home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.76 < prev    next >
Text File  |  1995-01-03  |  14KB  |  320 lines
  1. VIRUS-L Digest             Thursday, 30 Mar 1989        Volume 2 : Issue 76
  2.  
  3. Today's Topics:
  4. Disinfectant for Mac
  5. RE: Star Trek virus
  6. PKWare virus? (PC)
  7. Not really an nVIR (Mac)
  8. Disinfectant (Mac)
  9. New England J. of Med. letter
  10. KillVirus Init not malevolent (Mac)
  11. Re: KillVirus Init (Mac)
  12.  
  13. ---------------------------------------------------------------------------
  14.  
  15. From:       David.J.Ferbrache <davidf@CS.HW.AC.UK>
  16. Date:       Wed, 29 Mar 89 10:03:02 BST
  17. Subject:    Disinfectant for Mac
  18.  
  19. Ken,
  20.  
  21. you asked about disinfectant. In my opionion this is probably the most
  22. comprehensive virus control program available for the Mac system. The
  23. program is designed to detect all non-hypertext Mac viruses (including
  24. the recent AIDS resource edited nVIR strain). Most importantly this
  25. program can detect the new Anti virus (see recent posting by Danny
  26. Schwendener) which a number of older tools fail to detect [No
  27. characteristic resource additions].
  28.  
  29. If run together with an INIT to detect modification of code file
  30. resources (hmm, vaccine, gatekeeper, watcher etc one of this group),
  31. it should provide excellent protection.
  32.  
  33. Availability:
  34.  
  35. Disinfectant 1.0 was posted to comp.sys.mac recently, and is available
  36. from a number of backbone archive sites, including the info-mac
  37. archives, and Heriot-Watt's anti-virus software archive.
  38.  
  39. I suspect Werner Uhrig's archives on RASCAL.ICS.UTEXAS.EDU should also
  40. also have a copy in the virus-tools directory (although I haven't
  41. confirmed this).
  42.  
  43. European sites can pull a copy by sending mail to
  44. <info-server@cs.hw.ac.uk> with the body:
  45.  
  46. request: virus
  47. topic: mac.disinfect
  48.  
  49. Bugs:
  50.  
  51. One serious problem due to contention while accessing files from
  52. remote servers, involving missed directories. John's looking into the
  53. problem at the moment.
  54.  
  55. Features:
  56.  
  57. - - Detects and repairs files infected by Scores, nVIR A, nVIR B, Hpat,
  58.   AIDS, INIT 29, ANTI, and MacMag.  These are all of the currently known
  59.   Macintosh viruses.
  60. - - Scans volumes (entire disks) in either virus check mode or virus
  61.   repair mode.
  62. - - Option to scan a single folder or a single file.
  63. - - Option to "automatically" scan a sequence of floppies.
  64. - - Option to scan all mounted volumes.
  65. - - Can scan both MFS and HFS volumes.
  66. - - Dynamic display of the current folder name, file name, and a thermometer
  67.   indicating the progress of a scan.
  68. - - All scans can be cancelled at any time.
  69. - - Scans produce detailed reports in a scrolling field.  Reports can be
  70.   saved as text files and printed with an editor or word processor.
  71. - - Carefully designed human interface that closely follows Apple's
  72.   guidelines.  All operations are initiated and controlled by 8 simple
  73.   standard push buttons.
  74. - - Uses an advanced detection and repair algorithm that can handle partial
  75.   infections, multiple infections, and other anomalies.
  76. - - Careful error checking.  E.g., properly detects and reports damaged and
  77.   busy files, out of memory conditions, disk full conditions on attempts
  78.   to save files, insufficient privileges on server volumes, and so on.
  79. - - Works on any Mac with at least 512K of memory running System 3.2
  80.   or later.
  81. - - Can be used on single floppy drive Macs with no floppy shuffling.
  82. - - 8500 word online document describing Disinfectant, viruses in general,
  83.   the Mac viruses in particular, recommendations for "safe" computing,
  84.   Vaccine, and other virus fighting tools.  The document can be saved as
  85.   a text file and printed with an editor or word processor.  We tried to
  86.   include everything in the document that the average Mac user needs to
  87.   know about viruses.
  88.  
  89. John Norstad wrote Disinfectant with the help of an international group
  90. of Mac virus experts, programmers and enthusiasts: Wade Blomgren,
  91. Chris Borton, Bob Hablutzel, Tim Krauskopf, Joel Levin, Robert Lentz,
  92. Bill Lipa, Albert Lunde, James Macak, Lance Nakata, Leonard Rosenthol,
  93. Art Schumer, Dan Schwendener, Stephan Somogyi, David Spector, and
  94. Werner Uhrig.
  95.  
  96. - --------------------------------------------------------------------------
  97. Dave Ferbrache                            Personal mail to:
  98. Dept of computer science                  Internet <davidf@cs.hw.ac.uk>
  99. Heriot-Watt University                    Janet    <davidf@uk.ac.hw.cs>
  100. 79 Grassmarket                            UUCP     ..!mcvax!hwcs!davidf
  101. Edinburgh,UK. EH1 2HJ                     Tel      (UK) 031-225-6465 ext 553
  102.  
  103. ------------------------------
  104.  
  105. Date: Wed, 29 Mar 89 13:39 EST
  106. From: "Mark H. Anbinder" <THCY@VAX5.CCS.CORNELL.EDU>
  107. Subject: RE: Star Trek virus
  108.  
  109. There WAS one problem with the Star Trek: The Next Generation episode
  110. "Contagion" as far as the treatment of computer viruses was concerned.
  111. How did this alien code get executed?  If the Enterprise downloaded
  112. the other ship's log as data, no code buried within it should have
  113. been executed.
  114.  
  115. My speculation was that ship's logs include code (perhaps security
  116. systems) that must be executed in order to accesss the data, so the
  117. virus code could have been executed that way.
  118.  
  119. Mark H. Anbinder
  120.  
  121. ------------------------------
  122.  
  123. Date:         Wed, 29 Mar 89 13:53:20 EST
  124. Sender:       Virus Alert List <VALERT-L@IBM1.CC.Lehigh.Edu>
  125. From:         msmith%TOPAZ.RUTGERS.EDU@IBM1.CC.Lehigh.Edu
  126. Subject:      PKWare virus? (PC)
  127.  
  128. Original-Date: Wed, 29 Mar 1989  10:50 MST
  129. Original-From: Keith Petersen <w8sdz@wsmr-simtel20.army.mil>
  130.  
  131. Mark, I hope whoever posted messages on this will retract them
  132. immediately.  There is NO virus and PKWare is NOT involved.
  133.  
  134. Here is the REAL story:
  135.  
  136. 2/25/89 - ARCMASTER SOFTWARE DANGER
  137. - -----------------------------------
  138.  
  139. The ArcMaster compression program shell/menu system has been a very
  140. popular download on our BBS.  In the past week I have received
  141. numerous reports of messed up hard disks after running ArcMaster
  142. version 4.0 and 4.01.  I don't know if there were bugs in those
  143. versions, or if some hacker has decided to target ArcMaster for
  144. trojans.
  145.  
  146. I suggest all users of ArcMaster 4.0 and 4.01 stop using those
  147. versions and wait until you can get a clean, new version from a
  148. reliable source.
  149.  
  150. My apologies to John Newlin, since he has written some great software,
  151. but the reports of trashed hard disks have been consistent enough to
  152. warrant some caution with the 4.x versions of ArcMaster.
  153.  
  154. Bob Mahoney     Exec-PC Multi-user BBS  414-964-5160
  155.  
  156. ------------------------------
  157.  
  158. Date:         Wed, 29 Mar 89 16:52:00 EST
  159. From:         Joe McMahon <XRJDM@SCFVM.BITNET>
  160. Subject:      Not really an nVIR (Mac)
  161.  
  162. The KillVirus INIT installs what I've called a "killed" virus - an
  163. nVIR 10 resource that some (but not all) versions of nVIR check for.
  164. If nVIR finds this resource in the system file, it "goes dormant" and
  165. doesn't infect that copy of the System.
  166.  
  167. Generally, NOT RECOMMENDED. It triggers the detectors (as you've seen)
  168. and interferes with Vaccine, You should remove the nVIR 10 resource
  169. from any System whose system folder you've installed Kill- Virus and
  170. make sure that KillVirus is out of there too.
  171.  
  172. Vaccine is safer and works as well.
  173.  
  174.  --- Joe M.
  175.  
  176. ------------------------------
  177.  
  178. Date:         Wed, 29 Mar 89 16:59:52 EST
  179. From:         Joe McMahon <XRJDM@SCFVM.BITNET>
  180. Subject:      Disinfectant (Mac)
  181.  
  182. Disinfectant comes from John Norstad, someone whose work I would very
  183. much trust. If John says it cleans up all that stuff, it does.
  184.  
  185. The only other thing I'd like to mention is that as viruses get more
  186. complex, the less I trust disinfectants. I'm all for using them to
  187. clean up far enough to finish what you're doing and THEN clean up by
  188. replacing, but I wouldn't bet the farm on them.
  189.  
  190.  --- Joe M.
  191.  
  192. ------------------------------
  193.  
  194. Date: Wed 29 Mar 89 13:22:09-PST
  195. From: Ted Shapin <BEC.SHAPIN%ECLA@ECLA.USC.EDU>
  196. Subject: New England J. of Med. letter
  197.  
  198. New England Journal of Medicine, March 23, 1989, Vol. 320, No. 12,
  199. page 811-12.  _COMPUTER-VIRUS INFECTION OF A MEDICAL DIAGNOSTIC
  200. COMPUTER_
  201.  
  202. To the Editor:
  203.  
  204. Computers used in dianostic imaging, intensive care monitoring, and
  205. other such functions have been relatively immune to computer
  206. vandalism, because they have been special purporse units that are not
  207. easily programmed by amateurs. A detailed MEDLINE search has revealed
  208. no previous reports of "infection," or sabotage, of medical diagnostic
  209. data with a computer "virus."
  210.  Recently, our Department of Nuclear Medicine acquired new
  211. image-display stations for cardiac studies, consisting of powerful
  212. personal computers (PCs) (Macintosh II) that provide high-quality
  213. images for diagnosis. After sucessfully using the system for several
  214. weeks, we noted occasional random malfunctions. Often the computer had
  215. to be shut down and then restarted before it would respond to any
  216. commands. Occsionally, nonexistant patients and garbled names appeared
  217. on the patient directory. We found that approximately 70 percent of
  218. the programs on the PC data disk had been altered by the insertion of
  219. an exogenous code into the standard computer instructions. In
  220. addition, many new files were found scattered among the legitimate
  221. programs. We found that our system harbored two separate computer
  222. viruses. An investigation revealed that these viruses had spread from
  223. a computer company to both our facilities (located 20 miles aprt) and
  224. a nearby university medical center PC network.
  225.  The computer virus has many similarities to biologic viruses. It is a
  226. small program designed to splice copies of itself into other programs.
  227. Whe these programs are run, the viral code directs the computer to
  228. make additional copies of the virus and splice them into other
  229. "uninfected" programs. The original program then continues aftera
  230. barely noticeable delay. As with biologic viruses, host facilities are
  231. subverted into producing endless copies of the foreign intruder. At
  232. random intervals, these hidden programs may produce delays, noises,
  233. scrambling, or actual deletion of data from computer storage.  The
  234. viral infection may spread from computer to computer by the simple
  235. insertion of a floppy disk into an infected machine and later into
  236. another, similar computer. This is the likely mechanism of spread of
  237. the viruses we encountered. Floppy disks used by members of our staff
  238. for word processing were found to contain copies of at least one of
  239. these viruses. After several weeks of meticulous work, all copies of
  240. the virus were eliminated from our systems.
  241.  Mass production of PCs has generated a large pool of amateur
  242. programmers, a few of whom attempt computer sabotage either as an
  243. intellectual challenge or as vandalism. The capability of the PC to
  244. perform literature searches, word processing, and other tasks tempts
  245. users of hospital PCs to insert a variety of "foreign" disks, thus
  246. spreading infections. We now examine all software before use in our
  247. systems and have alerted our personnel to the need to practice "safe
  248. computing". As multipurpose PCs replace their safer single-purpose
  249. predecessors in patient care, the need for expanded vigilance is
  250. clear.
  251.  
  252. Jack E. Juni, M.D.
  253. Richard Ponto
  254. William Beaumont Hospitals
  255. Royal Oak, MI 48072-2793
  256. - -------
  257.  
  258. ------------------------------
  259.  
  260. Date:         Wed, 29 Mar 1989 13:34:11 EST
  261. From:         Clare Shawcross <CLARES@BROWNVM.BITNET>
  262. Subject:      KillVirus Init not malevolent
  263.  
  264. A couple of postings have been made recently about KillVirus Init, one
  265. (from Jonathan Baker) wondering if it was a virus or virally infected,
  266. and the other (from David Stodolsky) suggesting that it is some sort
  267. of breeding ground for viruses.
  268.  
  269. In fact, KillVirus Init is intended to *protect* your files from nVIR
  270. by "vaccinating" your disk.  KillVirus contains a dummy nVIR and
  271. installs one in your System file.  Interferon and VirusRX can't tell
  272. the difference between this and a real virus.  But your Macintosh can.
  273. And so can you.  One way of checking is to run a smarter program like
  274. Disinfectant which will not flag the dummy virus.  The commercially
  275. available program Virex will go so far as to flag such a virus as a
  276. fake one.
  277.  
  278. The more adventurous may want to use ResEdit to look at the nVIR
  279. resource on a file.  If it is called "InstallTrap (ID=1)" or "nVIR
  280. Inhibitor (ID=10)" then you are dealing with a dummy virus rather than
  281. the real thing.
  282.  
  283. Clare Shawcross
  284. Consulting Support Specialist
  285. Brown University
  286.  
  287. ------------------------------
  288.  
  289. From:       Andrew Dawson <andrew@UXM.SM.UCL.AC.UK>
  290. Date:       Thu, 30 Mar 89 10:31:54 BST
  291. Subject:    Re: KillVirus Init (Mac)
  292.  
  293. The KillVirus Init is *NOT* infected with the nVIR virus - it just
  294. appears that way to a lot of virus search utilities. A feature of nVIR
  295. is that it will effectively disable itself if it finds an nVIR
  296. resource with ID=10 in the system file. If you place killvirus in your
  297. system folder and reboot, it will install an nVIR 10 resource in the
  298. system to prevent infection, at the same time removing any other nVIR
  299. resources. In order to do this effectively, killvirus itself has an
  300. nVIR 10 resource, which is simply copied. There is no code in this
  301. resource. Most virus checking utilities check for resources of a
  302. certain type - and the presence of any nVIR resource will cause
  303. warnings from Interferon, Virus RX or Virus Detective (and probably
  304. others).
  305.  
  306. While I'm not actually very keen on anything that modifies the system
  307. file, KillVirus has proved very effective in keeping our machines
  308. clean - it will automatically disinfect any nVIR infected application
  309. that a user attempts to launch.
  310.  
  311. Andrew Dawson
  312. School of Medicine Computer Unit
  313. University College London
  314.  
  315. ------------------------------
  316.  
  317. End of VIRUS-L Digest
  318. *********************
  319. Downloaded From P-80 International Information Systems 304-744-2253
  320.