home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.255

< prev

next >

Wrap

Text File  |  1995-01-03  |  9KB  |  206 lines

---

1. VIRUS-L Digest   Thursday,  7 Dec 1989    Volume 2 : Issue 255
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Differences... (PC)
17. Re: scan problems (PC)
18. I need a copy of m-jruslm.arc (PC)
19. SCAN Versions (PC)
20. Strange video - VIRUS SOLVED (PC)
21.  
22. ---------------------------------------------------------------------------
23.  
24. Date:    Wed, 06 Dec 89 14:26:50 +0000
25. From:    frisk@rhi.hi.is (Fridrik Skulason)
26. Subject: Differences... (PC)
27.  
28. The question "How many different PC viruses are known ?" is a hard one.
29. The two main reasons why it is so:
30.  
31. 1) Some viruses have been reported, but not made available for research,
32.    so nobody has been able to compare them to existing viruses. In some
33.    cases there are even doubts that the viruses in question exist at all.
34.    The viruses in this group are "4096", "Nichols", "Missouri", "Agiplan",
35.    "Retro" and "Screen".
36.  
37. 2) Even when the viruses are available for study, it is often hard to
38.    determine if two viruses are different or not.
39.  
40.    Consider the following possibilities:
41.  
42.       I Binary identical. No problem here - the viruses are identical.
43.  
44.      II Code is identical on the binary level - text strings changed.
45.         Some of the variants of "Brain" are a good example.
46.  
47.     III Identical on assembly language level. One example includes viruses
48.         created by typing in a disassembly and then assembling it, using an
49.         assembler different from the one originally used. Different
50.         assemblers will in many cases create different opcodes for the same
51.         instruction. (the POP/PUSH instructions for example). An example
52.         is the two variants of the "South African" virus that I have. One
53.         is an original, the other is created using the disassembly by Jim
54.         Goodwin.
55.  
56.      IV Minor changes to code, extra NOP instructions added or other changes
57.         made that have no effects on the function of the virus, but may
58.         invalidate search strings. The "Lisbon" virus is a good example
59.         of this.
60.  
61.       V Minor changes to code, different lengths, bug corrections, different
62.         activation dates and similar changes. Most of the 1701/1704 variants
63.         fall in this category, but also "Saratoga", "2930","Mix1-B" etc.
64.  
65.      VI Identical replication code, different functions. The "Sunday" virus
66.         is a good example of this. Also "Ghost", "1704-Format", "Typo" and
67.         "Advent".
68.  
69.     VII Partially identical code - very different functions. "Fu Manchu"
70.         is the best example.
71.  
72.    VIII Different code - identical functions. Example: The "ping-pong"
73.         effect in the MIX-1 virus.
74.  
75.      IX Different code, Functionally identical replication and/or infection
76.         mechanism. Different functions. No problem - different viruses.
77.  
78. So, what do we do ?  We need to define when we consider two viruses to be...
79.  
80.         ...different viruses
81.         ...different strains of the same virus
82.         ...not to be considered different
83.  
84. Of course we can proceed from a different angle - select a few identification
85. strings for each virus and then classify new viruses as follows:
86.  
87.       ... contains all the identfication strings of the old one -> same
88.  
89.       ... contains some of the identification strings -> new variant
90.  
91.       ... contains none of the identification strings -> new virus
92.  
93.  
94. Or maybe use this method:
95.  
96.       ... the new virus can be removed by using the same program that was
97.           used to remove the old one -> identical
98.  
99.       ... only a single constant or two need to be changed to make it
100.           possible to use the same program to disinfect -> new variant
101.  
102.       ... new disinfection program/routine must be written -> new virus.
103.  
104. My opinion is that those two suggestions are practically useless, since two
105. different people working on the same virus may not reach the same conclusion.
106.  
107. comments/suggestions ?
108.  
109. - -frisk
110.  
111. ------------------------------
112.  
113. Date:    Wed, 06 Dec 89 10:44:52 -0400
114. From:    Ken Bell <SYKLB@NASAGISS.BITNET>
115. Subject: Re: scan problems (PC)
116.  
117. > I just downloaded and uudecoded Scanv49.arc and Scanrs49.arc from
118. > Simtel. The trouble is that when I try to execute either of them the
119. > pc I'm using hangs!
120.  
121. From the combination of this and the next quote, I'd guess that he's
122. trying to execute the .ARC files directly instead of unarcing them
123. first.
124.  
125. > know I have a virus stalking around here and somehow attached to all
126. > labelled disks which makes me believe it infected Label.com. Not only
127. > that, I recently bought both Pctools 5.1 and Turbo C 2 & Assembler and
128. > on doing executing simply Dir to check the contents of the diskettes
129. > they all reported one hidden file with size 0 bytes! They couldn't
130. > have left Central Points and Borland already infected! I've just found
131. > out to my discomfort that practically all pc's here are infected.
132.  
133. Yeah.  It's the disk label (hidden file, 0 bytes).
134. Acknowledge-To: <SYKLB@NASAGISS>
135.  
136. ------------------------------
137.  
138. Date:    06 Dec 89 23:01:47 +0000
139. From:    boulder!tramp!baileyc@ncar.UCAR.EDU (BAILEY CHRISTOPHER R)
140. Subject: I need a copy of m-jruslm.arc (PC)
141.  
142. I need someone to MAIL me a copy of m-jruslm.arc (avail most ftp
143. places) because for some reason whenever I download from an ftp site,
144. and then download it to my machine, these archives don't work.  I'm
145. not sure whats wrong at this moment.  So if someone could mail me the
146. Jeruselum/ 1813 virus disinfector I'd really appreciate it!  I need it
147. soon, have a computer program due tomorrow.
148.  
149. Chris Bailey :: baileyc@tramp.Colorado.EDU
150. One Agro Mountain Biker - Dialed in for ultra gonzo badness!
151. "No his mind is not for rent, to any god or government" - RUSH
152. Member of Team Buck Naked of Buckingham Palace
153.  
154. ------------------------------
155.  
156. Date:    Wed, 06 Dec 89 13:28:31 -0800
157. From:    Alan_J_Roberts@cup.portal.com
158. Subject: SCAN Versions (PC)
159.  
160. This is a forward from John McAfee:
161.  
162.         The latest version of SCAN is SCANV50.  While version 51 will be
163. released on December 10, the currently reported V51, unless a re-numbered
164. version of an earlier release, is not legitimate.  If anyone has a copy
165. of this file, please upload it to HomeBase at 408 988 4004.
166.         On another issue:  Bob Gowan, Erik Sherk and others have inquired
167. about disinfectors (programs that can remove viruses and repair infected
168. files) for the various viruses.  The individual disinfectors on HomeBase
169. (M-JRUSLM for the Jerusalem, M-DAV for Dark Avenger, etc.) have been and
170. still are available for public download.  These individual disinfectors
171. exist for the more common viruses, and SCAN version 50 and above contains
172. a list of each virus and the required shareware disinfector.
173.        In addition, a program called VIRUS CLEAN is available for emergency
174. access on HomeBase.  This program disinfects all of the known PC viruses.
175. It is not a shareware product, but free access is provided for emergency
176. situations.  For emergency access, call voice at 408 988 3832 for
177. instructions.
178.  
179. John McAfee
180.  
181. ------------------------------
182.  
183. Date:    07 Dec 89 07:15:58 +0000
184. From:    boulder!tramp!baileyc@ncar.UCAR.EDU (BAILEY CHRISTOPHER R)
185. Subject: Strange video - VIRUS SOLVED (PC)
186.  
187. Well, the strange video problems I was having were on account of the
188. 1813 or Jeruselem (A I think) virus.  I was able to remedy it by
189. deleteing all the infected files and replacing them with safe backups.
190. I used IBM's VIRSCAN program to detect it.  I had been infected in 717
191. places (about 60 files worth), and some floppies.  I then tried
192. VIRSCAN on my roommates disks, and found he had the Bouncing Ball
193. virus!  Sheesh!  OUr network is submerged!  Thanks, I no longer need a
194. remedy/disinfectant!
195.  
196. Chris Bailey :: baileyc@tramp.Colorado.EDU
197. One Agro Mountain Biker - Dialed in for ultra gonzo badness!
198. "No his mind is not for rent, to any god or government" - RUSH
199. Member of Team Buck Naked of Buckingham Palace
200.  
201. ------------------------------
202.  
203. End of VIRUS-L Digest
204. *********************
205. Downloaded From P-80 International Information Systems 304-744-2253
206.