home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.111

< prev

next >

Wrap

Text File  |  1995-01-03  |  27KB  |  642 lines

---

1. VIRUS-L Digest   Monday, 11 Jun 1990    Volume 3 : Issue 111
2.  
3. Today's Topics:
4.  
5. Re: removing Stoned from harddisks (PC)
6. re: Brain (PC)
7. re: Possible virus or trojan (Mac)? Help!!!
8. Re: Possible virus or trojan (Mac)? Help!!!
9. Re: Creation of New Viruses to Sell Product
10. RE: Documented mainframe viral attacks
11. Re: removing Stoned from harddisks (PC)
12. Re: First jailed UK computer h
13. Re: New Virus (PC)
14. Soviet Virus Questions
15. Re: 1451 virus in Yugoslavia (PC)
16. First generation samples (PC)
17. Re: Possible virus (PC)
18. Military use of computer viruses
19. F-PROT version 1.10 (PC)
20. Ping-Pong Ball Virus (PC)
21. Citation request - "What Do You Feed A Trojan Horse"
22.  
23. VIRUS-L is a moderated, digested mail forum for discussing computer
24. virus issues; comp.virus is a non-digested Usenet counterpart.
25. Discussions are not limited to any one hardware/software platform -
26. diversity is welcomed.  Contributions should be relevant, concise,
27. polite, etc.  Please sign submissions with your real name.  Send
28. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
29. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
30. anti-virus, documentation, and back-issue archives is distributed
31. periodically on the list.  Administrative mail (comments, suggestions,
32. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
33.  
34.    Ken van Wyk
35.  
36. ---------------------------------------------------------------------------
37.  
38. Date:    08 Jun 90 12:37:27 -0400
39. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
40. Subject: Re: removing Stoned from harddisks (PC)
41.  
42. > he said that the tech from the disk company claimed
43. > that Stoned actually does destroy the media permanantly.
44.  
45. The Stoned virus that I've seen does nothing special that would
46. tend to destroy media; it just does normal reads and writes
47. via the BIOS INT13 interface.  It is of course possible that
48. there are Stoned variants out there that do nastier things, or
49. hardware that can be permanently damaged as an indirect result
50. of (for instance) having a bad partition table written on it,
51. but I've seen no convincing evidence of either...
52.  
53. DC
54.  
55. ------------------------------
56.  
57. Date:    08 Jun 90 12:48:47 -0400
58. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
59. Subject: re: Brain (PC)
60.  
61. > How does one outsmart the pakistani brain virus. I have found it on
62. > several of my  disks some of which I don't have working backups for.
63.  
64. If you have the usual "Brain" virus on some diskettes, you can
65. just copy the data off of them onto clean diskettes (using COPY,
66. *not* DISKCOPY), and reformat them.   Be very careful, of course,
67. to do this in a machine in which the virus is *not* currently active!
68.  
69. DC
70.  
71. ------------------------------
72.  
73. Date:    Fri, 08 Jun 90 14:32:40 -0400
74. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
75. Subject: re: Possible virus or trojan (Mac)? Help!!!
76.  
77. >       b.  Suddenly icons can't find their applications
78. >       c.  Applications are increasingly unable to open data files or
79. >           find them
80.  
81. This sounds like a corrupted Desktop. Try rebuilding it.
82.  
83. >       d.  The parameters of applications like Versaterm are unaccountably
84. >           changing themselves i.e. the baud rate changes itself or the
85. >           Kermit parameters change for no known reason
86. >       e.  The options of the System and Desktop are unaccountably changing
87. >           themselves i.e. the sound bar is turned up without anyone having
88. >           done it.
89.  
90. These symptoms sound like a damaged System file at the least, possibly
91. some of the other files in the System folder are damaged too. You may
92. also need to replace your battery.
93.  
94. >       f.  There are more system bombs, and other disk and ram error messages
95. >           than I've ever seen before in two years of working with Macs.
96.  
97. This sounds like real hardware trouble. Maybe. Try the other stuff I
98. mentioned first. If the person taking the software was using an old
99. version of the System file (i.e., booted from a floppy), it's remotely
100. possible that may have done it.
101.  
102.  --- Joe M.
103.  
104. ------------------------------
105.  
106. Date:    08 Jun 90 13:35:44 +0000
107. From:    vaxb.acs.unt.edu!ac08@cs.utexas.edu (C. Irby)
108. Subject: Re: Possible virus or trojan (Mac)? Help!!!
109.  
110. mitchell@crcc.uh.edu writes:
111. >      I've got a strange Mac problem and need help.  Monday night, one
112. >   of my colleagues allowed a friend in to the office to steal Mac software
113. >   (using his old Mac disks, of course).  After the appropriate cussing-out
114. >   and running-off, the machine in question (Mac SE, 20Mb hard disk, System
115. >   6.0.3) started acting funny.  Symptoms:
116.  
117. Before you do that- have you tried to reinstall the System software?
118. If your friend accidentally trashed a file or two, that could be the
119. easy fix...
120.  
121. Viruses?  Maybe, but who knows...?
122.  
123. C Irby
124.  
125. ------------------------------
126.  
127. Date:    08 Jun 90 13:40:53 +0000
128. From:    vaxb.acs.unt.edu!ac08@cs.utexas.edu (C. Irby)
129. Subject: Re: Creation of New Viruses to Sell Product
130.  
131. WHMurray@DOCKMASTER.NCSC.MIL writes:
132. >>This leaves a greater potential for companies to profit from the
133. >>creation of new viruses.
134. >
135. > New viruses do not sell product.  Old viruses sell product.  There
136. > are not enough copies of a new virus to be noticed.
137. >
138. > William Hugh Murray, Executive Consultant, Information System Security
139. > 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
140. > 203 966 4769, WHMurray at DOCKMASTER.NCSC.MIL
141.  
142. You're joking, right?
143.  
144. "New virus reported- 1 copy found- get your new virus killer here!"
145.  
146. For example, there are some companies that sell "yearly upgrade
147. support" for X dollars- if there are no new viruses, there *is* no
148. reason for the product...
149.  
150. C Irby
151. ac08@vaxb.acs.unt.edu
152. ac08@untvax
153.  
154. ------------------------------
155.  
156. Date:    Fri, 08 Jun 90 17:52:36 -0400
157. From:    Arthur Gutowski <AGUTOWS@WAYNEST1.BITNET>
158. Subject: RE: Documented mainframe viral attacks
159.  
160. spoelhof@newkodak.kodak.com (Gordon Spoelhof) asks:
161.  
162. >1.  How many mainframe viral attacks are documented?
163.  
164. The ones that come to my mind (and I believe all have been reported
165. here) are the XMAS, BUL, 4PLAY, and HEADACHE execs on VM/CMS and the
166. RTM worm and WANK worm on Unix.
167.  
168. >2.  How many incidents are reported/not reported?
169.  
170. Hard to say.  I suspect that just as with PC and Macintosh viruses, some
171. cases go unreported.
172.  
173. >3.  In general, how are the viruses introduced?
174.  
175. I'm not sure about the Unix worms, as I didn't follow them as closely,
176. but I believe they exploited mail/file xfer bugs/features.  The VM execs
177. used nickname files in PROFS and Rice Mail to send themselves to everyone
178. you knew as they ran.
179.  
180. >4.  What corrective measures had to be taken?
181.  
182. The only VM exec we encountered here was the origional XMAS exec.  Luckily,
183. we had alert tech support staff who monitored this list and Valert-L, caught
184. the thing when it first came in, and nipped it in the bud.
185.  
186. >5.  What preventative measures are taken?
187.  
188. One, never trust unexpected files from unknown sources.  Even though it may
189. not be a virus or worm as such, it has the potential of being a Trojan.
190. Two, monitor Virus-L/Valert-L for warnings of new/recurring problems.
191. Three, make sure your operations and tech support staff monitor things
192. like (on VM) spool space filling up with a certain filename, perhaps even
193. setting up filters in RSCS to reject all such files (when a confirmed report
194. is received).  News facilities to spread the word to users to be on the
195. lookout for such a file also help.
196. These are things that we've done to keep attacks to a minimum.
197.  
198. >6.  What is the level of risk?
199.  
200. So far, to my knowledge (corrections welcomed if I'm wrong), the only
201. threat the VM execs have posed is filling up spool space, which can
202. cause VM to crash, if the problem goes unnoticed.  However, there always
203. is the risk of a virus/worm carrying a payload that will format your A-disk,
204. erase certain key files, or whatever.
205.  
206. Basically, we try not to get caught with our britches down.  This list and
207. Valert-L are the good sources for new emergences. And staff awarness, along
208. with past experiences keep us on our toes.
209.  
210.   /==="   Arthur J. Gutowski, System Programmer
211.  : o o :  MVS & Antiviral Group / WSU University Computing Center
212.  : --- :  Bitnet: AGUTOWS@WAYNEST1  Internet: AGUTOWS@WAYNEST1.BITNET
213.   \===/                                       AGUTOWS@cms.cc.wayne.edu
214.  Have a day.
215.  -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
216.  Waiter:  Would you care for some coffee, sir?
217.  DesCartes:  I think not.                   ...*Poof!*, gone.
218.  
219. ------------------------------
220.  
221. Date:    09 Jun 90 01:27:10 +0000
222. From:    btr!public!gio@decwrl.dec.com (Giovanni V. Guillemette gio@btr.com)
223. Subject: Re: removing Stoned from harddisks (PC)
224.  
225. plains!person@uunet.UU.NET (Brett G. Person) writes:
226. >I had a friend call me who told me that Stoned actually damaged the
227. >media on the hard drive.  He said they lost a full ten Meg. He took
228. >the drive through a low-level + dos format, and only wound up with
229. >20Meg on a 30 meg disk.
230. >
231. >Now, I know that a piece of software isn't supposed to physically
232. >destroy media, but he said that the tech from the disk company claimed
233. >that Stoned actually does destroy the media permanantly.  I don't
234. >pretend to know everything about the pc, do I told him I'd ask here.
235. >My bet is that the drive was either mis-labled as a 30 meg, or somehow
236. >partitioned wrong.
237. >
238. >- --
239. >Brett G. Person
240. >North Dakota State University
241. >uunet!plains!person | person@plains.bitnet | person@plains.nodak.edu
242.  
243. This has happened to me before, but not in relation to a virus.  It happened
244. when I tried to format an RLL drive in MFM format, as RLL offers 50% more
245. data per track.  Run CHKDSK on the disk.  If you get a message to the effect
246. that you have 10 megs of bad sectors, then it's media damage.  If not, then
247. it's because you didn't partition the disk properly.  Here's how:
248.  
249. Use a program like Ontrack's Disk Manager, or Speedstor to do your low-level
250. format.  It will ask you for the drive type - and, in both cases, you should
251. be able to enter the specific disk (assuming it's a Seagate, but, even if it's
252. not, Speedstor might still have it) by brand and model.  Then, let the program
253. partition it for you, using the *default* values.  What it will do is to create
254. a small (<1MB) MFM partition for DOS to boot off of (obviously, that's where
255. you load your system), and another 31MB RLL partition, which DOS will only be
256. able to access after loading the device driver that Disk Manager (or Speedstor)
257. loads automatically on the first partition for you.  Hope I didn't confuse you.
258.  
259. One caveat:  The disk program will install a device driver and a default
260. CONFIG.SYS file.  Make sure you don't remove the "device=[driver].sys" file
261. from your CONFIG.SYS, or you won't be able to access the 31MB partition!
262.  
263. Let me know if that helps.  This is my first posting ever to the net (I'm new
264. to Unix, but not DOS), and I don't want to think I'm wasting bandwidth.
265.  
266.     - Gio
267. gio@btr.com
268. 73677,2727@compuserve.com
269.  
270. (I may be new to Unix, but I've heard of the line eater.  Eat this!)
271.  
272. ------------------------------
273.  
274. Date:    Sat, 09 Jun 90 07:44:00 +0000
275. From:    Costas Krallis <g7ahn@compulink.co.uk>
276. Subject: Re: First jailed UK computer h
277.  
278. An important point is that he was convicted for serious criminal
279. damages, not for hacking which is not really illegal by itself. He was
280. not just a hacker but a computer vandal.
281.  
282. Costas Krallis
283. London, UK
284.  
285. E-Mail:   <g7ahn@compulink.co.uk>
286.  
287. PS: The word "hacker" here is used to describe a "password cracker"
288.     but has also other meanings. Please, let refrain from the flame
289.     war about it.
290.  
291. ------------------------------
292.  
293. Date:    Sat, 09 Jun 90 07:38:00 +0000
294. From:    Costas Krallis <g7ahn@compulink.co.uk>
295. Subject: Re: New Virus (PC)
296.  
297. Yuval Tal <NYYUVAL@WEIZMANN.BITNET> writes:
298.  
299. > I've just received a copy of a virus called "Armagedon the GREEK".
300. > Have anyone ever seen this virus? SCAN 62 did not identify this virus
301. > so I consider this as a new virus. I've checked it a bit and from what
302. > I found out, at a certain time, the virus sends a special command to
303. > your ports which a Hayes compatible modem can understand!
304.  
305. Is it really a virus or just a trojan ? Any inteeresting copyright
306. strings in the program ?
307.  
308. > Greek fellows: What does the phone number 081-141 mean?
309.  
310. 081-141 is the phone number where you can hear the time announcement
311. in Iraklion, Crete.
312.  
313. Costas Krallis G7AHN
314. E-Mail:  <g7ahn@compulink.co.uk>
315.  
316. ------------------------------
317.  
318. Date:    Sat, 09 Jun 90 15:42:00 -0500
319. From:    Sanford Sherizen <0003965782@mcimail.com>
320. Subject: Soviet Virus Questions
321.  
322. I recently returned from a technical study mission to the USSR,
323. participating with a group of specialists reviewing EDP audit, data
324. security, and quality assurance.  Experts from universities,
325. ministries, and financial organizations (both state and private) kept
326. mentioning their concerns with virus (Russian pronunciation=vee'rus)
327. attacks. There have been a number of virus problems even though there
328. is *very* restricted access to machines and minimal network links to
329. the outside.  Soviet systems seem ill prepared to prevent virus
330. epidemics, except for some homegrown scanning programs. Current plans
331. to expand computerization within the public as well as private sectors
332. will create opportunities for many problems.
333.  
334. I am interested in hearing from anyone who has information about the following:
335.  
336.         1.  Incidents of virus problems in the USSR (I have some details from
337.  
338.             the November, 1988 period but nothing else.)
339.  
340.         2.  Vaccines or other virus prevention/detection programs in the USSR
341.  
342.         3.  Western virus prevention/detection programs that are available for
343.  
344.             export to the USSR
345.  
346. Finally, I mentioned Virus-L in my talks and there were many people
347. who were interested in obtaining its messages.  Does anyone know of
348. existing links that could be used to make Virus-L available to Soviet
349. researchers and other interested parties given current official and
350. technical restrictions over their receiving external messages?
351.  
352. Any assistance that you can offer will be appreciated.  I plan to send
353. information to people there and will be writing a number of articles
354. on the findings from my trip.
355.  
356. Nice to be back in the U.S.
357.  
358. Sandy Sherizen
359.  
360. ******************
361.  
362. Sanford Sherizen
363.  
364. RESPOND VIA-------------------> MCI MAIL:   SSHERIZEN  (396-5782)
365.            -------------------> FAX:        508-879-0698
366.            -------------------> PHONE:      (508) 655-9888
367.  
368. ******************
369.  
370. ------------------------------
371.  
372. Date:    Sat, 09 Jun 90 22:41:00 -0400
373. From:    Paul Coen <PCOEN@drew.bitnet>
374. Subject: Re: 1451 virus in Yugoslavia (PC)
375.  
376. >VirusName       : ?, (1451COM/1411EXE)
377. >Type            : indirect executable code infector
378. >Infects         : COM and EXE files
379. >VirusBodyLength : 1451 bytes (COM), 1411 bytes (EXE)
380. >Expanding victim: YES, to paragraph boundary, both COM and EXE
381. >Location in RAM : before end of memory
382. >Steals interrupt: 21h
383. >Intercepts func.: 40h (write to file), 4Bh (load & execute)
384. >Attacks         : Sept., Oct., Nov., Dec., each year
385. >Action          : When executing int 21h, func. 40h (write to file)
386. >                  intercepts the call. If triggered the action code
387. >                  increments register DX by 0Ah, changing the address
388. >                  of buffer to be written to disk.
389. >Consequences    : wrong data (or garbage) written to disk
390.  
391. From the trigger time, location in RAM, and the action/result, this
392. sounds remarkably like the 1554/1559 virus.  We were hit with it in
393. March/April here at Drew U.  One thing we noticed was that it doesn't
394. always add the same amt. to a file -- ours tended to be around 1300+
395. bytes.  However, Viruscan and the dissasembly indicated that it was
396. the virus commonly known as the 1554.  I'd guess that yours is the
397. same beastie.
398.  
399. I could be wrong, but I think it originated in Taiwan.  My first
400. recollection of it was when someone from Taiwan posted a UUENCODED
401. .COM file (chkdsk, I think) containing the virus to the VALERT-L list.
402.  
403. I haven't heard of too many places getting hit -- supposidly we were
404. only the third or so reported hit in the United States.
405.  
406. We (Drew U. Academic Computer Center) figured that it was probably
407. written by/for students in particular -- since the trigger time
408. roughly corresponds to the fall semester in many places.
409.  
410. McAfee's viruscan (the latest version in v63) detects the 1554.  I'd
411. be interested in knowing if that is what it identifies your virus as.
412.  
413. One other item of note -- the virus we were hit with doesn't go TSR
414. by calling the standard interrupt(s).  It just writes itself in the
415. upper 128K (on a 640K machine) and hopes nothing writes over it.
416. Because of this, it blows right by programs watching the interrupts,
417. like FluShot+.  If this is the method that your virus uses, I'd say
418. it's almost certainly the same virus -- or a variant.
419.  
420. It's a nasty bug -- it might look like a disk error to the uninformed.
421. Good luck with it.
422.  
423.                         ------------------------
424. Paul Coen                                               Drew University
425.            pcoen@drew.edu               pcoen@drunivac.bitnet
426.  
427. ------------------------------
428.  
429. Date:    Sun, 10 Jun 90 14:16:38 +0000
430. From:    frisk@rhi.hi.is (Fridrik Skulason)
431. Subject: First generation samples (PC)
432.  
433. When the author of a virus wants to get his creation into circulation,
434. he might send a copy of it to a virus researcher - probably because it
435. is a fast and easy way to get the publicity he wants.
436.  
437. Sometimes this is done anonymously, but the author could just as well
438. claim to have "found" the virus on some computer.  It is even possible
439. that this might be done in order to establish a good working
440. relationship with the virus researcher - with possible virus exchanges
441. in the future in mind.
442.  
443. It is so much easier to write a virus when a starting point, in the
444. form of an existing virus is provided.
445.  
446. The question is: Has this ever happened ? Are any of the virus samples
447. that have been made available to researchers "first-generation copies"
448. directly from the virus authors ?
449.  
450. Several such cases are known - Murphy-2, New Vienna, the TP-series and
451. Icelandic-2, and the Pentagon "virus" might also be included in the
452. group.
453.  
454. There are also a few cases where the sample originally made available
455. for research is not a typical infected program, as it includes a text
456. string or a piece of code which is not included when the virus
457. replicates.  In some cases the virus is structurally different,
458. missing a 3-byte JMP at the beginning for example.  This only seems to
459. be possible if...
460.  
461.        ...the person who made the virus available is the author
462. or
463.        ...he obtained the virus directly from the author
464.  
465. This article is written because a few days ago I obtained two new
466. viruses, where the samples are different from typical infected
467. programs - clearly the samples were first-generation programs.
468.  
469. Those two viruses were called SVIR.EXE (a 512 byte direct-action .EXE
470. file infector) and 13J.EXE, a 1201 byte encrypted .EXE file infector.
471.  
472. Some previous such cases were known, including the Amoeba (a 1392 byte
473. .EXE and .COM infector), but I suspect that several other viruses have
474. also been distributed by their authors this way.
475.  
476. - -frisk
477.  
478. Fridrik Skulason      University of Iceland  |
479. Technical Editor of the Virus Bulletin (UK)  |  Reserved for future expansion
480. E-Mail: frisk@rhi.hi.is    Fax: 354-1-28801  |
481.  
482. ------------------------------
483.  
484. Date:    11 Jun 90 03:46:33 +0000
485. From:    woody@chinacat.Unicom.COM (Woody Baker @ Eagle Signal)
486. Subject: Re: Possible virus (PC)
487.  
488. IBNG300@INDYVAX.BITNET (SEAN KRULEWITCH) writes:
489. > prompt.  When I try again, I get an incorrect Dos version error.  If I
490. > then proceed to type ver it says Dos 3.41.  However I am running Dos
491. > 4.01.  If i type ver a few more times it continues to say dos 3.41.
492.  
493. This sounds like one of the 4.01 bugs.  DON'T EVEN LET dos 4.X NEAR a
494. machine.  It causes all kinds of strange problems.  I have a long
495. string of friends and aquaintances who have tried it, and have had to
496. go back to dos 3.x for reliablity.  The technical reasons for this are
497. many and varied, but the major culprit seems to be the 32 bit fat
498. table.  Some of the function calls have been modified.  Specificaly,
499. some of the older calls did not specify the contents ofthe CX register
500. pair.  Under DOS 4.01 the CX register pair is checked for a specific
501. value, to enable 32 bit fat stuff.  Since this was not a requirement
502. that CX have anything in it, some programs use it for a counter etc.
503. etc.  These programs can crash bigtime in certain cases.  DON'T USE
504. DOS 4.X
505.  
506. Cheers
507. Woody
508.  
509. ------------------------------
510.  
511. Date:    Mon, 11 Jun 90 10:12:36 +0100
512. From:    Anthony Appleyard <XPUM04@prime-a.central-services.umist.ac.uk>
513. Subject: Military use of computer viruses
514.  
515. {A.Appleyard} (email: APPLEYARD@UK.AC.UMIST), Mon, 11 Jun 90 09:54:04 BST
516. ......................................................................
517. from UK newspaper 'The Sunday Telegraph', Sunday 10 June 1990
518.  
519. [Germ war looks to computer virus], by Roger Highfield, Science Editor
520.  
521. A new era of warfare - "electronic garm warfare" - is about to be launched.
522. Computer viruses are to be developed  into  weapons.  Viruses,  destructive
523. rograms  that  can  propagate  undetected  through computer networks, could
524. wreak havoc on battlefield computers, disabling communications  and  making
525. weapons  useless.  "We're  looking  to see if we can develop some malicious
526. software concepts.",  said  Dr.  Richard  Poisel,  chief  of  research  and
527. technology  at  the  secretive  US  Army  Centre  for  Signals  Warfare  in
528. Warrenton, Virginia, USA. One security expert, Professor Lance  Hoffman  of
529. George  Washington  University, said advanced nations were most vulnerable.
530. "Their military systems are much more dependent on computers.".
531.  
532. Details of the attack virus are  contained  in  the  "Program  Solicitation
533. 90-2" issued in the Defence Department's Small Business Innivation Research
534. Programme.   Entitled  "Computer  Virus  Electronic  Counter  Measure",  it
535. outlines how the research "shall be to determine the  potential  for  using
536. computer viruses as an electronic counter measure technique against generic
537. military  communications  systems/nets.". The project not only calls on the
538. company to design the viruses but to determine if they can  be  transmitted
539. by  radio  to  infect the enemy's computer. One potential target of viruses
540. could be organizations like the Government Communications  Headquarters  in
541. Cheltenham  (UK),  which  intercept  foreign radio transmissions and decode
542. them by computer. Once in an enemy system, the virus could lurk  undetected
543. until  required.  It  could  scramble  data,  infect  another computer, and
544. possibly even go on to delete itself.
545.  
546. The US Department of Defence has offered an initial $50,000  to  businesses
547. prepared to undertake a feasibility study.
548.  
549. ------------------------------
550.  
551. Date:    Mon, 11 Jun 90 10:40:17 +0000
552. From:    frisk@rhi.hi.is (Fridrik Skulason)
553. Subject: F-PROT version 1.10 (PC)
554.  
555. F-PROT version 1.10 is now finished.  The major changes since 1.09 include:
556.  
557.           * Scanning and disinfection of LZEXE-packed files.  This is rather
558.           slow, as it is written in C.  I version 1.11 this routine will be
559.           written in assembly language.
560.  
561.           * A bug in F-DISINF that prevented it from removing the 'Stoned'
562.           virus from hard disks has been corrected.
563.  
564.         * Some command line options added: /AUTO to automatically remove
565.           any infections found, without asking.
566.  
567.         * Support for the Bulgarian version (P16) of DOS.
568.  
569.         * The programs can now detect, stop and remove numerous new viruses -
570.             including Shake, Victor, 5120, Jo-Jo, Liberty, Murphy, 800, Fish 6
571.           and Form. The number of virus families is now 81, major variants
572.           (different infective lengths for example) are around 120 and total
573.           number of variants is over 150.
574.  
575. The German version is not ready yet - those I have promised a copy of
576. it will have to wait a bit longer.
577.  
578. I will send a copy to those on my mailing list tomorrow, as well as
579. upload a copy to SIMTEL, if possible - we often have problems reaching
580. SIMTEL from here.
581.  
582. - -frisk
583.  
584. Fridrik Skulason      University of Iceland  |
585. Technical Editor of the Virus Bulletin (UK)  |  Reserved for future expansion
586. E-Mail: frisk@rhi.hi.is    Fax: 354-1-28801  |
587.  
588. ------------------------------
589.  
590. Date:    Mon, 11 Jun 90 13:36:35 +0000
591. From:    Bechaa Mahmoud <SBECHAA@FRECCL11.BITNET>
592. Subject: Ping-Pong Ball Virus (PC)
593.  
594. I found the ping-pong ball virus on 3 of our pc hard disks.  Symptoms:
595. a ball bouncing on the screen and destroying characters.  The program
596. seems to choose whether to activate itself or not. So, we can
597. sometimes see it run and sometimes not. The problem is : I am not very
598. used to viruses and to the way to fight them. I would like to know if
599. such a virus can attack EXE and COM files and what is the best way to
600. definitively stop the infection.
601.  
602. I have tried reinstalling the system files by a 'SYS c:' command, but
603. many students have disks already infected and they reintroduce the
604. virus when they work on the PC. I wonder if programs like SAM (on Mac)
605. exists for pc systems. It would be a good solution, the floppy disk
606. being always controled and treated if an infection is detected. Can
607. anyone give me all the suggestions to help me stop the virus.
608.  
609. i                           Groupe ESC Lyon                             i
610. i                      23 Avenue Guy de Collongue                       i
611. i                            69130 - Ecully                             i
612. i                                France                                 i
613.  
614. ------------------------------
615.  
616. Date:    Mon, 11 Jun 90 08:32:00 -0500
617. From:    JACOBY@MSUS1.BITNET1
618. Subject: Citation request - "What Do You Feed A Trojan Horse"
619.  
620. Would anyone have the text of Clifford Stoll's address
621. "What do you feed a Trojan horse?" given at Proceedings of the 10th National
622. Computer Security Conference (Baltimore, Md. Sept 21-24, 1987)
623.  
624. As usual, send responses, comments directly to me.  I will summarize
625. for the net if there is interest.
626.  
627. Brian Jacoby, JACOBY@MSUS1.BITNET
628.  
629. In tribute to Jim Henson, a.k.a. Grover:
630.  
631.    N    N EEEEE  AAA  RRRR
632.    NN   N E     A   A R   R
633.    N  N N EEE   AAAAA RRRR
634.    N   NN E     A   A R  R
635.    N    N EEEEE A   A R   R         far
636.  
637. ------------------------------
638.  
639. End of VIRUS-L Digest [Volume 3 Issue 111]
640. ******************************************
641. Downloaded From P-80 International Information Systems 304-744-2253
642.