home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.05

< prev

next >

Wrap

Text File  |  1995-01-03  |  30KB  |  721 lines

---

1. VIRUS-L Digest   Friday,  5 Jan 1990    Volume 3 : Issue 5
2.  
3. Today's Topics:
4.  
5. Gatekeeper/Disinfectant Problem! (Mac)
6. Re: Virus Trends (and FAXes on PCs)
7. SCANV53 (PC)
8. Introduction to the anti-viral archives
9. UNIX anti-viral archive sites
10. Apple II anti-viral archive sites
11. Atari ST anti-viral archive sites
12. Amiga anti-viral archive sites
13. Macintosh anti-viral archive sites
14. IBMPC anti-viral archive sites
15. Documentation anti-viral archive sites
16. Uses of MACs Against Viruses
17. VIRUS-L Digest V3 #4
18.  
19. VIRUS-L is a moderated, digested mail forum for discussing computer
20. virus issues; comp.virus is a non-digested Usenet counterpart.
21. Discussions are not limited to any one hardware/software platform -
22. diversity is welcomed.  Contributions should be relevant, concise,
23. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
24. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
25. anti-virus, document, and back-issue archives is distributed
26. periodically on the list.  Administrative mail (comments, suggestions,
27. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
28.  - Ken van Wyk
29.  
30. ---------------------------------------------------------------------------
31.  
32. Date:    Thu, 04 Jan 90 12:04:00 -0400
33. From:    Michael Greve <GREVE@wharton.upenn.edu>
34. Subject: Gatekeeper/Disinfectant Problem! (Mac)
35.  
36.      I originally sent out this message on MACNET but nobody could help.
37.     We have a networked lab with 16 machines.  We have both Gatekeeper and
38.     Gatekeeper Aid.  We are currently using Disinfectant 1.5.  We can use
39.     Disinfectant to check each machine for viruses but when we actually
40.     try and disinfect a machine we get a Gatekeeper violation message.  I've
41.     set Gatekeeper correctly but still it won't let me disinfect.  I used
42.     the Gatekeeper settings that are mentioned in the about section of
43.     Disinfectant.  Still it will not work.  The only way I can disinfect the
44.     lab machines is to boot up off a floppy (that doesn't have Gatekeeper on
45.     it) and then run disinfectant.  This can be a hassle on the consultants
46.     machine when students come in and have various viruses on their disks.
47.  
48.       We also have SAM and have set that in Gatekeeper but still get the
49.     same message when trying to disinfect.  Any ideas, help or assistance
50.     would be greatly appreciated.
51.  
52.                                                 Michael Greve
53.                                                 U. of Pa.
54.                                                 Wharton Computing
55.                                                 greve@wharton.upenn.edu
56.  
57. ------------------------------
58.  
59. Date:    04 Jan 90 17:40:26 +0000
60. From:    ras@rayssdb.ssd.ray.com (Ralph A. Shaw)
61. Subject: Re: Virus Trends (and FAXes on PCs)
62.  
63. Nagle@cup.portal.com says:
64.  
65. >     - A FAX message is a bitstream interpreted by an interpreter at
66. >       the receving end.  Could it be induced to do something interesting
67. >       through the use of illegal bit patterns?  Group III is probably too
68. >       simple to be attacked, but group IV?  Imagine a message which
69. >       causes a FAX machine to send an extra copy of transmitted documents
70. >       to another location.
71.  
72. Something that has come to the attention of security paranoids here
73. lately is that some manufacturers of PC FAX boards have added a
74. feature that allows the FAX modem to be used as a bisync modem to
75. communicate with the PC directly, rather than transmitting just FAXes.
76.  
77. I assume the PC would have to be running some software to enable it
78. and reassign the console (requiring local intervention), but a
79. networked PC could then prove to be a leak onto the corporate network,
80. (or at least, for handy distribution of the Trojan-of-the-month program).
81. Added to this is the promise that at least one FAXboard vendor
82. promises that both async and bisync modem capability will be available
83. in the future.
84.  
85. I don't have the details of which boards provide this "feature",
86. or of what functionality is really there via this inboard modem
87. and accompanying software, but will pass on any other details I can
88. ferret out.
89. - --
90. Ralph Shaw                      ras@rayssd.ray.com
91.  
92. ------------------------------
93.  
94. Date:    Thu, 04 Jan 90 10:24:40 -0800
95. From:    Alan_J_Roberts@cup.portal.com
96. Subject: SCANV53 (PC)
97.  
98. The following is forwarded from John McAfee:
99.  
100.         SCAN Version 53 has a serious problem with false alarms on the 4096
101. virus.  The version was unfortunately included in the last-minute monthly
102. FidoNet distribution and is therefore in the hands of a lot of people.  If
103. you have version 53 of SCAN please do not use it.  Version 54 is available
104. on CompuServe, Homebase and most of the Fidonet hubs.  My apologies to
105. anyone inconvenienced by my error.
106. John McAfee
107.  
108. ------------------------------
109.  
110. Date:    04 Jan 90 03:26:11 +0000
111. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
112. Subject: Introduction to the anti-viral archives
113.  
114.  
115. # Introduction to the Anti-viral archives...
116. # Listing of 03 January 1990
117.  
118. This posting is the introduction to the "official" anti-viral archives
119. of VIRUS-L/comp.virus.  With the generous cooperation of many sites
120. throughout the world, we are attempting to make available to all
121. the most recent news and programs for dealing with the virus problem.
122. Currently we have sites for Amiga, Apple II, Atari ST, IBMPC, Macintosh
123. and Unix computers, as well as sites carrying research papers and
124. reports of general interest.
125.  
126. If you have general questions regarding the archives, you can send
127. them to this list or to me.  I'll do my best to help.  If you have a
128. submission for the archives, you can send it to me or to one of the
129. persons in charge of the relevant sites.
130.  
131. If you have any corrections to the lists, please let me know.
132.  
133. The files contained on the participating archive sites are provided freely
134. on an as-is basis.
135.  
136. To the best of our knowledge, all files contained in the archives are either
137. Public Domain, Freely Redistributable, or Shareware.  If you know of one
138. that is not, please drop us a line and let us know.  Reports of corrupt
139. files are also welcome.
140.  
141. PLEASE NOTE
142. The Managers of these systems, and the Maintainers of the archives, CAN NOT
143. and DO NOT guarantee any of these applications for any purpose.  All possible
144. precautions have been taken to assure you of a safe repository of useful
145. tools.
146.  
147. - --
148. Jim Wright
149. jwright@atanasoff.cs.iastate.edu
150.  
151.  
152. ------------------------------
153.  
154. Date:    04 Jan 90 03:31:23 +0000
155. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
156. Subject: UNIX anti-viral archive sites
157.  
158.  
159. # Anti-viral and security archive sites for Unix
160. # Listing last changed 30 September 1989
161.  
162. attctc
163.         Charles Boykin <sysop@attctc.Dallas.TX.US>
164.         Accessible through UUCP.
165.  
166. cs.hw.ac.uk
167.         Dave Ferbrache <davidf@cs.hw.ac.uk>
168.         NIFTP from JANET sites, login as "guest".
169.         Electronic mail to <info-server@cs.hw.ac.uk>.
170.         Main access is through mail server.
171.         The master index for the virus archives can be retrieved as
172.                 request: virus
173.                 topic: index
174.         For further details send a message with the text
175.                 help
176.         The administrative address is <infoadm@cs.hw.ac.uk>
177.  
178. sauna.hut.fi
179.         Jyrki Kuoppala <jkp@cs.hut.fi>
180.         Accessible through anonymous ftp, IP number 128.214.3.119.
181.         (Note that this IP number is likely to change.)
182.  
183. ucf1vm
184.         Lois Buwalda <lois@ucf1vm.bitnet>
185.         Accessible through...
186.  
187. wuarchive.wustl.edu
188.         Chris Myers <chris@wugate.wustl.edu>
189.         Accessible through anonymous ftp, IP number 128.252.135.4.
190.         A number of directories can be found in ~ftp/usenet/comp.virus/*.
191.  
192. - --
193. Jim Wright
194. jwright@atanasoff.cs.iastate.edu
195.  
196.  
197. ------------------------------
198.  
199. Date:    04 Jan 90 03:29:54 +0000
200. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
201. Subject: Apple II anti-viral archive sites
202.  
203.  
204. # Anti-viral archive sites for the Apple II
205. # Listing last changed 30 September 1989
206.  
207. brownvm.bitnet
208.         Chris Chung <chris@brownvm.bitnet>
209.         Access is through LISTSERV, using SEND, TELL and MAIL commands.
210.         Files are stored as
211.                 apple2-l xx-xxxxx
212.         where the x's are the file number.
213.  
214. cs.hw.ac.uk
215.         Dave Ferbrache <davidf@cs.hw.ac.uk>
216.         NIFTP from JANET sites, login as "guest".
217.         Electronic mail to <info-server@cs.hw.ac.uk>.
218.         Main access is through mail server.
219.         The master index for the virus archives can be retrieved as
220.                 request: virus
221.                 topic: index
222.         The Apple II index for the virus archives can be retrieved as
223.                 request: apple
224.                 topic: index
225.         For further details send a message with the text
226.                 help
227.         The administrative address is <infoadm@cs.hw.ac.uk>
228.  
229. uk.ac.lancs.pdsoft
230.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
231.         Service for UK only; no access from BITNET/Internet/UUCP
232.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
233.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
234.         Pull the file "help/basics" for starter info, "micros/index" for index.
235.         Anti-Viral stuff is held as part of larger micro software collection
236.         and is not collected into a distinct area.
237.  
238. - --
239. Jim Wright
240. jwright@atanasoff.cs.iastate.edu
241.  
242.  
243. ------------------------------
244.  
245. Date:    04 Jan 90 03:30:11 +0000
246. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
247. Subject: Atari ST anti-viral archive sites
248.  
249.  
250. # Anti-viral archive sites for the Atari ST
251. # Listing last changed 30 September 1989
252.  
253. cs.hw.ac.uk
254.         Dave Ferbrache <davidf@cs.hw.ac.uk>
255.         NIFTP from JANET sites, login as "guest".
256.         Electronic mail to <info-server@cs.hw.ac.uk>.
257.         Main access is through mail server.
258.         The master index for the virus archives can be retrieved as
259.                 request: virus
260.                 topic: index
261.         The Atari ST index for the virus archives can be retrieved as
262.                 request: atari
263.                 topic: index
264.         For further details send a message with the text
265.                 help
266.         The administrative address is <infoadm@cs.hw.ac.uk>.
267.  
268. panarthea.ebay
269.         Steve Grimm <koreth%panarthea.ebay@sun.com>
270.         Access to the archives is through mail server.
271.         For instructions on the archiver server, send
272.                 help
273.         to <archive-server%panarthea.ebay@sun.com>.
274.  
275. uk.ac.lancs.pdsoft
276.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
277.         Service for UK only; no access from BITNET/Internet/UUCP
278.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
279.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
280.         Pull the file "help/basics" for starter info, "micros/index" for index.
281.         Anti-Viral stuff is held as part of larger micro software collection
282.         and is not collected into a distinct area.
283.  
284. - --
285. Jim Wright
286. jwright@atanasoff.cs.iastate.edu
287.  
288.  
289. ------------------------------
290.  
291. Date:    04 Jan 90 03:29:34 +0000
292. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
293. Subject: Amiga anti-viral archive sites
294.  
295.  
296. # Anti-viral archive sites for the Amiga
297. # Listing last changed 30 September 1989
298.  
299. cs.hw.ac.uk
300.         Dave Ferbrache <davidf@cs.hw.ac.uk>
301.         NIFTP from JANET sites, login as "guest".
302.         Electronic mail to <info-server@cs.hw.ac.uk>.
303.         Main access is through mail server.
304.         The master index for the virus archives can be retrieved as
305.                 request: virus
306.                 topic: index
307.         The Amiga index for the virus archives can be retrieved as
308.                 request: amiga
309.                 topic: index
310.         For further details send a message with the text
311.                 help
312.         The administrative address is <infoadm@cs.hw.ac.uk>
313.  
314. ms.uky.edu
315.         Sean Casey <sean@ms.uky.edu>
316.         Access is through anonymous ftp.
317.         The Amiga anti-viral archives can be found in /pub/amiga/Antivirus.
318.         The IP address is 128.163.128.6.
319.  
320. uk.ac.lancs.pdsoft
321.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
322.         Service for UK only; no access from BITNET/Internet/UUCP
323.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
324.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
325.         Pull the file "help/basics" for starter info, "micros/index" for index.
326.         Anti-Viral stuff is held as part of larger micro software collection
327.         and is not collected into a distinct area.
328.  
329. uxe.cso.uiuc.edu
330.         Mark Zinzow <markz@vmd.cso.uiuc.edu>
331.         Lionel Hummel <hummel@cs.uiuc.edu>
332.         The archives are in /amiga/virus.
333.         There is also a lot of stuff to be found in the Fish collection.
334.         The IP address is 128.174.5.54.
335.         Another possible source is uihub.cs.uiuc.edu at 128.174.252.27.
336.         Check there in /pub/amiga/virus.
337.  
338. - --
339. Jim Wright
340. jwright@atanasoff.cs.iastate.edu
341.  
342.  
343. ------------------------------
344.  
345. Date:    04 Jan 90 03:31:05 +0000
346. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
347. Subject: Macintosh anti-viral archive sites
348.  
349.  
350. # Anti-viral archive sites for the Macintosh
351. # Listing last changed 07 November 1989
352.  
353. cs.hw.ac.uk
354.         Dave Ferbrache <davidf@cs.hw.ac.uk>
355.         NIFTP from JANET sites, login as "guest".
356.         Electronic mail to <info-server@cs.hw.ac.uk>.
357.         Main access is through mail server.
358.         The master index for the virus archives can be retrieved as
359.                 request: virus
360.                 topic: index
361.         The Mac index for the virus archives can be retrieved as
362.                 request: mac
363.                 topic: index
364.         For further details send a message with the text
365.                 help
366.         The administrative address is <infoadm@cs.hw.ac.uk>
367.  
368. ifi.ethz.ch
369.         Danny Schwendener <macman@ethz.uucp>
370.         Interactive access through DECnet (SPAN/HEPnet):
371.                 $SET HOST 57434  or $SET HOST AEOLUS
372.                 Username: MAC
373.         Interactive access through X.25 (022847911065) or Modem 2400 bps
374.         (+41-1-251-6271):
375.                 # CALL B050 <cr><cr>
376.                 Username: MAC
377.         Files may also be copied via DECnet (SPAN/HEPnet) from
378.                 57434::DISK8:[MAC.TOP.LIBRARY.VIRUS]
379.  
380. rascal.ics.utexas.edu
381.         Werner Uhrig <werner@rascal.ics.utexas.edu>
382.         Access is through anonymous ftp, IP number is 128.83.144.1.
383.         Archives can be found in the directory mac/virus-tools.
384.         Please retrieve the file 00.INDEX and review it offline.
385.         Due to the size of the archive, online browsing is discouraged.
386.  
387. scfvm.bitnet
388.         Joe McMahon <xrjdm@scfvm.bitnet>
389.         Access is via LISTSERV.
390.         SCFVM offers an "automatic update" service.  Send the message
391.                 AFD ADD VIRUSREM PACKAGE
392.         and you will receive updates as the archive is updated.
393.         You can also subscribe to automatic file update information with
394.                 FUI ADD VIRUSREM PACKAGE
395.  
396. sumex-aim.stanford.edu
397.         Bill Lipa <info-mac-request@sumex-aim.stanford.edu>
398.         Access is through anonymous ftp, IP number is 36.44.0.6.
399.         Archives can be found in /info-mac/virus.
400.         Administrative queries to <info-mac-request@sumex-aim.stanford.edu>.
401.         Submissions to <info-mac@sumex-aim.stanford.edu>.
402.         There are a number of sites which maintain shadow archives of
403.         the info-mac archives at sumex:
404.         * MACSERV@PUCC          services the Bitnet community
405.         * LISTSERV@RICE         for e-mail users
406.         * FILESERV@IRLEARN      for folks in Europe
407.  
408. uk.ac.lancs.pdsoft
409.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
410.         Service for UK only; no access from BITNET/Internet/UUCP
411.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
412.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
413.         Pull the file "help/basics" for starter info, "micros/index" for index.
414.         Anti-Viral stuff is held as part of larger micro software collection
415.         and is not collected into a distinct area.
416.  
417. wsmr-simtel20.army.mil
418.         Robert Thum <rthum@wsmr-simtel20.army.mil>
419.         Access is through anonymous ftp, IP number 26.2.0.74.
420.         Archives can be found in PD3:<MACINTOSH.VIRUS>.
421.         Please get the file 00README.TXT and review it offline.
422.  
423. - --
424. Jim Wright
425. jwright@atanasoff.cs.iastate.edu
426.  
427.  
428. ------------------------------
429.  
430. Date:    04 Jan 90 03:30:47 +0000
431. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
432. Subject: IBMPC anti-viral archive sites
433.  
434.  
435. # Anti-viral archive for the IBMPC
436. # Listing last changed 16 December 1989
437.  
438. cs.hw.ac.uk
439.         Dave Ferbrache <davidf@cs.hw.ac.uk>
440.         NIFTP from JANET sites, login as "guest".
441.         Electronic mail to <info-server@cs.hw.ac.uk>.
442.         Main access is through mail server.
443.         The master index for the virus archives can be retrieved as
444.                 request: virus
445.                 topic: index
446.         The IBMPC index for the virus archives can be retrieved as
447.                 request: ibmpc
448.                 topic: index
449.         For further details send a message with the text
450.                 help
451.         The administrative address is <infoadm@cs.hw.ac.uk>
452.  
453. f.ms.uky.edu
454.         Daniel Chaney <chaney@ms.uky.edu>
455.         This site can be reached through anonymous ftp.
456.         The IBMPC anti-viral archives can be found in /pub/msdos/AntiVirus.
457.         The IP address is 128.163.128.6.
458.  
459. mibsrv.mib.eng.ua.edu
460.         James Ford <JFORD1@UA1VM.BITNET> <JFORD@MIBSRV.MIB.ENG.UA.EDU>
461.         This site can be reached through anonymous ftp.
462.         The IBM-PC anti-virals can be found in PUB/IBM-ANTIVIRUS
463.         Uploads to PUB/IBM-ANTIVIRUS/00UPLOADS.  Uploads are screened.
464.         Requests to JFORD1@UA1VM.BITNET for UUENCODED files will be filled
465.         on a limited bases as time permits.
466.         The IP address is 130.160.20.80.
467.  
468. uk.ac.lancs.pdsoft
469.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
470.         Service for UK only; no access from BITNET/Internet/UUCP
471.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
472.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
473.         Pull the file "help/basics" for starter info, "micros/index" for index.
474.         Anti-Viral stuff is held as part of larger micro software collection
475.         and is not collected into a distinct area.
476.  
477. uxe.cso.uiuc.edu
478.         Mark Zinzow <markz@vmd.cso.uiuc.edu>
479.         This site can be reached through anonymous ftp.
480.         The IBMPC anti-viral archives are in /pc/virus.
481.         The IP address is 128.174.5.54.
482.  
483. vega.hut.fi
484.         Timo Kiravuo <kiravuo@hut.fi>
485.         This site (in Finland) can be reached through anonymous ftp.
486.         The IBMPC anti-viral archives are in /pub/pc/virus.
487.         The IP address is 130.233.200.42.
488.  
489. wsmr-simtel20.army.mil
490.         Keith Peterson <w8sdz@wsmr-simtel20.army.mil>
491.         Direct access is through anonymous ftp, IP 26.2.0.74.
492.         The anti-viral archives are in PD1:<MSDOS.TROJAN-PRO>.
493.         Simtel is a TOPS-20 machine, and as such you should use
494.         "tenex" mode and not "binary" mode to retreive archives.
495.         Please get the file 00-INDEX.TXT using "ascii" mode and
496.         review it offline.
497.         NOTE:
498.         There are also a number of servers which provide access
499.         to the archives at simtel.
500.         WSMR-SIMTEL20.Army.Mil can be accessed using LISTSERV commands
501.         from BITNET via LISTSERV@NDSUVM1, LISTSERV@RPIECS and in Europe
502.         from EARN TRICKLE servers.  Send commands to TRICKLE@<host-name>
503.         (for example: TRICKLE@AWIWUW11).  The following TRICKLE servers
504.         are presently available: AWIWUW11 (Austria), BANUFS11 (Belgium),
505.         DKTC11 (Denmark), DB0FUB11 (Germany), IMIPOLI (Italy),
506.         EB0UB011 (Spain) and TREARN (Turkey).
507.  
508. - --
509. Jim Wright
510. jwright@atanasoff.cs.iastate.edu
511.  
512.  
513. ------------------------------
514.  
515. Date:    04 Jan 90 03:30:29 +0000
516. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
517. Subject: Documentation anti-viral archive sites
518.  
519.  
520. # Anti-viral archive sites for documentation
521. # Listing last changed 03 January 1990
522.  
523. cert.sei.cmu.edu
524.         Kenneth R. van Wyk <krvw@sei.cmu.edu>
525.         Access is available via anonymous ftp, IP number 128.237.253.5.
526.         This site maintains archives of all VIRUS-L digests, all
527.         CERT advisories, as well as a number of informational documents.
528.         VIRUS-L/comp.virus information is in:
529.                 ~ftp/pub/virus-l/archives
530.                 ~ftp/pub/virus-l/archives/predigest
531.                 ~ftp/pub/virus-l/archives/1988
532.                 ~ftp/pub/virus-l/archives/1989
533.                 ~ftp/pub/virus-l/docs
534.         CERT advisories are in:
535.                 ~ftp/pub/cert_advisories
536.  
537.  
538. cs.hw.ac.uk
539.         Dave Ferbrache <davidf@cs.hw.ac.uk>
540.         NIFTP from JANET sites, login as "guest".
541.         Electronic mail to <info-server@cs.hw.ac.uk>.
542.         Main access is through mail server.
543.         The master index for the virus archives can be retrieved as
544.                 request: virus
545.                 topic: index
546.         The index for the **GENERAL** virus archives can be retrieved as
547.                 request: general
548.                 topic: index
549.         The index for the **MISC.** virus archives can be retrieved as
550.                 request: misc
551.                 topic: index
552.         **VIRUS-L** entries are stored in monthly and weekly digest form from
553.         May 1988 to December 1988.  These are accessed as log.8804 where
554.         the topic substring is comprised of the year, month and a week
555.         letter.  The topics are:
556.                 8804, 8805, 8806 - monthly digests up to June 1988
557.                 8806a, 8806b, 8806c, 8806d, 8807a .. 8812d - weekly digests
558.         The following daily digest format started on Wed 9 Nov 1988.  Digests
559.         are stored by volume number, e.g.
560.                 request: virus
561.                 topic: v1.2
562.         would retrieve issue 2 of volume 1, in addition v1.index, v2.index and
563.         v1.contents, v2.contents will retrieve an index of available digests
564.         and a extracted list of the the contents of each volume respectively.
565.         **COMP.RISKS** archives from v7.96 are available on line as:
566.                 request: comp.risks
567.                 topic: v7.96
568.         where topic is the issue number, as above v7.index, v8.index and
569.         v7.contents and v8.contents will retrieve indexes and contents lists.
570.         For further details send a message with the text
571.                 help
572.         The administrative address is <infoadm@cs.hw.ac.uk>
573.  
574. lehiibm1.bitnet
575.         Ken van Wyk <LUKEN@LEHIIBM1.BITNET> new: <krvw@sei.cmu.edu>
576.         This site has archives of VIRUS-L, and many papers of
577.         general interest.
578.         Access is through ftp, IP address 128.180.2.1.
579.         The directories of interest are VIRUS-L and VIRUS-P.
580.  
581. uk.ac.lancs.pdsoft
582.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
583.         Service for UK only; no access from BITNET/Internet/UUCP
584.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
585.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
586.         Pull the file "help/basics" for starter info, "micros/index" for index.
587.         Anti-Viral stuff is held as part of larger micro software collection
588.         and is not collected into a distinct area.
589.  
590. unma.unm.edu
591.         Dave Grisham <dave@unma.unm.edu>
592.         This site has a collection of ethics documents.
593.         Included are legislation from several states and policies
594.         from many institutions.
595.         Access is through ftp, IP address 129.24.8.1.
596.         Look in the directory /ethics.
597.  
598. - --
599. Jim Wright
600. jwright@atanasoff.cs.iastate.edu
601.  
602.  
603. ------------------------------
604.  
605. Date:    Thu, 04 Jan 90 14:33:00 -0500
606. From:    WHMurray@DOCKMASTER.ARPA
607. Subject: Uses of MACs Against Viruses
608.  
609. First, let me take this occasion to apologize to Y. Radai for my
610. offenses of style and hyperbole.  Then I would like to comment on his
611. discussion that appeared in VIRUS-L, Vol. 3, Issue 4 on the indicated
612. cross-over point for sophistication of the algorithm in generating
613. authenticators for programs.
614.  
615. I tend to agree with most of his observation as they relate to the use
616. of the authenticator to recognize the contamination of a program in
617. the target execution environment.  However, I think that I speak for
618. Bob Bosen as well as myself when I suggest that we both have in mind
619. another use.
620.  
621. Bob posits the use of a MAC to ensure that programs are received as they
622. were shipped.  This use offers some protection against contamination of
623. a program during transit from its trusted author to the point of use.
624.  
625. I go a little further.  I suggest that programs be digitally signed by
626. their originators.  (For more reasons than need be listed here, I
627. currently recommend RSA MailSafe for this application.  This is a
628. hybrid implementation which uses a block-product cipher for processing
629. the program and RSA for key-management and distribution.)  This use
630. not only enables the user to know that the program has not been
631. changed since original shipment from the author, but also enables the
632. author to disown any late changes.  If the end-user does not know or
633. trust the author, but relies upon some inter-mediate authority, such
634. as the NCSC, or his own management, then the program can be
635. countersigned by this authority.
636.  
637. Note that for this application more time and resource would be
638. available for an attack.  In addition multiple people would have to
639. rely upon the same algorithm or mechanism.  These two requirements
640. argue for a strong alogrithm of known strength, i.e., a "standard"
641. one.
642.  
643. We argue that the provenance of a program or other data item is
644. essential to confidence in it.  Immutability contributes.  While
645. immutable media, such as CD-ROM, and a record of custody can be made
646. to work in special cases, digital signatures can be made to work in
647. most.  They are independent of the media and move with the program.
648.  
649. Thus we argue for an additional use that has different requirements
650. than those considered by the other discussions.
651.  
652. William Hugh Murray, Fellow, Information System Security, Ernst & Young
653. 2000 National City Center Cleveland, Ohio 44114
654. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
655.  
656. ------------------------------
657.  
658. Date:    Thu, 04 Jan 00 19:90:52 +0000
659. From:    greenber@utoday.UU.NET (Ross M. Greenberg)
660. Subject: VIRUS-L Digest V3 #4
661.  
662. >  I now come to Ross Greenberg's posting in Issue 266.
663. >  ...But Ross implies that users will always prefer a
664. >"good enough" fast checker like that of FluShot+ over a slow sophisti-
665. >cated one.  But can we be so sure that FluShot+ is really good enough?
666.  
667. Well, I didn't mean to imply that the method used in my own code was
668. sophisticated at all.  However, to date, it seems to be good enough:
669. no virus infection on a checksummed program has gotten through (to my
670. users knowledge, naturally) without detection. I can only assume that
671. lack of reporting can be equated to lack of infection -- I know that
672. such thinking leads to strange numbers coming from strange organizations
673. and (as such) can just ask you to prefix everything below with an "I
674. think" or an "I feel".
675.  
676. Anyway, that's what I mean by "good enough".  For those users really
677. worried over things, two checkers would be a good idea.
678.  
679. >How many of its users have the slightest idea how its security com-
680. >pares with that of other programs?
681.  
682. The users have to trust the program author of any security product.  As
683. such, they have to trust that, if a virus were to infect files with a
684. "zero differential" on the checksumming method I use, that I'd change
685. the checksuming method.  Yes, there has to be a trust in your vendor.
686.  
687. The real world and the theoretical world do not always agree....
688.  
689. >  I don't know whether his algorithm
690. >satisfies condition (B) above, but it certainly does not satisfy (A),
691. >i.e. for any given file all users will get the same checksum, and
692. >that's a potential security hole, at least in the "limited environment"
693. >situation mentioned at the end of (3) above.  But since this hole can
694. >be plugged very simply and at no cost in speed, why not do so, Ross?
695.  
696. Easy to code - murder to support!  I have about 15,000 registered users.
697. They call me with the slightest problem - as they should, and as they're
698. entitled to. If they ask me: "Is my COMMAND.COM file infected?", I need
699. simply ask them what the checksum is.  From that I know the answer.  If
700. I used some method to generate unique checksums for each user, I'd still
701. have to have some means to get back to the "real" checksum.  If I could
702. do that, so could a bad guy, rendering inconvienence only to the bad guy,
703. and potentially to thousands of users (I average about 50 tech support
704. calls per day on a $14 product!)
705.  
706. Please understand that I certainly can appreciate the limitations of using
707. a less sophisticated algorithm within my code as versus something wonderfully
708. complex.  But, as with any security product, I had to weigh off security
709. versus convienience considerations.  I like to think I did an ok job of it:
710. those in doubt need simply use *any* other checksumming type program in
711. combination with my own to see if I'm right!
712.  
713. Ross M. Greenberg
714. Author, FLU_SHOT+
715.  
716. ------------------------------
717.  
718. End of VIRUS-L Digest
719. *********************
720. Downloaded From P-80 International Information Systems 304-744-2253
721.