home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.07 < prev    next >
Text File  |  1995-01-03  |  12KB  |  292 lines
  1. VIRUS-L Digest   Tuesday,  9 Jan 1990    Volume 3 : Issue 7
  2.  
  3. Today's Topics:
  4.  
  5. public trust vs. viruses
  6. Partial VIRUSREM PACKAGE (Mac)
  7. Implied Loader Viruses (Mac)
  8. F-PROT anti-virus program (PC)
  9. Re: Questioning ethics at computing sites
  10. Virus Scare & Backups
  11. Jerusalem B Virus Remover (PC)
  12. Re: Alternative Virus Protection (Mac)
  13. Re: Virus Trends (and FAXes on PCs)
  14.  
  15. VIRUS-L is a moderated, digested mail forum for discussing computer
  16. virus issues; comp.virus is a non-digested Usenet counterpart.
  17. Discussions are not limited to any one hardware/software platform -
  18. diversity is welcomed.  Contributions should be relevant, concise,
  19. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  20. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  21. anti-virus, document, and back-issue archives is distributed
  22. periodically on the list.  Administrative mail (comments, suggestions,
  23. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  24.  - Ken van Wyk
  25.  
  26. ---------------------------------------------------------------------------
  27.  
  28. Date:    Mon, 08 Jan 90 09:46:00 -0500
  29. From:    WHMurray@DOCKMASTER.ARPA
  30. Subject: public trust vs. viruses
  31.  
  32. >As Mr. Murray correctly pointed out, much more users damage their own
  33. >data than are damaged by 'nasty' software.  The Oct 13 scare made our
  34. >users, who number in the tens of thousands,  FINALLY listen to our
  35. >pleadings to make backup copies of their software and data.
  36.  
  37. That a lie happens to result in some behavior that you favor, does not
  38. make it any less a lie.  While it may be true that the publicity did
  39. result in a temporary increase in backup behavior, the benefit of such
  40. behavior may not be in proportion to the damage to public trust.
  41.  
  42. William Hugh Murray, Fellow, Information System Security, Ernst & Young
  43. 2000 National City Center Cleveland, Ohio 44114
  44. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
  45.  
  46. ------------------------------
  47.  
  48. Date:    Mon, 08 Jan 90 09:24:04 -0500
  49. From:    Joe McMahon <XRJDM@SCFVM.BITNET>
  50. Subject: Partial VIRUSREM PACKAGE (Mac)
  51.  
  52. It seems that some nodes are refusing parts of the virus removal
  53. package because of file size constraints (100K max). We are looking
  54. into the problem. Anyone currently signed up for the package will
  55. receive the rest of the files as soon as we have determioned the best
  56. way to redistribute them. Thanks for your patience.
  57.  
  58.  --- Joe M.
  59.  
  60. ------------------------------
  61.  
  62. Date:    Mon, 08 Jan 90 10:46:04 -0500
  63. From:    Joe McMahon <XRJDM@SCFVM.BITNET>
  64. Subject: Implied Loader Viruses (Mac)
  65.  
  66. Any resource which appears to be of an executable type which is found
  67. in a "non-application" file will be flagged as an "implied loader".
  68. You may have an invisible file called "PIC". Try looking at your disk
  69. with ResEdit or DiskTop.
  70.  
  71.  --- Joe M.
  72.  
  73. ------------------------------
  74.  
  75. Date:    Mon, 08 Jan 90 15:47:00 +0000
  76. From:    frisk@rhi.hi.is (Fridrik Skulason)
  77. Subject: F-PROT anti-virus program (PC)
  78.  
  79. As some of you already know, I have been working on an anti-virus
  80. package the last five months or so.  The English version of this
  81. package, F-PROT, is now (finally) ready for distribution. It can
  82. handle the following PC viruses:
  83.  
  84.     Agiplan, Alabama, Alameda (Yale), Amstrad, April 1., Brain, Cascade,
  85.     Dark Avenger, DataCrime, DataCrime II, dBase, December 24th, Den Zuk/Ohio,
  86.     Disk Killer (Ogre), Do-Nothing, 405, 4096, Fumble, Fu Manchu, Ghost,
  87.     Icelandic/Icelandic II/Saratoga, Jerusalem/New Jerusalem/Sunday,
  88.     Lehigh, MIX1, New-Zealand (Stoned), Oropax, Perfume, Ping-Pong/Typo,
  89.     South African "Friday 13.", Sylvia, SysLock/Macho, Swap (Fallboot),
  90.     Traceback/2930, Vacsina, Vcomm, Vienna/Lisbon, Virus-90, W13, Yankee
  91.     Doodle and Zero Bug (Palette)
  92.  
  93. Included in the package are programs for...
  94.  
  95.    ... scanning diskettes or files for infection (similar to SCAN and
  96.        VIRSCAN)
  97.  
  98.    ... removing any viruses found without destroying the original programs
  99.        (a complete set of disinfection tools)
  100.  
  101.    ... preventing infected programs from being executed (similar to SCANRES)
  102.  
  103.    ... adding "self-testing" to other programs
  104.  
  105.    ... providing protection against Trojans
  106.  
  107. and much, much more...
  108.  
  109. The programs included are even able to prevent the use of Dr Solomon's
  110. "fourth method".
  111.  
  112. When new viruses appear, only a single tine, containing an encrypted
  113. signature string has to be added to one of the text files.
  114.  
  115. The package will be distributed as shareware, (suggested contribution
  116. $15 US).
  117.  
  118. The .ARC file is rather large (237K), but I will arrange for it to be
  119. uploaded to SIMTEL and the various anti-virus archives. I intended to
  120. have the program distributed on comp.sys.ibm.pc, but the resignation
  121. of the moderator there will probably delay that.
  122.  
  123. I will also E-mail copies to those I have already promised a copy, but
  124. I simply cannot send copies to everyone interested.  However, if you
  125. are willing to upload the package to a BBS or make it available to a
  126. number of other people, let me know and I'll E-mail you a copy.
  127.  
  128. I will send the package as a XXencoded PKarc file. If you do not have
  129. xxdecode, I can include the source to it (in C).
  130.  
  131. - -frisk
  132.  
  133. ------------------------------
  134.  
  135. Date:    Mon, 08 Jan 90 10:08:25 -0600
  136. From:    "McMahon,Brian D" <MCMAHON@GRIN1.BITNET>
  137. Subject: Re: Questioning ethics at computing sites
  138.  
  139. Jeff_Spitulnik@um.cc.umich.edu tells us of inaction at his institution
  140. upon discovery of a widespread WDEF infestation, and asks:
  141.  
  142. >  What should be done to rid UM of the WDEF virus or of any virus for
  143. >that matter?  How does the bureaucracy at your institution handle it?
  144. >I question the ethicality of a laissez-faire attitude on viruses at
  145. >any institution.
  146.  
  147. While I am unfamiliar with the bureaucracy at U. Mich., it certainly
  148. appears to me that Jeff has made a reasonable, good-faith effort to
  149. gain attention through the usual channels, and has been stone-walled.
  150. Rather than speculating as to why, the first priority should be to
  151. protect users from further damage.  You need a campaign of public
  152. education, and you need it yesterday.
  153.  
  154. I would suggest starting with the student consultants you mentioned in
  155. as online_help receivers.  Give them the tools to detect, remove, and
  156. prevent WDEF (Disinfectant 1.5 with either GateKeeper Aid 1.0.1 or
  157. Eradicat'Em 1.0) and have them put the word out.  If there is another
  158. staffer who is responsible for the students, it may be advisable to go
  159. through him first.  Logon messages, signs in public Mac labs, and
  160. newsletter articles are other possible channels.  Be sure to emphasize
  161. that there's no immediate cause for panic, only prudence.
  162.  
  163. As for the ethical question ... In my personal opinion, KNOWINGLY
  164. allowing unsuspecting users to contract infections is EXTREMELY
  165. irresponsible.  The question is, is the threat really "known" to the
  166. bureaucracy, or is this a case of "not my department?"  If you have a
  167. co-ordinator of micro labs (or some such position), I might suggest a
  168. review of anti-viral procedures ...
  169.  
  170. Brian McMahon  <MCMAHON@GRIN1>
  171. Programmer
  172. Grinnell College
  173. Grinnell, Iowa 50112
  174. (515) 269-4901
  175.  
  176. My own opinions, of course . . .
  177.  
  178. ------------------------------
  179.  
  180. Date:    Mon, 08 Jan 90 14:27:00 -0400
  181. From:    Norman <CS117341@YUSOL.BITNET>
  182. Subject: Virus Scare & Backups
  183.  
  184. > However, I really think that there was a major benefit to all of this [media
  185. > hype over virus scare]
  186. > ...
  187. >The Oct 13 scare made our users [...]FINALLY listen to our pleadings
  188. >to make backup copies of their software and data.
  189.  
  190. Interesting...where I work (NOT York U, by the way), we had just the
  191. opposite happen.  Since there was no apparent danger from the virus,
  192. there's obviously no need for backups.  This belief is somehow
  193. supported by the fact that all 300+ computers in our building and
  194. remote offices survived the scare. (I won't mention the belief by some
  195. that the virus affected IBM labelled computers ONLY).
  196.  
  197. And no amount of pleas or lecturing will get them to change.  The only
  198. thing that seems to have an affect is when somebody drops a PC and
  199. trashes a hard disk in the process (and believe me, it's happened more
  200. than once).
  201.  
  202. Norman
  203. cs117341@yusol.Bitnet                    cs117341@sol.YorkU.CA
  204. cs117341%yusol@mivma.mit.edu
  205.  
  206. Not connected to York U (I'm just a student). Standard disclaimers apply.
  207.  
  208. ------------------------------
  209.  
  210. Date:    Tue, 09 Jan 90 09:18:53 +0000
  211. From:    MCGDRKG@CMS.MANCHESTER-COMPUTING-CENTRE.AC.UK
  212. Subject: Jerusalem B Virus Remover (PC)
  213.  
  214. In reply to Andreas Pikoulas; Virus-l vol3 no.6:
  215.  
  216. I have recently downloaded a program that heals/removes this virus.
  217. It is available from:
  218.                       WSMR-SIMTEL20.ARMY.MIL
  219.            directory: PD1:<MSDOS.TROJAN-PRO>
  220.                 file: M-JRUSLM.ARC
  221.  
  222. Use anonymous FTP to gain access to the server.
  223.  
  224.                  Bob.Gowans
  225. - -----------------------------------------------------------------------------
  226. JANET:       R.Gowans@uk.ac.MCC
  227. Internet:    R.Gowans%MCC.ac.uk@cunyvm.cuny.edu     Dept Civil Eng,
  228. EARN/BITNET: R.Gowans%MCC.ac.uk@UKACRL              U.M.I.S.T,
  229. UUCP:        ...!ukc!umist!R.Gowans                 Sackville Street,
  230.                                                     Manchester.
  231. FAX:         [044 61  | 061] 200-4016               M60 1QD.
  232.  
  233. ------------------------------
  234.  
  235. Date:    09 Jan 90 16:31:43 +0000
  236. From:    munnari!insted.unimelb.edu.au!LGEORGE@uunet.UU.NET (Lord Vader)
  237. Subject: Re: Alternative Virus Protection (Mac)
  238.  
  239. 3XMQGAA@CMUVM.BITNET (Chris Khoury (Sari's Son)) writes:
  240. >       Is there any alternative virus protection, detection init/cdev
  241. > besides vaccine and gatekeeper? I need to save space on my disk, so
  242. > gatekeeper is too large, but vaccine does not protect me disk from
  243. > the other virus's besides Scores and nVir. Any suggestions? I would
  244. > prefer that the program is shareware/PD.
  245. >
  246. >     Chris Khoury
  247. > Acknowledge-To: <3XMQGAA@CMUVM>
  248.  
  249. Have considered RWatcher?  It is configurable.  It can be found with
  250. all the other virus stuff at your friendly neighbourhood ftp outlet
  251. that stocks mac stuff, or just go straight to SUMEX and dont pass go
  252. :)
  253.  
  254. - --
  255. George Stamatopoulos                                    #### ###
  256. La Trobe University -                                   #### ###
  257.         Lincoln School of Health Sciences               #### #####
  258. Computing Unit                                          #### ##### incoln
  259. Melbourne                                               ####
  260. Victoria                                                ##########
  261. Australia                                               ########## a Trobe
  262.  
  263. ------------------------------
  264.  
  265. Date:    Tue, 09 Jan 90 01:13:07 +0000
  266. From:    geof@aurora.com (Geoffrey H. Cooper)
  267. Subject: Re: Virus Trends (and FAXes on PCs)
  268.  
  269. ras@rayssdb.ssd.ray.com (Ralph A. Shaw) writes:
  270. >Nagle@cup.portal.com says:
  271. >
  272. >>     - A FAX message is a bitstream interpreted by an interpreter at
  273. >>       the receving end.  Could it be induced to do something interesting
  274. >>       through the use of illegal bit patterns?
  275.  
  276. One annoying thing you can do is to spew out paper from the remote fax.
  277. The protocol allows the paper length to be anything up to (i think) 65K
  278. lines or so, so you could spew out 25' of paper at a time, finishing
  279. the receiver's roll of paper and so rendering it useless.  Note that
  280. it doesn't take much time to transmit this image, if it is toally
  281. white or black.
  282.  
  283. - - Geof
  284. - --
  285. geof@aurora.com / aurora!geof@decwrl.dec.com / geof%aurora.com@decwrl.dec.com
  286.  
  287. ------------------------------
  288.  
  289. End of VIRUS-L Digest
  290. *********************
  291. Downloaded From P-80 International Information Systems 304-744-2253
  292.