home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.227

< prev

next >

Wrap

Text File  |  1995-01-03  |  13KB  |  309 lines

---

1. VIRUS-L Digest   Tuesday, 31 Oct 1989    Volume 2 : Issue 227
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Re: Virus scanners
17. Re: Virus source available in Toronto
18. RE: BootChek (possible virus) (PC)
19. Re: MacDraw II 1.1/GateKeeper 1.1 problems (Mac)
20. Re: Another suggestion for preventing viral spread (PC)
21. stoned removal? (PC)
22. Re: Macintoch MacWrite, STR 801 (Mac)
23. Free catalog disk update
24. Yale/Alameda & Stoned Viruses (PC)
25.  
26. ---------------------------------------------------------------------------
27.  
28. Date:    Mon, 30 Oct 89 16:32:39 +0000
29. From:    yale!slb-sdr!sdr.slb!shulman@uunet.UU.NET (Jeff Shulman)
30. Subject: Re: Virus scanners
31.  
32. portal!cup.portal.com!cpreston@Sun.COM writes:
33.  
34. >My point about "How good are scanning programs" is mainly that if the
35. >program uses well-chosen search strings it can be more effective than
36. >I, at least, initially expected.  Several scanning programs for the
37. >Macintosh relied only on resource names (resources include program
38. >code on the Mac).  These resource names, such as nVIR, are very easily
39. >and quickly changed to hPat or anything else, completely defeating the
40. >scanning program.
41.  
42. >Charles M. Preston                     MCI Mail 214-1369
43. >Information Integrity                  BIX cpreston
44. >Box 240027                             907-344-5164
45. >Anchorage, AK 99524
46.  
47. Very true.  Which is why the scanning strings in VirusDetective(TM)
48. are (1) resource type/ID independent (for all the Mac viruses) and (2)
49. *user* configurable [but the GIGO rule applies: Use invalid search
50. strings and you will get invalid results].
51.  
52. Plug:
53.  
54. VirusBlockade(TM) II Ltd. has just been released by me (along with VD
55. 3.1) which, among other things, allows you to scan floppies in
56. background (when used with VD 3.1) when they are inserted WITHOUT
57. having to have VD open.  [VB II Ltd. is a DEMO of VB II which does
58. everything except save any configuration changes to disk]
59.  
60.                                    Jeff Shulman
61.                                    VirusDetective & VirusBlockade author
62. - --
63. uucp:      ...rutgers!yale!slb-sdr!shulman
64. CSNet:     SHULMAN@SDR.SLB.COM
65. Delphi:    JEFFS
66. GEnie:     KILROY
67. CIS:       76136,667
68. AppleLink: KILROY
69.  
70. ------------------------------
71.  
72. Date:    30 Oct 89 17:04:03 +0000
73. From:    kelly@uts.amdahl.com (Kelly Goen)
74. Subject: Re: Virus source available in Toronto
75.  
76. Yes it is indeed true that viral sources are published in several
77. areas... however "Viruses , A high Tech disease" published only
78. overwriting viruses!! more similar to a logic bomb as when they infect
79. the target executable the file is immediately destroyed(VERY EASY to
80. detect) by the overwriting process. However any COMPETANT Assembly
81. coder can manufacture far more unobtrusive viruses if he just thinks
82. about it!! the published sources working or non working are really not
83. that much of a threat...
84.             cheers from the front lines!!
85.              kelly/silly CON Valley!!
86.  
87. ------------------------------
88.  
89. Date:    Mon, 30 Oct 89 10:15:39 -0500
90. From:    Arthur Gutowski <AGUTOWS%WAYNEST1.BITNET@VMA.CC.CMU.EDU>
91. Subject: RE: BootChek (possible virus) (PC)
92.  
93. In Virus-L Digest v2, i226, Jeffrey Perry expressed some concern about
94. his copy of BootChek that he is running.  I sent him a note asking him
95. to send me the copy of the program he is running now, the corrupt.hex
96. files, and the copy of the boot sector generated by BootChek.  Since
97. ViruScan and other products have failed to find anything, I doubt it
98. is a virus that infected him (although it is possible a new nasty has
99. surfaced :-( ... Thus my interest in the corrupted boot sector files).
100. I can only make the assumption for the time being that the program is
101. bugged.  I am looking into the matter, and if in fact there is a bug
102. in the program, a version update will be released with the fix and
103. posted via Jim Wright's antiviral archives.
104.  
105. I also asked him to take some measures in re-running the program in a
106. (relatively) guaranteed clean environment.  Hopefully, these tests will
107. show that there isn't yet another new virus out there.
108.  
109. I will post an update when more info is available.
110.  
111. Arthur Gutowski,
112. Co-author of BootChek
113.  
114. +--------------------------------------------------------------------+
115. | Arthur J. Gutowski, Student Assistant                              |
116. | Antiviral Group / Tech Support / WSU University Computing Center   |
117. | 5925 Woodward; Detroit MI  48202; PH#: (313) 577-0718              |
118. | Bitnet: AGUTOWS@WAYNEST1   Internet: AGUTOWS@WAYNEST1.BITNET       |
119. +====================================================================+
120. | Rules to live by, #153:                                            |
121. |     Never get caught on the wrong side of a Doppler shift.         |
122. +--------------------------------------------------------------------+
123.  
124. ------------------------------
125.  
126. Date:    30 Oct 89 17:04:46 +0000
127. From:    ut-emx!chrisj@cs.utexas.edu (Chris Johnson)
128. Subject: Re: MacDraw II 1.1/GateKeeper 1.1 problems (Mac)
129.  
130. In article <0010.8910301224.AA05511@ge.sei.cmu.edu> HONORS@kuhub.cc.ukans.edu w
131. rites:
132. >Question: Does GateKeeper 1.1 have problems with MacDraw 1.1? Our
133. (stuff deleted)
134. >                      Travis Butler at HONORS@kuhub.cc.ukans.edu
135.  
136. The answer is that GateKeeper 1.1 is making the problem apparent -
137. it's not at all clear whether the problem is a very obscure bug in
138. GateKeeper (and it would have to be obscure since so few pieces of
139. software demonstrate this problem) or a bug in MacDraw.  I've been
140. working with Ken Walters at Claris for some time now, and we haven't
141. reached any useful conclusions as yet.
142.  
143. There are other packages that demonstrate related problems.  They
144. include MacWrite 1.x and Claris CAD, and a few programs from other
145. vendors, as well.
146.  
147. The solution (after a fashion) is to use version 1.1.1 of GateKeeper.
148. Although the problem remains, 1.1.1 can be warned about programs that
149. suffer from the problem.  Thus warned, GateKeeper avoids the
150. situations that give rise to the problem.
151.  
152. There are a number of other good reasons to upgrade to 1.1.1, so consider
153. the upgrade *highly* recommended.
154.  
155. - ----Chris (Johnson)
156. - ----chrisj@emx.utexas.edu
157. - ----Author of Gatekeeper
158.  
159. ------------------------------
160.  
161. Date:    30 Oct 89 17:37:56 +0000
162. From:    kelly@uts.amdahl.com (Kelly Goen)
163. Subject: Re: Another suggestion for preventing viral spread (PC)
164.  
165.  Sorry close but no cigar... OBJ files are even easier for a viral
166. writer to manipulate... the format is EXTREMELY well document...  how
167. do I know??? simply I have written a few linkers!! its quite trivial
168. to cause a OBJ type virus to repropagate!! I suggest if you are
169. interested further check out the MS-DOS encyclopedia!! from microsoft
170. press!!
171.     cheers
172.     kelly
173.  
174. ------------------------------
175.  
176. Date:    Mon, 30 Oct 89 13:18:15 -0500
177. From:    howard@maccs.dcss.mcmaster.ca (Howard Betel)
178. Subject: stoned removal? (PC)
179.  
180. I have a friend that has recently been hit by the stoned virus.  His
181. question quite simply is whether there is anyway to eradicate the virus
182. without having to do a low level format.  After the low level, is there
183. anything else he should be worried about?
184.  
185. If no files are involved in your answer could you please mail him at:
186. 39CJORDAN@SHERCOL1.BITNET or if there are files involved please respond
187. to me so I can grab them for him.
188.  
189. Thanks for any help you can give, I think he's almost around the bend.  :-0
190.  
191. - --
192. Howard Betel                                    Howard@maccs.dcss.McMaster.CA
193. Dept of Computer Science                     ...!unet!utai!utgpu!maccs!howard
194. McMaster University
195.  
196. ------------------------------
197.  
198. Date:    30 Oct 89 22:29:42 +0000
199. From:    ut-emx!chrisj@cs.utexas.edu (Chris Johnson)
200. Subject: Re: Macintoch MacWrite, STR 801 (Mac)
201.  
202. In article <0002.8910271112.AA11335@ge.sei.cmu.edu> JS05STAF%MIAMIU.BITNET@VMA.
203. CC.CMU.EDU (Joe Simpson) writes:
204. >I'm unclear about the STR 801 discussion.  Let me tell a little story
205. >to see if I can further confuse things.
206. >
207. >About 4 months ago a client reported that MacWrite was growing in file
208. >size on a public Mac.  I checked to see that VACCINE was turned on.
209. >I ran Disinfectant 1.2.  A clean machine.
210. >
211. >I then ran ResEdit to look at the MacWrite file.  There were a large
212. >number of STR 801 resources.  The program was adding STR 801 resources
213. >at some unknown interval.
214. >
215. >I replacedthe file with a fresh copy of MacWrite and the problem disappeared.
216. >
217. >I put it down to normal computer miseries and not a computer virus.
218.  
219. You were right to assume that it was just normal "miseries".  Ken Walters
220. at Claris recently mentioned that they've received reports of this problem
221. in the past with version 5.x of MacWrite (possibly earlier versions, too -
222. I didn't get all the details on which versions).  They don't worry about
223. it, though, because they now put out MacWrite II which doesn't have this
224. problem, so, as far as they're concerned, the bug is "fixed".  :-)
225.  
226. And, when you consider it, it would be a pretty simple mistake to
227. make...  all that's required is for someone to forget to do a
228. UseResFile() at the right time (just before the AddResource() call is
229. made), and the STR 801 could go into any of the currently open
230. resource files, including MacWrite's own file.
231.  
232. So, it doesn't sound like there's anything to be concerned about.
233.  
234. - ----Chris (Johnson)
235. - ----chrisj@emx.utexas.edu
236. - ----Author of Gatekeeper
237.  
238. ------------------------------
239.  
240. Date:    Mon, 30 Oct 89 18:30:00 -0500
241. From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
242. Subject: Free catalog disk update
243.  
244. Regarding the xxx catalog disk mentioned last week. here is an update.
245. the three infected files were uploaded to homebase for evaluation by
246. the experts there. one of the files cl.com was a hidden file and
247. would not be seen just by doing a dir command.
248.  
249. the company was contacted, (the phone was answered by a kid who yelled
250. out, "hey daddy it's for you"),and the responsible party was informed
251. that the disk received had three viruses on it.
252.  
253. his reply, and i quote was "that is impossible, i wrote the all of the
254. programs on the free catalog disk." he then proceeded to ask why he
255. would include a virus. an attempt was made to explain that the infected
256. programs were shareware used by batch files on the catalog disk.
257.  
258. he was not at aLL INTERESTED IN HEARING ABOUT THE PROBLEM AND RATHER
259. RUDELY SLAMMED THE PHONE DOWN, AFTER UTTERING A FEW CHOICE WORDS.
260.  
261. TO REITERATE, THIS DISK WAS received in response to a "bingo card"
262. request from the back of one of the major computer magazines. the
263. ad offered a free disk containing a catalog of shareware and other
264. software sold by the xxx company in hesperia, california.
265.  
266. the disk label appears as follows:
267.  
268.                         1989 xxx catalog
269.                      **********************
270.                   p.o. xxxx hesperia, ca 92345
271.                 may view or print catalog & orderform
272.                    to start catalog . . . a>start
273.  
274. the company name and post office box number have been replaced by
275. x's to avoid any legal problems.
276.  
277. on the disk there is the root directory and a subdirectory named
278. \ord. in the root directory two files are infected. cl.com is the
279. hidden file in the root which is infected. in the \ord directory
280. a file is also infected.
281.  
282. other than that i am at a loss. attempts to speak to the company
283. have failed, so i guess it will take a complaint to the editor
284. of the magazine where the ad appeared.
285.  
286. ------------------------------
287.  
288. Date:    Mon, 30 Oct 89 18:45:54 -0500
289. From:    Tom Luthman <ST9%UGA.BITNET@VMA.CC.CMU.EDU>
290. Subject: Yale/Alameda & Stoned Viruses (PC)
291.  
292.    Here in the PC labs at UGA we've been having outbreaks of what
293. Scanv45 calls the Yale/Alameda virus in the boot sector.
294.    What does this virus do and how dangerous is it?
295.  
296.    Also, one user found a "stoned" virus on his hard drive.
297.  
298.    Are there removal programs available for either or both of these?
299. And how can we get 'em?
300.               Thanks...
301.  
302.                       --- Tom Luthman (st9 @ uga)
303.  
304. ------------------------------
305.  
306. End of VIRUS-L Digest
307. *********************
308. Downloaded From P-80 International Information Systems 304-744-2253
309.