - IBM's says it checks the "master boot" (partition) record.  Does
43.   McAfee's?  The documentation says so, but the 'running commentary'
44.   does not mention it.
45.  
46. - - The 'characteristic code signatures' are in plain text, in separate,
47.   easily editable files.   This allows one to easily add new viruses
48.   with any DOS text editor.   So when you read (here for instance)
49.   that the new 'garble' virus can be located by scanning for '00486921FF'
50.   it is trivial to edit your copy of the table to add scanning for that
51.   type of virus.  You can also use the same program in a 'grep-like'
52.   way to scan for any arbitrary string on the disk. (eg 'Copyright')
53.  
54.   To my mind, this has it's advantages and disadvantages.  I like the
55.   idea of publishing 'code signatures', and having people configure
56.   their own scanners.  Unfortunately, this also makes it easier for
57.   virus/modifiers to see how they are being caught (like bank robbers
58.   monitoring Police radio, I guess), and make small mods to make the
59.   virus 'undetectable' with that particular signature.
60.  
61. I certainly have nothing against John and all the work he's done for us,
62. but it seems to me IBM's way moves control into the hands of the people,
63. and is more 'open' (gee, come to think of it, that's pretty strange,
64. considering origin ;-) (N.B. 'smiley', IBM!)  Any other thoughts on the
65. pro's and con's of having the search strings in pain human-editable
66. text?  Could someone CC this to John McAfee and post his reply?
67.  
68.  /PJ
69. How did a fool and his money ever get together in the first place? - Anon
70.  
71. ------------------------------
72.  
73. Date:    Thu, 12 Oct 89 12:17:31 -0400
74. From:    "Bruce Guthrie" <BGU%NIHCU.BITNET@VMA.CC.CMU.EDU>
75. Subject: Article pre-Datacrime
76.  
77. [Ed. Well, this is a bit late, but...]
78.  
79.         "'Friday the 13th' Virus Bugging Computer Users"
80.                        by Evelyn Richards
81.                Washington Post, pg E1, Oct 12 1989
82.  
83.      Just a hair after midnight tonight, or soon thereafter, as
84. unsuspecting computer users log on, malicious programs now lying
85. dormant inside IBM and IBM-compatible personal computers will be
86. unleashed to begin a reign of terror, scrambling the information
87. stored on the computers' hard disk.
88.      Or so some computer-security experts say.  Others believe
89. such fears are nothing more than a false alarm.  Whether the
90. virus turns out to be a real threat or not, one this is
91. certain--the prospect of a destructive virus attack tomorrow has
92. sent thousands of computer users into a panic and turned up more
93. news reports of the virus than actual sighting of the virus
94. itself.
95.      An official at International Business Machines Corp., which
96. is pooh-poohing the prospects of widespread havoc, reported
97. yesterday that the firm is getting "more press calls than
98. customer calls."  And John McAfee, a computer security expert in
99. Santa Clara, Calif., has taken to calling this "a media virus."
100. McAfee, who spent yesterday dashing from one ringing phone to
101. another, is reassuring callers that "nothing is going to happen.
102. The virus is a phantom."
103.      But PC czars aren't taking any chances.  The wheels of
104. Washington have been busy grinding out warnings that the rogue
105. computer program, best known as the "Friday the 13th" virus,
106. could wrest control of a PC and effectively destroy months of
107. information carefully stored within it.  The General Services
108. Administration and the Department of Veterans Affairs, for
109. example, have distributed internal memos admonishing users to
110. take certain precautionary steps, among them:  backing up their
111. data so that anything destroyed can be replaced, avoiding
112. software programs obtained from friends or from public
113. computerized "bulletin boards", and storing diskettes behind lock
114. and key when they're not in use.
115.      Companies are taking similar precautions.
116.      In McLean [Virginia], Planning Research Corp. refrained from
117. issuing a special advisory but instead put out the word at
118. departmental meetings.  "We thought it would be remiss not to
119. warn people, but we also didn't want them to go overboard," said
120. Jude Franklin, general manager of the technology division.
121.      Dennis Steinauer heads the computer security forces at the
122. National Institute of Standards and Technology (nee the National
123. Bureau of Standards), which issued an early advisory about the
124. virus and is partly responsible for coordinating computer
125. security throughout the federal government.  Is Steinauer
126. worried?
127.      "I'm leaving on Friday the 13th, and I haven't changed my
128. plans," said Steinauer, who plans to attend a conference in
129. Brussels.
130.      Steinauer isn't the only computer security expert who will
131. be out of touch tomorrow.  Some 2,300 such experts are gathered
132. in Baltimore this week for their annual meeting.
133.  
134. ------------------------------
135.  
136. Date:    Thu, 12 Oct 89 12:50:24 -0500
137. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
138. Subject: New anti-viral software (PC)
139.  
140. More anti-viral software.  Datacure was sent to me from the
141. Netherlands with the author's permission, the other three came
142. from HomeBase.  A note on the DataCrime virus.  By the time
143. most of you read this, Friday, October 13 1989 will have passed.
144. Unfortunately this doesn't mean that the DataCrime worry is
145. over.  Please keep in mind that all the information I have
146. indicates this virus is uncommon in all places except press
147. reports.  Nonetheless, better safe than sorry.  Remember,
148. DataCrime is set to go off ANY DAY between Columbus day and
149. New Year's, not inclusive.  So any latent infection could show
150. up with unpleasant consequences.  Now, on with the show...
151.  
152. datacure.arc
153.         One program that will identify files infected with
154.         DataCrime and optionally cure them.  A second memory
155.         resident program that will block the destructive
156.         effects of DataCrime and warn you.  Only works on
157.         DataCrime II virus.  Shareware.  No version #.
158.         [ I was unable to get datacure.com to perform   ]
159.         [ properly.  I'm trying to find out why, and    ]
160.         [ will post any updates.  It isn't destructive, ]
161.         [ just ineffective. -- jrw                      ]
162. dc89scan.arc
163.         A program to identify the DataCrime virus.  This
164.         package was released largely as a bit of public
165.         relations for the company involved, but is useful
166.         despite this.  Only works on the two strains of
167.         DataCrime I (1168 and 1280).  Freely redistributable.
168.         No version #.
169. scanrs42.arc
170.         Resident program which checks each program for viruses
171.         before it is allowed to execute.  Update to previous
172.         version.  Shareware.  Version 0.9v42.
173. scanv42.arc
174.         Program to scan a disk, directory or file for viruses.
175.         Will work with SHEZ to scan archives also.  Update to
176.         previous version.  Shareware.  Version 0.7v42.
177.  
178. DATACURE.ARC    Detect and disable the DataCrime II virus
179. DC89SCAN.ARC    Detect the two strains of DataCrime I virus
180. SCANRS42.ARC    Resident program to scan for many viruses
181. SCANV42.ARC     Program to scan files for many viruses
182.  
183. Jim
184.  
185. ------------------------------
186.  
187. Date:    13 Oct 89 20:18:15 +0000
188. From:    news@acsu.buffalo.edu
189. Subject: Yale / Alameda Virus (PC)
190.  
191. Has anyone heard of the Yale/Alameda virus, and know what it does?
192. A friend here at school found 3 of his floppies (he's lucky he
193. doesn't have a hard drive) infected with this by using Viruscan.
194. Apparently it had only infected the hidden boot files so by
195. using the SYS command he feels as if his is rid of it.  The real
196. question though is if this is a safe assumption, and how does it
197. duplicate itself (ie, could it possibly be hidden in other files).
198.  
199. Doug McKee
200. @relay.cs.net:mckee@canisius.edu
201.  
202. [Ed. Here's what I have (from Joe Hirst's list, which should be
203. available from the documentation archive site(s)):
204.  
205.                 15.      Yale - AKA Alameda, Merritt
206.                            Boot virus - floppy only
207.  
208. Type description:
209.         This virus consists of a boot sector only.  It infects floppies in the
210.         A-drive only and it occupies 1K of memory.  The original boot sector is
211.         held in track thirty-nine, head zero, sector eight.  It hooks into INT
212.         9, and only infects when Ctrl-Alt-Del is pressed.  It will not run on
213.         an 80286 or an 80386 machine, although it will infect on such a
214.         machine.  It has been assembled using A86.  It contains code to format
215.         track thirty-nine, head zero, but this has been disabled.
216. ]
217.  
218. ------------------------------
219.  
220. Date:    15 Oct 89 07:50:12 +0000
221. From:    munnari!minyos.xx.rmit.oz.au!s864292@uunet.UU.NET (F.S. Seow)
222. Subject: Vacsina virus + Den Zuk virus. (PC)
223.  
224. The IBM computer of a friend of mine, has just been attacked by
225. Vacsina and Den Zuk simultaneously.
226.  
227. Would anyone know where in Metropolitan Victoria,
228. can my friend get the antidotes ( affordable commercial,
229. shareware or public domain ) for these viruses ?
230.  
231. Even better is there such a thing as an all-purpose-multi-virus
232. antidote existing ?
233.  
234. F.S.
235.  
236. ------------------------------
237.  
238. Date:    Mon, 16 Oct 89 11:33:00 -0400
239. From:    <rwmira01%ULKYVX.BITNET@jade.Berkeley.EDU> (Rob Miracle)
240. Subject: OHIO Virus (PC)
241.  
242. Does anyone have any information on the Ohio virus? What does it do? How is
243. it triggered etc?
244.  
245. Any information would be helpful.
246. Thanks in advance
247. Rob Miracle
248. - --
249. Rob Miracle              | Bitnet   : RWMIRA01@ULKYVX    CIS: 74216,3134
250. Programmer/Analyst-II    | INTERNET : rwmira01%ulkyvx.bitnet@cunyvm.cuny.edu
251. University of Louisville | UUCP     : ...psuvax1!ulkyvx.bitnet!rwmira01
252.  
253. "Greed Kills"  -- Anton Devious
254.  
255. ------------------------------
256.  
257. Date:    Mon, 16 Oct 89 11:49:28 -0500
258. From:    Bill Hobson <X043BH%TAMVM1.BITNET@VMA.CC.CMU.EDU>
259. Subject: Virus infection report (PC)
260.  
261.      We had one lab hit at Texas A&M University in out Architecture
262. department.  Unfortunately, I found about it AFTER they low level formatted
263. all of their hard disks.  There are probably many student disks out there
264. with the infections still present, but unfortunately I can't get my hands
265. on them to find out what they had.  It happened on THE DAY (Friday 13th),
266. but there are two viruses that blow up on that day.  I have personally
267. eradicated the Jerusalem virus from two departments on campus, so I
268. suspect that is it.  More later as I find out more!
269.  
270. ------------------------------
271.  
272. Date:    Mon, 16 Oct 89 15:59:21 -0500
273. From:    Gene Spafford <spaf@CS.PURDUE.EDU>
274. Subject: Worms again.... (VAX/VMS)
275.  
276. If you have not yet heard, another network worm incident is in
277. progress.
278.  
279. The following bits of information have been collected from multiple
280. sources.  I am mailing this so that people don't tie up the phone
281. lines only to get the same information.  The folks at SPAN & CERT
282. will issue a report when more details are known.
283.  
284. Please refer members of the press and other callers to the SPAN NIC @
285. (301) 286-7251.  DO NOT have them call the CERT -- the folks there are
286. busy enough as is right now, and they won't respond to questions
287. without a need-to-know.  The folks at DEC probably won't respond
288. either -- if you can find anyone who knows what it happening in this
289. incident.  The folks at NASA will issue formal reports when appropriate.
290.  
291. The story so far:
292.  
293. Around 4:30 this morning, a worm program was found on machines in the
294. SPAN network.  The worm is apparantly similar to the worm that hit
295. SPAN in December (on Christmas eve) in that it is spreading on Decnet
296. and affecting VMS systems.  According to a few of the people I talked
297. with, it is not clear what the program is doing other than printing a
298. message labelling the program as "Worms Against Nuclear Killers" and
299. spreading to other machines.  There are NO CONFIRMED reports at this
300. time that the worm is doing damage to machines or data.  If the worm
301. is still spreading, it is spreading VERY slowly -- only about a half
302. dozen machines have been detected as infected (so far).
303.  
304. All of the appropriate authorities have been notified.  CERT, DEC,
305. NASA, & various Federal agencies are involved.  The problem is being
306. examined by experts in the area, and as soon as the situation is
307. clarified, a public report will be issued.
308.  
309. In the meantime, we can all help with the situation:
310.   * DON'T PANIC -- it is limited in scope and machine type.
311.     Unless you have a Decnet link to SPAN, your machine is in no
312.     danger,
313.   * Copies of the code are under analysis by experts, so fixes
314.     are undoubtedly on the way.  If you run Decnet and installed
315.     the fixes last December, you are *probably* immune already.
316.   * Don't call the CERT, DEC or SPAN about this -- they'll be sure
317.     to release details when they are certain enough about them to be
318.     sure that they won't cause problems.
319.   * Refer any members of the press to the SPAN number.  PLEASE be
320.     careful what you say to members of the press -- remember that
321.     the press doesn't understand the difference between DECnet, the
322.     Internet, VMS, Unix, etc, and we don't need another media scare
323.     about network invasions.
324.  
325. - --spaf
326.  
327. ------------------------------
328.  
329. Date:    Mon, 16 Oct 89 20:29:26 -0400
330. From:    Elizabeth Caruso <LIZBB%CUNYVM.BITNET@VMA.CC.CMU.EDU>
331. Subject: Want suggestions on how to delete virus (PC)
332.  
333. Today, our Novell LAN reported a hardware error when users tried to
334. access programs stored on our File Server.  At first we did not know
335. it was a virus because the same programs would run for one user and
336. not run for another.  I had a feeling it might be a virus when I
337. performed a Novell Netware command "NCOPY" and the screen messages
338. where overwritten by characters that did not make sense.  We decided
339. to run "VIRSCAN" to check for viruses.  39 files where infected with
340. the JERUSALEM virus including the "NCOPY" file.
341.  
342. HAS ANYONE ENCOUNTERED THE JERUSALEM VIRUS ON THEIR LOCAL AREA
343. NETWORKS?
344.  
345. We would like to delete the infected files and replace them with clean
346. copies but we don't know if this will be a correct action to take.
347. Will recoping be enough or do we have to format our File Server?  IF
348. ANYONE HAS DELETED JERUSALEM FROM THEIR SYSTEM, (LAN OR PC SYSTEM) WE
349. WOULD LOVE SOME ADVICE!!!!  HOW DOES THIS VIRUS INFECT A SYSTEM AND
350. SPREAD?
351.  
352. ------------------------------
353.  
354. End of VIRUS-L Digest
355. *********************
356. Downloaded From P-80 International Information Systems 304-744-2253
357.