home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.62 < prev    next >
Text File  |  1995-01-03  |  6KB  |  165 lines
  1. VIRUS-L Digest              Friday, 10 Mar 1989         Volume 2 : Issue 62
  2.  
  3. Today's Topics:
  4. Bouncing ball (PC)
  5. Alameda virus? (PC)
  6. Possible Virus protection
  7. Flu_Shot+ queries answered (PC)
  8. Brain virus infection (PC)
  9. bouncing ball virus (PC)
  10.  
  11. ---------------------------------------------------------------------------
  12.  
  13. Date: 9 March 89, 13:12:01 MEX
  14. From: Mario Camou Riveroll <EM302723@VMTECMEX.BITNET>
  15. Subject: Bouncing ball (PC)
  16.  
  17. Here at the Monterrey Tech (Mexico City campus) we had an epidemic of
  18. the bouncing ball virus. This strain lodged itself in a couple of
  19. "bad" sectors (it marked them as bad in the FAT). There seem to be at
  20. least 2 strains, one that doesn't seem to have any adverse effects and
  21. another one that scrambles up the FAT and root directory. That's as
  22. much as I know about it. We call it the Italian Virus (don't know if
  23. this helps).
  24.  
  25. Mario Camou
  26. EM302723@VMTECMEX
  27. "Those who can, do.
  28. Those who can't, teach.
  29. Those who can't teach, manage."
  30.  
  31. ------------------------------
  32.  
  33. Date: 9 March 1989, 16:01:10 EST
  34. From: David M. Chess <CHESS@YKTVMV.BITNET>
  35. Subject: Alameda virus? (PC)
  36.  
  37. John McAfee's article in the Feb 15 issue of Datamation, "The Virus
  38. Cure" (good article, poor title) lists a boot-sector virus that he
  39. calls the "Alameda Virus".  I've never heard that name before, and it
  40. isn't on Dave Ferbrache's February list.  It does sound sort of like
  41. the "Yale" boot virus (which McAfee doesn't list under that name);
  42. does anyone know if the two are in fact the same?  If not, does anyone
  43. know any more about the "Alameda"?
  44.  
  45. DC
  46. Watson Research
  47.  
  48. ------------------------------
  49.  
  50. Date:     Thu, 09 Mar 89 22:18:14 -0900
  51. From:     Reed Rector <SXWRR@ALASKA.BITNET>
  52. Subject:  Possible Virus protection
  53.  
  54.      It seems to me that global methods of virus checking are limited
  55. by their scope. If there is an accepted way for the system to check
  56. for viruses, then people WILL find ways to get around it. On the other
  57. hand, if all programmers are encouraged to include routines that look
  58. for infection in every program they write, then the spread of viruses
  59. can be greatly slowed.
  60.      If each program were to keep itself free of infection though
  61. methods developed seperatly by each programmer, then there would be no
  62. "standard" way for viruses to invade the software. These checks could
  63. be relativly simple checksum methods, but if each program has
  64. different code (even if they do the same basic thing) to do these
  65. checksums, then viruses could only carry patches for a few products.
  66. This method of individual program protection could be forced on the
  67. whole industry by only a few programmers. Once programs become
  68. available that have a "virus resistant" seal of approvial, they have a
  69. great advantage over competing products that don't. I'd be willing to
  70. bet that the cost of these routines would more than pay for
  71. themselves, while making the virus illiterate public safer.
  72.  
  73.         Thanks for your time,
  74.                 Reed Rector - Systems Programming, Univ of Alaska
  75.  
  76.                 SXWRR@ALASKA (BITNET)
  77.                 SXWRR@acad3.fai.alaska.edu      (Internet)
  78.  
  79. * Disclaimer: All of the above views are mine (assuming you believe in
  80. free will), and in no way reflect the views of anyone else.
  81.  
  82. ------------------------------
  83.  
  84. Date: Thu Mar  9 13:30:39 1989
  85. From: utoday!greenber@uunet.UU.NET
  86. Subject: Flu_Shot+ queries answered (PC)
  87.  
  88. (Sorry for the delay in responding...some hardware problems kept me
  89. offline for close to three weeks!)
  90.  
  91. Paul: The checksum values shipped with the distribution copy of
  92. FLU_SHOT+ are dummy values.  Although the next release will have an
  93. easier installation package, you simply must run the code, copy down
  94. the expected checksums, then edit them into the FLU_SHOT.DAT file.  I
  95. didn't want to have the checksum routines in two places initially as
  96. an additional security precaution.
  97.  
  98. Jelle: I'm in the process of invetigating what PCTools does which
  99. permits it to get around FSP1.51 - stay tuned for the next release,
  100. which will [hopefully] solve the problem.
  101.  
  102. Ross
  103. Ross M. Greenberg
  104. UNIX TODAY!             594 Third Avenue   New York   New York  10016
  105. Review Editor           Voice:(212)-889-6431  BBS:(212)-889-6438
  106. uunet!utoday!greenber   BIX: greenber  MCI: greenber   PCMagNet: 72241,36
  107.  
  108. ------------------------------
  109.  
  110. Date: Thu Mar  9 13:41:19 1989
  111. From: utoday!greenber@uunet.UU.NET
  112. Subject: Brain virus infection (PC)
  113.  
  114. Rob: you were hit with what seems to be the so-called "Brain" Virus.
  115.  
  116. There does not appear to be a seeder program of any sort.  In general,
  117. this virus takes over the BIOS interrupt for INT13, and takes a look
  118. at the boot track on any disk it will [maybe] infect.  If it finds the
  119. key of 1234 (as a number) stored starting at offset location 4 in the
  120. boot track, it assumes that the disk is already infected and leaves it
  121. alone.
  122.  
  123. Ross M. Greenberg
  124. UNIX TODAY!             594 Third Avenue   New York   New York  10016
  125. Review Editor           Voice:(212)-889-6431  BBS:(212)-889-6438
  126. uunet!utoday!greenber   BIX: greenber  MCI: greenber   PCMagNet: 72241,36
  127.  
  128. ------------------------------
  129.  
  130. Date:     Fri, 10 Mar 89 14:03 N
  131. From:     ROB_NAUTA <RCSTRN@HEITUE5.BITNET>
  132. Subject:  bouncing ball virus (PC)
  133.  
  134. Thanks everybody for the replies. I can answer some questions. First
  135. of all it's not the face.com joke program, it's a real bootsector
  136. virus. It is indeed like someone described a virus that marks one
  137. sector bad, not three like the brain virus i read about in the
  138. magazine Computers & Security. Defeating it is easy but I'm glad there
  139. is no additional counter or timer. I found the following in the code
  140. of the bootsector..
  141.  
  142. XOR     AH,AH
  143. INT     1A
  144. TEST    DH,7F
  145. JNZ     0203
  146. TEST    DL,F0
  147. JNZ     0203
  148. PUSH DX
  149. CALL    03B3
  150.  
  151. INT 1A with AH=00 gets the time of day. This explains the assumed
  152. irrational behaviour: the virus appeared on IBM PC's but not on some
  153. others (i mean the ball part). I could never get it to bounce at home,
  154. probably because of the differences in cold boot time (the ibm takes
  155. forever)... and why it would appear after a cold boot but not after
  156. some warm boots..
  157.  
  158. Rob J. Nauta
  159.  
  160. ------------------------------
  161.  
  162. End of VIRUS-L Digest
  163. *********************
  164. Downloaded From P-80 International Information Systems 304-744-2253
  165.