home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.74

< prev

next >

Wrap

Text File  |  1995-01-03  |  10KB  |  214 lines

---

1. VIRUS-L Digest             Tuesday, 28 Mar 1989         Volume 2 : Issue 74
2.  
3. Today's Topics:
4. RE: virus in PD software
5. Disinfect 1.0 (Mac)
6. The KillVirus Alarm (Mac)
7. (from UseNet rec.ham-radio) virus in PKZIP? (PC)
8. Re: Israeli viruses; Alameda virus (PC)
9. RE:  Zip virus (PC)
10.  
11. ---------------------------------------------------------------------------
12.  
13. Date: Tue, 28 Mar 89 09:41 EST
14. From: Roman Olynyk - Information Services <CC011054@WVNVAXA.WVNET.EDU>
15. Subject: RE: virus in PD software
16.  
17. Neil Goldman's comments about virus lurking in PD/Shareware are good.
18. However, I'd like to add yet another way of obtaining "sanitized"
19. copies of public domain good: CD-ROM.  We (WVNET) distribute software
20. from PC-SIG directly off of a laser disk.  Although not 100%
21. guaranteed, you can be sure that nothing can corrupt the software once
22. it has been burned onto a CD-ROM disk -- at least not yet! ;-)
23.  
24. ------------------------------
25.  
26. Date: Tue, 28 Mar 89 09:48:42 EST
27. From: luken@ubu.cc.lehigh.edu (Kenneth R. van Wyk)
28. Subject: Disinfect 1.0 (Mac)
29.  
30. A colleague just showed me a program, called Disinfect (version 1.0)
31. that was announced in INFO-MAC.  It claims to do quite a bit,
32. including detect most major Mac viruses (Scores, ANTI, AIDS, Init 29,
33. MacMag, etc.), and it is even supposed to be able to remove most
34. (all?) of the above.  The claims are quite impressive.  I'm not a Mac
35. user, however, so don't take my word for it.
36.  
37. Anyone Mac people out there have any more info on this?
38.  
39. Ken
40.  
41. ------------------------------
42.  
43. Date:    Tue, 28 Mar 89 11:41 EST
44. From:     <JEB107@PSUVM.BITNET>
45. Subject: The KillVirus Alarm (Mac)
46.  
47. (This is in response to the recent report of an infection to the
48. program resource KillVirus, for the Macintosh....)
49.  
50. If memory serves me correctly (and I am sure that I will be corrected
51. if I am wrong) KillVirus is not a program per se.  The resource is
52. meant to be the culture where viruses can infect a 'resource' and then
53. the program can be edited to determine the exact workings of the
54. virus.  If you are waging war against a new virus this can be an
55. extremely good thing, as you do not have to root around in the source
56. code to find what you are looking for.
57.  
58. If this is true (as I said before) then remove this copy of KillVirus
59. and replace it with a clean copy.  But be forewarned : you most
60. certainly have a system infection on your hands, so before you go
61. using your system, I reccomend a dose of Interferon (to find
62. infections) and Vaccination (to remove them).  Also - replace the
63. system.  This is the safest way of making sure you have a clean one to
64. work with.
65.  
66. I am open for comments or questions....after all, trying to keep our
67. labs free of contamination keeps me open for help....
68.  
69. Thanks
70.  
71. Jonathan Baker                 JEB107 @ PSUVM
72.                                         Penn State University.
73.  
74. ------------------------------
75.  
76. Date:         Tue, 28 Mar 89 11:49:25 EST
77. Sender:       Virus Alert List <VALERT-L@IBM1.CC.Lehigh.Edu>
78. From:         msmith@TOPAZ.RUTGERS.EDU
79. Subject:      (from UseNet rec.ham-radio) virus in PKZIP? (PC)
80.  
81. Original-Date: 25 Mar 89 03:56:53 UTC (Sat)
82. Original-From: wa2sqq@kd6th.nj.usa.hamradio (BOB        )
83.  
84.          PKZIP/PKUNZIP .92
85.          AM40/AM41
86.  
87. Recent developments in the software world have required the famous
88. PKARC software to be replaced by a new version called PKZIP/PKUNZIP.
89.  
90. While several versions have been seen, the latest appears to be
91. version .92 .  Usually listed on landline BBS's is a program which
92. will provide a menu driven screen for PKZIP, usually listed as AM-40
93. or AM-41.
94.  
95. After running these one time, the embedded virus allocated 13 meg of
96. memory to "never never land". It appears that this "strain" looks to
97. see how much memory is occupied on the HD and then proceeds to gobble
98. up an equal amount of unused memory.  The results are devastating if
99. you have more than 50% of the drives capacity in use.  With the
100. assistance of Gary WA2BAU I was able to retrieve the lost memory by
101. using CHKDSK /f.  For those of you who are not familiar with this DOS
102. command, drop me a line @KD6TH and I'll elaborate.  My sincere thanks
103. goes out to Gary WA2BAU for saving me lots of disk handling !  Please
104. pass this on to your local BBS and be sure to include the remedy.
105.  
106.     Best 73 de WA2SQQ
107.     Bob Kozlarek
108.     @KD6TH in Wycoff,
109.     NJ
110.  
111. [Ed. Can anyone verify that this is actually a virus and not just a
112. bug in the program, or a Trojan Horse?]
113.  
114. ------------------------------
115.  
116. Date:        Tue,  28 Mar 89 18:30:58 +0200
117. From:        Y. Radai <RADAI1@HBUNOS.BITNET>
118. Subject:     Re: Israeli viruses; Alameda virus (PC)
119.  
120.   To begin with, I thought it appropriate to warn readers that Fri13
121. (the Israeli Friday-the-13th virus) has apparently been "improved"
122. (i.e. made less noticeable) by someone in the U.S. so that it
123. increases the size of EXE files only once, does not cause a slowdown
124. after 30 minutes, and does not scroll the screen.  Of course, it still
125. causes deletion of files executed on any Friday the 13th.
126.  
127.   In #71, David Ferbrache mentioned the two April 1 viruses which were
128. discovered in Israel [at the beginning of 1988].  I too would like to
129. hear of reports of the April 1 viruses elsewhere, not only recent
130. outbreaks but also at any time in the past so that we can know whether
131. these viruses really originated in Israel.
132.   Dave asked me for further details on these viruses.  In principle,
133. I'd be glad to oblige, but that requires research, which requires
134. time, and since neither of these viruses seems to cause any real
135. damage and both have apparently been eradicated locally, such research
136. necessarily gets low priority.  However, I will take this opportunity
137. to make a few small clarifications and corrections to Dave's descrip-
138. tion: (1) The variant of Fri13 ("sURIV 3.00") is not only "less
139. dangerous", but not dangerous at all due to a bug; (2) the names
140. "sURIV x.xx" which Dave has given them are based on strings which
141. appear in the viral code (but they could probably be altered without
142. disabling the viruses); (3) I wouldn't describe the April 1 viruses as
143. "variants of the Friday 13th virus".
144.   In any case, I've promised to supply Dave with anti-viral programs
145. and various text files for his server (sorry for not doing it yet,
146. Dave), and will do so as soon as I find the time.  At that time I'll
147. also post a notice to the List.
148.  
149.   In #62 David Chess mentioned the Alameda Virus which was described
150. by John McAfee in the Feb 15 issue of Datamation.  Now I had seen
151. another article of McAfee's in the Feb 13 issue of Computerworld which
152. contained the same table of "the 6 most common computer viruses", and
153. like David, I also conjectured that Alameda = Yale.  Actually, from
154. the few details which McAfee gives, about the only similarities are
155. that both are PC boot sector viruses which do *not* mark as bad the
156. sector on which they store the original boot code.  However, the fact
157. that none of the values of the generation counter found at Yale last
158. August were less than 12h  could be explained if Yale were a continu-
159. ation of some other virus, such as Alameda.
160.   However, there was one point which bothered me:  McAfee describes
161. the Alameda virus as follows: "Stores original boot sector on first
162. free sector."  Now this is *not* true of the Yale virus, which always
163. stores it in the ninth sector of Track 40.  I decided that the des-
164. cription by Chris Bracy and Loren Keim of the Yale virus was far more
165. dependable than McAfee's meager description of the Alameda, and that
166. there was a good chance that the two viruses are the same, after all.
167.   But what I don't understand now is what basis *McAfee* has for
168. stating categorically that the two viruses are the same.
169.   And there's another peculiarity:  In his original article, McAfee
170. wrote that the origin of the virus was "Merritt College ... spring
171. 1988".  However, in his response of Mar 14 which was reprinted in
172. VIRUS-L #71, he says "It was first discovered at Merritt ... in April
173. of 1977".  I originally thought: well, he obviously means April of
174. 1988.  But later he writes that the virus reached Alameda in Feb 1988.
175. So now I'm thoroughly confused!
176.   So Gary, since you obviously are able to contact McAfee, would you
177. mind asking him (1) to clarify the inconsistency in the dates, (2) to
178. give us all available details on the Alameda-Merritt virus, and (3) to
179. provide all the evidence he has for concluding that Alameda = Yale.
180.  
181.                                            Y. Radai
182.                                            Hebrew Univ. of Jerusalem
183.  
184. ------------------------------
185.  
186. Date:     Tue, 28 Mar 89 14:48 EDT
187. From:     Paul Coen <PCOEN@DRUNIVAC.BITNET>
188. Subject:  RE:  Zip virus (PC)
189.  
190. >While  several versions have been seen, the latest appears to be
191. >version .92 .  Usually listed on landline BBS's is a program which will
192. >provide a menu driven screen for PKZIP, usually listed  as AM-40 or
193. >AM-41.
194. >
195. >After running these one time, the embedded virus allocated 13 meg of
196. >memory to "never never land". It appears that  this "strain" looks to
197. >see  how much memory is occupied on the HD  and then proceeds  to
198.  
199. Is the virus in PKZIP or in AM-40?  From the sound of it this is in
200. AM-40.  Also, I've been running PKZIP 0.92 for a couple of weeks (on
201. my HD) without a problem.  I would adivse anyone looking to get Zip to
202. either get it from someone reliable, or, from the PKWARE BBS in
203. Wisconson.  Also, any front-end menu programs should be downloaded
204. from there.  I don't have the number handy, but if anyone wants it I
205. can get it.  I'm not very suprised at this, since ARC/ZIP type
206. programs have been a favorite of program writers for a couple of years
207. now.  Thanks for the warning.....
208.  
209. ------------------------------
210.  
211. End of VIRUS-L Digest
212. *********************
213. Downloaded From P-80 International Information Systems 304-744-2253
214.