home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.236 < prev    next >
Text File  |  1995-01-03  |  25KB  |  591 lines

  1. VIRUS-L Digest   Wednesday,  8 Nov 1989    Volume 2 : Issue 236
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Introduction to the anti-viral archives
  17. UNIX anti-viral archive sites
  18. Apple II anti-viral archive sites
  19. Atari ST anti-viral archive sites
  20. Amiga anti-viral archive sites
  21. IBMPC anti-viral archive sites
  22. Documentation anti-viral archive sites
  23. Macintosh anti-viral archive sites
  24. New anti-virus files uploaded to SIMTEL20 (PC)
  25. Re: Where are the Sophisticated Viruses? (PC)
  26.  
  27. ---------------------------------------------------------------------------
  28.  
  29. Date:    08 Nov 89 05:19:49 +0000
  30. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  31. Subject: Introduction to the anti-viral archives
  32.  
  33. # Introduction to the Anti-viral archives...
  34. # Listing of 07 November 1989
  35.  
  36. This posting is the introduction to the "official" anti-viral archives
  37. of virus-l/comp.virus.  With the generous cooperation of many sites
  38. throughout the world, we are attempting to make available to all
  39. the most recent news and programs for dealing with the virus problem.
  40. Currently we have sites for Amiga, Apple II, Atari ST, IBMPC, Macintosh
  41. and Unix computers, as well as sites carrying research papers and
  42. reports of general interest.
  43.  
  44. If you have general questions regarding the archives, you can send
  45. them to this list or to me.  I'll do my best to help.  If you have a
  46. submission for the archives, you can send it to me or to one of the
  47. persons in charge of the relevant sites.
  48.  
  49. If you have any corrections to the lists, please let me know.
  50.  
  51. Jim
  52.  
  53. ==== cruft for the lawyers ====
  54.  
  55. The files contained on the participating archive sites are provided freely
  56. on an as-is basis.
  57.  
  58. To the best of our knowledge, all files contained in the archives are either
  59. Public Domain, Freely Redistributable, or Shareware.  If you know of one
  60. that is not, please drop us a line and let us know.
  61.  
  62. PLEASE NOTE
  63. The Managers of these systems, and the Maintainers of the archives, CAN NOT
  64. and DO NOT guarantee any of these applications for any purpose.  All possible
  65. precautions have been taken to assure you of a safe repository of useful
  66. tools.  Unfortunately, in this day and age nothing is certain.  It is awful
  67. that these people have to worry about legalities when they are only trying
  68. to provide a free and useful service.  But facts are facts.  Your use of
  69. the archives relieves the sites from any liability.
  70.  
  71. Sigh.
  72.  
  73. ------------------------------
  74.  
  75. Date:    08 Nov 89 05:20:49 +0000
  76. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  77. Subject: UNIX anti-viral archive sites
  78.  
  79. # Anti-viral and security archive sites for Unix
  80. # Listing last changed 30 September 1989
  81.  
  82. attctc
  83.         Charles Boykin <sysop@attctc.Dallas.TX.US>
  84.         Accessible through UUCP.
  85.  
  86. cs.hw.ac.uk
  87.         Dave Ferbrache <davidf@cs.hw.ac.uk>
  88.         NIFTP from JANET sites, login as "guest".
  89.         Electronic mail to <info-server@cs.hw.ac.uk>.
  90.         Main access is through mail server.
  91.         The master index for the virus archives can be retrieved as
  92.                 request: virus
  93.                 topic: index
  94.         For further details send a message with the text
  95.                 help
  96.         The administrative address is <infoadm@cs.hw.ac.uk>
  97.  
  98. sauna.hut.fi
  99.         Jyrki Kuoppala <jkp@cs.hut.fi>
  100.         Accessible through anonymous ftp, IP number 128.214.3.119.
  101.         (Note that this IP number is likely to change.)
  102.  
  103. ucf1vm
  104.         Lois Buwalda <lois@ucf1vm.bitnet>
  105.         Accessible through...
  106.  
  107. wuarchive.wustl.edu
  108.         Chris Myers <chris@wugate.wustl.edu>
  109.         Accessible through anonymous ftp, IP number 128.252.135.4.
  110.         A number of directories can be found in ~ftp/usenet/comp.virus/*.
  111.  
  112. ------------------------------
  113.  
  114. Date:    08 Nov 89 05:18:15 +0000
  115. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  116. Subject: Apple II anti-viral archive sites
  117.  
  118. # Anti-viral archive sites for the Apple II
  119. # Listing last changed 30 September 1989
  120.  
  121. brownvm.bitnet
  122.         Chris Chung <chris@brownvm.bitnet>
  123.         Access is through LISTSERV, using SEND, TELL and MAIL commands.
  124.         Files are stored as
  125.                 apple2-l xx-xxxxx
  126.         where the x's are the file number.
  127.  
  128. cs.hw.ac.uk
  129.         Dave Ferbrache <davidf@cs.hw.ac.uk>
  130.         NIFTP from JANET sites, login as "guest".
  131.         Electronic mail to <info-server@cs.hw.ac.uk>.
  132.         Main access is through mail server.
  133.         The master index for the virus archives can be retrieved as
  134.                 request: virus
  135.                 topic: index
  136.         The Apple II index for the virus archives can be retrieved as
  137.                 request: apple
  138.                 topic: index
  139.         For further details send a message with the text
  140.                 help
  141.         The administrative address is <infoadm@cs.hw.ac.uk>
  142.  
  143. uk.ac.lancs.pdsoft
  144.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
  145.         Service for UK only; no access from BITNET/Internet/UUCP
  146.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
  147.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
  148.         Pull the file "help/basics" for starter info, "micros/index" for index.
  149.         Anti-Viral stuff is held as part of larger micro software collection
  150.         and is not collected into a distinct area.
  151.  
  152.  
  153. ------------------------------
  154.  
  155. Date:    08 Nov 89 05:18:37 +0000
  156. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  157. Subject: Atari ST anti-viral archive sites
  158.  
  159. # Anti-viral archive sites for the Atari ST
  160. # Listing last changed 30 September 1989
  161.  
  162. cs.hw.ac.uk
  163.         Dave Ferbrache <davidf@cs.hw.ac.uk>
  164.         NIFTP from JANET sites, login as "guest".
  165.         Electronic mail to <info-server@cs.hw.ac.uk>.
  166.         Main access is through mail server.
  167.         The master index for the virus archives can be retrieved as
  168.                 request: virus
  169.                 topic: index
  170.         The Atari ST index for the virus archives can be retrieved as
  171.                 request: atari
  172.                 topic: index
  173.         For further details send a message with the text
  174.                 help
  175.         The administrative address is <infoadm@cs.hw.ac.uk>.
  176.  
  177. panarthea.ebay
  178.         Steve Grimm <koreth%panarthea.ebay@sun.com>
  179.         Access to the archives is through mail server.
  180.         For instructions on the archiver server, send
  181.                 help
  182.         to <archive-server%panarthea.ebay@sun.com>.
  183.  
  184. uk.ac.lancs.pdsoft
  185.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
  186.         Service for UK only; no access from BITNET/Internet/UUCP
  187.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
  188.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
  189.         Pull the file "help/basics" for starter info, "micros/index" for index.
  190.         Anti-Viral stuff is held as part of larger micro software collection
  191.         and is not collected into a distinct area.
  192.  
  193.  
  194. ------------------------------
  195.  
  196. Date:    08 Nov 89 05:17:51 +0000
  197. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  198. Subject: Amiga anti-viral archive sites
  199.  
  200.  
  201. # Anti-viral archive sites for the Amiga
  202. # Listing last changed 30 September 1989
  203.  
  204. cs.hw.ac.uk
  205.         Dave Ferbrache <davidf@cs.hw.ac.uk>
  206.         NIFTP from JANET sites, login as "guest".
  207.         Electronic mail to <info-server@cs.hw.ac.uk>.
  208.         Main access is through mail server.
  209.         The master index for the virus archives can be retrieved as
  210.                 request: virus
  211.                 topic: index
  212.         The Amiga index for the virus archives can be retrieved as
  213.                 request: amiga
  214.                 topic: index
  215.         For further details send a message with the text
  216.                 help
  217.         The administrative address is <infoadm@cs.hw.ac.uk>
  218.  
  219. ms.uky.edu
  220.         Sean Casey <sean@ms.uky.edu>
  221.         Access is through anonymous ftp.
  222.         The Amiga anti-viral archives can be found in /pub/amiga/Antivirus.
  223.         The IP address is 128.163.128.6.
  224.  
  225. uk.ac.lancs.pdsoft
  226.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
  227.         Service for UK only; no access from BITNET/Internet/UUCP
  228.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
  229.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
  230.         Pull the file "help/basics" for starter info, "micros/index" for index.
  231.         Anti-Viral stuff is held as part of larger micro software collection
  232.         and is not collected into a distinct area.
  233.  
  234. uxe.cso.uiuc.edu
  235.         Mark Zinzow <markz@vmd.cso.uiuc.edu>
  236.         Lionel Hummel <hummel@cs.uiuc.edu>
  237.         The archives are in /amiga/virus.
  238.         There is also a lot of stuff to be found in the Fish collection.
  239.         The IP address is 128.174.5.54.
  240.         Another possible source is uihub.cs.uiuc.edu at 128.174.252.27.
  241.         Check there in /pub/amiga/virus.
  242.  
  243.  
  244. ------------------------------
  245.  
  246. Date:    08 Nov 89 05:19:26 +0000
  247. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  248. Subject: IBMPC anti-viral archive sites
  249.  
  250. # Anti-viral archive for the IBMPC
  251. # Listing last changed 30 September 1989
  252.  
  253. cs.hw.ac.uk
  254.         Dave Ferbrache <davidf@cs.hw.ac.uk>
  255.         NIFTP from JANET sites, login as "guest".
  256.         Electronic mail to <info-server@cs.hw.ac.uk>.
  257.         Main access is through mail server.
  258.         The master index for the virus archives can be retrieved as
  259.                 request: virus
  260.                 topic: index
  261.         The IBMPC index for the virus archives can be retrieved as
  262.                 request: ibmpc
  263.                 topic: index
  264.         For further details send a message with the text
  265.                 help
  266.         The administrative address is <infoadm@cs.hw.ac.uk>
  267.  
  268. ms.uky.edu
  269.         Daniel Chaney <chaney@ms.uky.edu>
  270.         This site can be reached through anonymous ftp.
  271.         The IBMPC anti-viral archives can be found in /pub/msdos/AntiVirus.
  272.         The IP address is 128.163.128.6.
  273.  
  274. uk.ac.lancs.pdsoft
  275.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
  276.         Service for UK only; no access from BITNET/Internet/UUCP
  277.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
  278.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
  279.         Pull the file "help/basics" for starter info, "micros/index" for index.
  280.         Anti-Viral stuff is held as part of larger micro software collection
  281.         and is not collected into a distinct area.
  282.  
  283. uxe.cso.uiuc.edu
  284.         Mark Zinzow <markz@vmd.cso.uiuc.edu>
  285.         This site can be reached through anonymous ftp.
  286.         The IBMPC anti-viral archives are in /pc/virus.
  287.         The IP address is 128.174.5.54.
  288.  
  289. vega.hut.fi
  290.         Timo Kiravuo <kiravuo@hut.fi>
  291.         This site (in Finland) can be reached through anonymous ftp.
  292.         The IBMPC anti-viral archives are in /pub/pc/virus.
  293.         The IP address is 128.214.3.82.
  294.  
  295. wsmr-simtel20.army.mil
  296.         Keith Peterson <w8sdz@wsmr-simtel20.army.mil>
  297.         Direct access is through anonymous ftp, IP 26.2.0.74.
  298.         The anti-viral archives are in PD1:<MSDOS.TROJAN-PRO>.
  299.         Simtel is a TOPS-20 machine, and as such you should use
  300.         "tenex" mode and not "binary" mode to retreive archives.
  301.         Please get the file 00-INDEX.TXT using "ascii" mode and
  302.         review it offline.
  303.         NOTE:
  304.         There are also a number of servers which provide access
  305.         to the archives at simtel.
  306.         WSMR-SIMTEL20.Army.Mil can be accessed using LISTSERV commands
  307.         from BITNET via LISTSERV@NDSUVM1, LISTSERV@RPIECS and in Europe
  308.         from EARN TRICKLE servers.  Send commands to TRICKLE@<host-name>
  309.         (for example: TRICKLE@AWIWUW11).  The following TRICKLE servers
  310.         are presently available: AWIWUW11 (Austria), BANUFS11 (Belgium),
  311.         DKTC11 (Denmark), DB0FUB11 (Germany), IMIPOLI (Italy),
  312.         EB0UB011 (Spain) and TREARN (Turkey).
  313.  
  314.  
  315. ------------------------------
  316.  
  317. Date:    08 Nov 89 05:18:59 +0000
  318. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  319. Subject: Documentation anti-viral archive sites
  320.  
  321. # Anti-viral archive sites for documentation
  322. # Listing last changed 30 September 1989
  323.  
  324. cs.hw.ac.uk
  325.         Dave Ferbrache <davidf@cs.hw.ac.uk>
  326.         NIFTP from JANET sites, login as "guest".
  327.         Electronic mail to <info-server@cs.hw.ac.uk>.
  328.         Main access is through mail server.
  329.         The master index for the virus archives can be retrieved as
  330.                 request: virus
  331.                 topic: index
  332.         The index for the **GENERAL** virus archives can be retrieved as
  333.                 request: general
  334.                 topic: index
  335.         The index for the **MISC.** virus archives can be retrieved as
  336.                 request: misc
  337.                 topic: index
  338.         **VIRUS-L** entries are stored in monthly and weekly digest form from
  339.         May 1988 to December 1988.  These are accessed as log.8804 where
  340.         the topic substring is comprised of the year, month and a week
  341.         letter.  The topics are:
  342.                 8804, 8805, 8806 - monthly digests up to June 1988
  343.                 8806a, 8806b, 8806c, 8806d, 8807a .. 8812d - weekly digests
  344.         The following daily digest format started on Wed 9 Nov 1988.  Digests
  345.         are stored by volume number, e.g.
  346.                 request: virus
  347.                 topic: v1.2
  348.         would retrieve issue 2 of volume 1, in addition v1.index, v2.index and
  349.         v1.contents, v2.contents will retrieve an index of available digests
  350.         and a extracted list of the the contents of each volume respectively.
  351.         **COMP.RISKS** archives from v7.96 are available on line as:
  352.                 request: comp.risks
  353.                 topic: v7.96
  354.         where topic is the issue number, as above v7.index, v8.index and
  355.         v7.contents and v8.contents will retrieve indexes and contents lists.
  356.         For further details send a message with the text
  357.                 help
  358.         The administrative address is <infoadm@cs.hw.ac.uk>
  359.  
  360. lehiibm1.bitnet
  361.         Ken van Wyk <LUKEN@LEHIIBM1.BITNET> new: <krvw@sei.cmu.edu>
  362.         This site has archives of VIRUS-L, and many papers of
  363.         general interest.
  364.         Access is through ftp, IP address 128.180.2.1.
  365.         The directories of interest are VIRUS-L and VIRUS-P.
  366.  
  367. uk.ac.lancs.pdsoft
  368.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
  369.         Service for UK only; no access from BITNET/Internet/UUCP
  370.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
  371.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
  372.         Pull the file "help/basics" for starter info, "micros/index" for index.
  373.         Anti-Viral stuff is held as part of larger micro software collection
  374.         and is not collected into a distinct area.
  375.  
  376. unma.unm.edu
  377.         Dave Grisham <dave@unma.unm.edu>
  378.         This site has a collection of ethics documents.
  379.         Included are legislation from several states and policies
  380.         from many institutions.
  381.         Access is through ftp, IP address 129.24.8.1.
  382.         Look in the directory /ethics.
  383.  
  384.  
  385. ------------------------------
  386.  
  387. Date:    08 Nov 89 05:20:23 +0000
  388. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  389. Subject: Macintosh anti-viral archive sites
  390.  
  391. # Anti-viral archive sites for the Macintosh
  392. # Listing last changed 07 November 1989
  393.  
  394. cs.hw.ac.uk
  395.         Dave Ferbrache <davidf@cs.hw.ac.uk>
  396.         NIFTP from JANET sites, login as "guest".
  397.         Electronic mail to <info-server@cs.hw.ac.uk>.
  398.         Main access is through mail server.
  399.         The master index for the virus archives can be retrieved as
  400.                 request: virus
  401.                 topic: index
  402.         The Mac index for the virus archives can be retrieved as
  403.                 request: mac
  404.                 topic: index
  405.         For further details send a message with the text
  406.                 help
  407.         The administrative address is <infoadm@cs.hw.ac.uk>
  408.  
  409. ifi.ethz.ch
  410.         Danny Schwendener <macman@ethz.uucp>
  411.         Interactive access through DECnet (SPAN/HEPnet):
  412.                 $SET HOST 57434  or $SET HOST AEOLUS
  413.                 Username: MAC
  414.         Interactive access through X.25 (022847911065) or Modem 2400 bps
  415.         (+41-1-251-6271):
  416.                 # CALL B050 <cr><cr>
  417.                 Username: MAC
  418.         Files may also be copied via DECnet (SPAN/HEPnet) from
  419.                 57434::DISK8:[MAC.TOP.LIBRARY.VIRUS]
  420.  
  421. rascal.ics.utexas.edu
  422.         Werner Uhrig <werner@rascal.ics.utexas.edu>
  423.         Access is through anonymous ftp, IP number is 128.83.144.1.
  424.         Archives can be found in the directory mac/virus-tools.
  425.         Please retrieve the file 00.INDEX and review it offline.
  426.         Due to the size of the archive, online browsing is discouraged.
  427.  
  428. scfvm.bitnet
  429.         Joe McMahon <xrjdm@scfvm.bitnet>
  430.         Access is via LISTSERV.
  431.         SCFVM offers an "automatic update" service.  Send the message
  432.                 AFD ADD VIRUSREM PACKAGE
  433.         and you will receive updates as the archive is updated.
  434.         You can also subscribe to automatic file update information with
  435.                 FUI ADD VIRUSREM PACKAGE
  436.  
  437. sumex-aim.stanford.edu
  438.         Bill Lipa <info-mac-request@sumex-aim.stanford.edu>
  439.         Access is through anonymous ftp, IP number is 36.44.0.6.
  440.         Archives can be found in /info-mac/virus.
  441.         Administrative queries to <info-mac-request@sumex-aim.stanford.edu>.
  442.         Submissions to <info-mac@sumex-aim.stanford.edu>.
  443.         There are a number of sites which maintain shadow archives of
  444.         the info-mac archives at sumex:
  445.         * MACSERV@PUCC          services the Bitnet community
  446.         * LISTSERV@RICE         for e-mail users
  447.         * FILESERV@IRLEARN      for folks in Europe
  448.  
  449. uk.ac.lancs.pdsoft
  450.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
  451.         Service for UK only; no access from BITNET/Internet/UUCP
  452.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
  453.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
  454.         Pull the file "help/basics" for starter info, "micros/index" for index.
  455.         Anti-Viral stuff is held as part of larger micro software collection
  456.         and is not collected into a distinct area.
  457.  
  458. wsmr-simtel20.army.mil
  459.         Robert Thum <rthum@wsmr-simtel20.army.mil>
  460.         Access is through anonymous ftp, IP number 26.2.0.74.
  461.         Archives can be found in PD3:<MACINTOSH.VIRUS>.
  462.         Please get the file 00README.TXT and review it offline.
  463.  
  464.  
  465. ------------------------------
  466.  
  467. Date:    Wed, 08 Nov 89 01:15:00 -0700
  468. From:    Keith Petersen <w8sdz@WSMR-SIMTEL20.ARMY.MIL>
  469. Subject: New anti-virus files uploaded to SIMTEL20 (PC)
  470.  
  471. I have uploaded the following files to SIMTEL20:
  472.  
  473. pd1:<msdos.trojan-pro>
  474. SCANRS48.ARC    Resident program to scan for many viruses
  475. SCANV48.ARC     VirusScan, scans disk files for 48 viruses
  476.  
  477. SCANRS48 and SCANV48 were downloaded from the Homebase BBS.
  478.  
  479. - --Keith Petersen
  480. Maintainer of SIMTEL20's CP/M, MSDOS, & MISC archives [IP address 26.2.0.74]
  481. Internet: w8sdz@WSMR-SIMTEL20.Army.Mil, w8sdz@brl.arpa  BITNET: w8sdz@NDSUVM1
  482. Uucp: {ames,decwrl,harvard,rutgers,ucbvax,uunet}!wsmr-simtel20.army.mil!w8sdz
  483.  
  484. ------------------------------
  485.  
  486. Date:    08 Nov 89 11:23:12 +0000
  487. From:    frisk@rhi.hi.is (Fridrik Skulason)
  488. Subject: Re: Where are the Sophisticated Viruses? (PC)
  489.  
  490.  
  491. jim frost writes:
  492. >Limiting Propagation Rates.
  493.  
  494. Some viruses do this. SysLock, Icelandic and Typo-COM will only infect some
  495. of the programs they have a chance to infect. They use different methods,
  496. like "only every other day" or "only every tenth program run".
  497.  
  498. >Limiting Re-Infections.  Most simple viruses don't detect systems
  499. >which have already been infected and will re-infect them.
  500.  
  501. Actually very few viruses infect the same "victim" over and over. Some boot
  502. sector viruses do, but the only program virus which does so is the original
  503. version of the Israeli (Jerusalem) virus.
  504.  
  505. >
  506. >Detecting and Avoiding "Virus-Protected" Hosts.  I have yet to see a
  507. >virus which looked at the state of a system to detect virus detection
  508. >mechanisms to nullify them and/or avoid infecting them.
  509.  
  510. One virus - the "Icelandic" virus - makes an attempt at this. It will not
  511. infect a system if it determines that any program has hooked INT 13. Since
  512. all virus monitoring programs do that, it will not be detected by them.
  513. (In practice this does not work too well, because of a bug in the code..)
  514.  
  515. >Staying Within Normal System Activity Boundaries.
  516.  
  517. Most resident viruses do this.
  518.  
  519. >Hiding From Standard System Utilities.
  520.  
  521. This is the difficult part. Very few existing viruses are able to do this
  522. properly. Most boot sector viruses will decrease the amount of memory
  523. available - for example turning a 640K machine into a 639K one. Program
  524. viruses can in many cases be detected by using a ordinary memory mapping
  525. utility. Still, quite a few manage to hide even from that, but there is room
  526. for much improvement in this area :-(
  527.  
  528. >Modifying Hosts To Make Them More Susceptible To Re-Infection.
  529.  
  530. This brings up the topic of "virus types we have not seen yet". I have
  531. written a document describing a few types of viruses that could theoretically
  532. be written, but are currently unknown. Description of one of the types
  533. follows.
  534.  
  535.    7) The "AIDS" type. This type of virus is very dangerous. Not because
  536.       it destroys programs or data, but because it attacks the protection
  537.       mechanism in the computer. These viruses can be divided in two
  538.       subgroups.
  539.  
  540.          Specific:  These viruses will search for known anti-virus programs
  541.                     and disable or destroy them. They might to that by
  542.                     patching the code in memory and then overwriting parts
  543.                     of the protection programs on the disk.
  544.  
  545.          General:   These viruses must be much more complicated, but they
  546.                     could for example try to determine what programs had
  547.                     hooked a specific interrupt. Then they might modify
  548.                     a few memory locations in order to bypass those programs.
  549.  
  550.       A virus of this type might not do any further damage, but it would
  551.       leave the system vulnerable to attacks by other viruses, which might
  552.       then have a devastating effect.
  553.  
  554. >By now you should get the idea that almost every virus we've seen is
  555. >primitive, although several showed some of the survival traits which I
  556. >outline above.  Given the limited resources of PC environments, it's
  557. >unlikely that you'll get a very sophisticated virus.
  558.  
  559. I must disagree. In the PC environment it is not a question of limited
  560. resources, but rather the fact that any user process has full access to
  561. ALL resources and can even directly manipulate the hardware if required.
  562. So, my opinion is that it is even easier to write a sophisticated virus on
  563. the PC than in most other environments.
  564.  
  565. Finally, I want to add one "feature" to the description of a sophisticated
  566. virus:
  567.  
  568. "Bypass protection programs and jump directly to the hardware, DOS or
  569. BIOS routines."
  570.  
  571. There are quite a few "filter" programs available that will monitor every
  572. INT 13, INT 21, INT 40.... call and alert the user if an attempt is made
  573. to do an illegal operation. They are, however, almost useless against
  574. viruses that can access the system directly in the way described above.
  575.  
  576. Only two or three viruses do this now, but I am certain that more virus
  577. writers will figure out how to do this in the future. :-(
  578.  
  579. - -frisk
  580.  
  581.          Fridrik Skulason          University of Iceland
  582.          frisk@rhi.hi.is           Computing Sevices
  583.  
  584.           Guvf yvar vagragvbanyyl yrsg oynax .................
  585.  
  586. ------------------------------
  587.  
  588. End of VIRUS-L Digest
  589. *********************
  590. Downloaded From P-80 International Information Systems 304-744-2253
  591.