home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.55

< prev

next >

Wrap

Text File  |  1995-01-03  |  24KB  |  508 lines

---

1. VIRUS-L Digest   Thursday,  8 Mar 1990    Volume 3 : Issue 55
2.  
3. Today's Topics:
4.  
5. VIRUS-L/comp.virus delays
6. Disk Killer Virus (PC)
7. Re: Recover from *Virus* Infection (PC)
8. Re: Viruses and Copyrights (Part 2)
9. Re: Scanning MAC diskettes on a PC
10. Is the Joker a virus? (PC)
11. Re: Scanning MAC diskettes on a PC
12. Jerusalem B Virus (PC)
13. Jerusalem B
14. Copyrights of virus codes & international law
15. Re: RE: Viruses and Copyrights (Part 2)
16. The Twelve Tricks (PC)
17.  
18. VIRUS-L is a moderated, digested mail forum for discussing computer
19. virus issues; comp.virus is a non-digested Usenet counterpart.
20. Discussions are not limited to any one hardware/software platform -
21. diversity is welcomed.  Contributions should be relevant, concise,
22. polite, etc.  Please sign submissions with your real name.  Send
23. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
24. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
25. anti-virus, documentation, and back-issue archives is distributed
26. periodically on the list.  Administrative mail (comments, suggestions,
27. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
28.  
29.    Ken van Wyk
30.  
31. ---------------------------------------------------------------------------
32.  
33. Date:    Thu, 08 Mar 90 13:30:00 EST
34. From:    Kenneth R. van Wyk <krvw@cert.sei.cmu.edu>
35. Subject: VIRUS-L/comp.virus delays
36.  
37. Sorry about the delay in getting this digest out, folks.  We've been
38. re-organizing our internal network somewhat...  As a result, I have a
39. new email address: krvw@CERT.sei.cmu.edu.  The old address,
40. krvw@sei.cmu.edu will continue to work, but the new one is preferred -
41. also, outgoing digests and news are now being sent from the new
42. address.
43.  
44. Sorry about any inconvenience.
45.  
46. Cheers,
47.  
48. Ken
49.  
50. Kenneth R. van Wyk
51. Moderator VIRUS-L/comp.virus
52. Technical Coordinator, Computer Emergency Response Team
53. Software Engineering Institute
54. Carnegie Mellon University
55. krvw@CERT.SEI.CMU.EDU
56. (412) 268-7090  (24 hour hotline)
57.  
58. ------------------------------
59.  
60. Date:    Tue, 06 Mar 90 16:29:03 -0500
61. From:    Ed Brill <ebrill@silver.ucs.indiana.edu>
62. Subject: Disk Killer Virus (PC)
63.  
64. A user on campus reports the following message:
65.  
66. "Disk Killer V1.0 by Computer Ogre 4/1/89" along with "Do not turn off
67. this machine or remove the disk from the drive during processing".  An
68. older version of McAfee's program did not find any information.  As
69. far as the system owner can tell, no data has been damaged.  Has
70. anyone encountered this program before, and have any ideas on what to
71. do about it?
72.  
73.  Ed Brill -- University Computing Services | SysOp, The IU PC-Link Central BBS
74.  Indiana University, Bloomington, IN 47405 | (812) 855-7252 -- 3/12/24/96/14.4
75.  INTERNET:  ebrill@subcomm.ucs.indiana.edu | KA9TAW @ K9IU  [ham radio packet]
76.  "You mean BITNET isn't the only network we have to access the outside world?"
77.  
78. ------------------------------
79.  
80. Date:    06 Mar 90 21:43:44 +0000
81. From:    kelly@uts.amdahl.com (Kelly Goen)
82. Subject: Re: Recover from *Virus* Infection (PC)
83.  
84. gm@cunixa.cc.columbia.edu (Gary Mathews) writes:
85. >moncol!c2810@princeton.edu (SATYAJIT CHATTERJEE) writes:
86. >>We discovered the Stoned Virus in our PC's recently. Does anyone have
87. >>any suggestions on how to get rid of this. We have hundreds of users
88. >>who have their own floppies, most of them infected I suppose. It would
89. >>be difficult to call them all in. Is there some way of automating
90. >>this? Any suggestions will be appreciated.
91. >
92. >         All the common virus problems can be cured by the public
93. >domain program cleanp written by John McAfee.  It can cure up to
94. >about 65 or so known viruses.  The latest version is 58, I think,
95.  
96. Just A small Note here The McAfee Utilities ARE NOT PUBLIC DOMAIN They
97. are in Fact SHAREWARE or commercial licensing... if you wish to
98. utilize them on a day to day basis you should ethically pay the
99. requested fee...  (for the amount of protection you are obtaining its
100. REAL CHEAP...!!)  no this isnt a flame just a reminder that shareware
101. will disappear or go completely commercial if WE dont support it.....
102.           cheers
103.           kelly
104.  
105. ------------------------------
106.  
107. Date:    06 Mar 90 21:53:31 +0000
108. From:    kelly@uts.amdahl.com (Kelly Goen)
109. Subject: Re: Viruses and Copyrights (Part 2)
110.  
111. ZDEE699@ELM.CC.KCL.AC.UK (Olivier Crepin-Leblond) writes:
112. >In VIRUS-L V3.51 the moderator (K. Van Wyk) writes in an article
113. >by David Brierley <davidbrierley@lynx.northeastern.edu>:
114. >>Subject: Viruses and Copyyrights (Part 2)
115. >>
116. >>[Ed. For what it's worth, I believe that some versions of the Brain
117. >>virus included a copyright notice in the ASCII header.]
118. >
119. >The Brain virus was written by Mohammed Farooq Alvi in Lahore
120.  
121. Just as additional Note due to a pecularity in Pakistani law ...
122. there is NO Copyright Law.... Mohammed wasnt selling copies of his own
123. software he was selling illegally copied Commercial software
124. packages... Pakistani use copies wouldnt be infected but Americans and
125. westerners in general would recieve infected copies...  Intrusive copy
126. protection to protect illegally purloined software ISNT copy
127. protection its simply one unethical act in addition to illegal
128. copying.......
129.  
130. >(Pakistan) and was used initially to protect their own software from
131. >being pirated.  The Alvi brothers sold "bad" copies of their programs
132. >to Americans who then had to pay an additional amount of money to get
133. >the program they bought to work. That's probably why there was a
134. >copyright notice included in the header.
135.  
136.  
137. ------------------------------
138.  
139. Date:    06 Mar 90 15:32:12 +0000
140. From:    MINICH ROBERT JOHN <minich@a.cs.okstate.edu>
141. Subject: Re: Scanning MAC diskettes on a PC
142.  
143. MAINT@UQAM.BITNET (Peter Jones) writes:
144. > After reading how the WDEF virus on the MAC propagates when an
145. > infected disk is inserted in the MAC, I would like to suggest the
146. > approach of using a PC with a 3 1/2 drive to scan the MAC diskettes
147. > and check for viruses. Assuming the PC hardware can read everything
148. > the MAC can, this would be safer, IMHO, than using a MAC for this
149. > task, for the chance of a virus being able to infect both a MAC and a
150. > PC seem remote.
151.  
152.   There are some bad assumptions in the above. 1) PCs cannot read
153. Macintosh formatted floppies, unless you have some sort of hardware
154. specifically made for that purpose. 2) WDEF travels when an infected
155. disk is inserted into a an UNPROTECTED Mac. 3) There is a free,
156. easy-to-use program called GateKeeper- Aid that, when placed in the
157. System Folder of the startup disk, will kill WDEF on ANY disk
158. "touched" by the Mac at startup time or any time before a reboot.  If
159. you have an infected Mac and you put GateKeeper-Aid in your Sys Folder
160. and reboot, you no longer have WDEF. From that point on, just
161. inserting an infected disk will activate GK-A, which will remove WDEF.
162. Real simple. Expense: ~10K on the startup disk.
163.   Aside from the facts that PCs don't read Mac disks and WDEF is the
164. easiest virus to prevent/stop/remove/be-rid-of, someone would have to
165. write the soft- ware for the PC that recognizes the resource fork of
166. files that Macs use. This is not a minimal task, whereas a Mac program
167. that uses the Mac's OS is pretty trivial to write. Other virii are a
168. bit more difficult to remove, but still not at all difficult. (The
169. changes they make are known and the reversal of such changes is almost
170. always a simple remove XX and YY, copying this bit of data from XX
171. which was originally here in ZZ, part of the REAL program. OK, take my
172. word for it -- this is NOT the programming challenge of the year by a
173. long shot.) The removal is the easy part. Reading a Mac disk without
174. the Macs OS is bit more of a trick.
175.  
176. > Using the MAC to scan DOS diskettes may also be possible, but
177. > something would have to be done to prevent the MAC from assuming the
178. > disk is legitimate when inserted.
179.  
180.   I *think* you refer to the way that Macs respond to a disk being
181. inserted automatically whereas PCs don't care. A Mac CAN read MS/DOS
182. 1.4MB floppies (not all Mac models, though...) and the mounting prob
183. could be worked around, but overall, using a completely different
184. computer to scan a given disk is quite a programming challenge (at
185. least in one direction) not to mention, chances are that anything the
186. non-native virus checker found would certainly be detectable/treatable
187. at a much earlier date by a native virus checker. And would you be
188. willing to lag behind a few months after a virus became wide- spread
189. before you could stop or deal with it?
190.  
191. > This approach would also avoid the casual approach taken by some lab
192. > supervisors, who simply put scan/disinfection tools on one of the lab
193. > machines, without making sure
194. > 1) The machine is booted from a "clean" operating system
195. > 2) The user is aware of how to use the tools properly.
196.  
197.   I don't know enough of the PC world to comment about this, but for
198. Macs, the virus prevention combo of GateKeeper-Aid and Vaccine will
199. stop all the virii *I* know of from spreading. GK-A will remove WDEF
200. infections and Vaccine will either flag suspicious modifications
201. attempted by virii, or crash, both of which give a pretty good
202. indication a virus is present. If you dedicate a Mac to checking for
203. virii (an admittedly expensive proposition -- if one Mac has
204. Multifinder running, keeping Disinfectant going is an elegant sort of
205. solution) you could have Vaccine and GK-A in the Sys Folder and have
206. Disinfectant (a free, thorough detection/removal program) running in a
207. mode where it scans any floppy inserted into a drive and removes any
208. virii found, spitting the floppies out after its done. A dedicated Mac
209. could even have the mouse removed, effectively crippling it for any
210. other uses.
211.  
212. > With this [scan Mac disks on PCs] approach, virus victims would have to go
213. > to a special station to be disinfected.
214. > Peter Jones     MAINT@UQAM     (514)-987-3542
215.  
216.   I think that's just what about what I suggested, more or less. In
217. summary, using a PC to disinfect Mac disks is an interesting idea, but
218. more likely it is a lot more trouble than it's worth. The mac virii
219. are easy to catch with currently available software. WDEF, the most
220. virulent virus I know of, is also the easiest to stop. (If someone
221. happens to be using a Mac that has GK-A in the Sys Folder, just pop in
222. your disk for a sec, and if WDEF is there, you'll find out, and then
223. it will be gone! No need to interrupt work to run a virus scanning
224. application!)
225.   Vaccine will stop all other virii that I know of from spreading, but
226. you must 1) have it on the startup disks used to so that Vaccine is
227. present when the virus tries to move, usually with the starting of a
228. program and 2) run a virus scanning program to find and remove a
229. stopped virus.
230.   Disinfectant will find and remove all the known Mac virii and is
231. easy to use.
232.  
233.   All the mentioned software is 100% free and easily accessible on the
234. net, most notably the info-mac archives at Sumex-aim.stanford.edu.
235.  
236.   If your Macs have hard disks, put GK-A and Vaccine in the Sys
237. Folder, and you'll stop all the virii I know of from spreading. If you
238. use floppy system (OSU does at the moment...), at least put GK-A and
239. Vaccine on any startup disks you provide and it will be pretty obvious
240. when a virus shows up, at which point Disinfectant can remove the
241. virus causing the problem.
242.  
243. Robert Minich
244. Oklahoma State University  (Just a concerned student, no *official* title)
245. minich@a.cs.okstate.edu
246.  
247. Disclaimer: I've re-read this a couple times for accuracy. All the
248. above is to the best of mine knowledge true, and is definitely true in
249. spirit. (Any challenges?) If there are any errors or questions, send
250. me mail and I'll try to help.
251.   The virus problem on the Mac is not a difficult one to deal with,
252. even though in a public lab you will have more people than you can
253. believe bringing in infected disks. The best we can do is "the BEST we
254. CAN do." That includes letting users know what is going on and trying
255. to explain how to practice safe HEX, etc. (A nice LARGE posting in a
256. prominent place could save a LOT of aggravating questions. A flyer
257. would also be nice to give more detailed info for those who ask. That
258. will cut the number of questions down dramatically...)
259.  
260. A LAST LITTLE NOTE ON SOMETHING BEING DONE TO HELP PUT THIS VIRUS
261. STUFF BEHIND ALL OF US
262.  
263.   I have read somewhere here in the news that Apple put out a note
264. mentioning that copy protection schemes on the Mac were likely to fail
265. with some unspecified new hardware. (I don't know of any time frame on
266. this...) Basically, they said that it would not be possible to access
267. the hardware from software, I presume as a safety measure to prevent
268. virii and other similar ilk from doing damage by bypassing the OS.
269. This will be a welcome change. If anyone from Apple is reading this,
270. THANKS IN ADVANCE! Hopefully this is just ONE measure in defending our
271. computers against virii.
272.   I would like to see EVERY manufacturer take such measures. (Note
273. that you can always rest assuered that a locked floppy [the write
274. protect tab set to lock] on a Mac is a READ ONLY disk as the Mac
275. drives use a hardware interlock.) Still, the above development is much
276. much much better.
277.  
278. ------------------------------
279.  
280. Date:    Wed, 07 Mar 90 10:55:51 +0000
281. From:    frisk@rhi.hi.is (Fridrik Skulason)
282. Subject: Is the Joker a virus? (PC)
283.  
284. Some of you may have a copy of the Joker (or Jocker) program from Poland,
285. the one that arrived in the same package as the W13 and Vcomm viruses.
286.  
287. The question is - is this program a virus ?
288.  
289. I have not yet been able to get it to replicate, but McAfee claims it
290. is a virus.
291.  
292. So, those of you with a copy of the program - please send me a note if
293. you have been able to make it behave like a virus.
294.  
295. While on the subject of the Polish viruses - we really need a
296. different name for the Vcomm virus.  The reason for the name is that
297. the disassembly was named VCOMM.ASM.  However, it had been created by
298. the program SOURCER, from "V communications" (an exellent product, by
299. the way) but because the virus is in no way connected the company, the
300. name is hardly suitable.
301.  
302. Any suggestions ?  "Polish virus" ?  "Polish EXE virus" ?
303.  
304. - -frisk
305.  
306. ------------------------------
307.  
308. Date:    Wed, 07 Mar 90 08:57:02 -0500
309. From:    Brian Piersel <SPBK09@SDNET.BITNET>
310. Subject: Re: Scanning MAC diskettes on a PC
311.  
312. On Tue, 06 Mar 90 01:12:47 -0500 Howard Haruo Fukuda said:
313. >MAINT@UQAM.BITNET (Peter Jones) writes:
314. >>After reading how the WDEF virus on the MAC propagates when an
315. >>infected disk is inserted in the MAC, I would like to suggest the
316. >>approach of using a PC with a 3 1/2 drive to scan the MAC diskettes
317. >>and check for viruses. Assuming the PC hardware can read everything
318. >>the MAC can, this would be safer, IMHO, than using a MAC for this
319. >>task, for the chance of a virus being able to infect both a MAC and a
320. >>PC seem remote.
321. >
322. >I don't think a PC equiped with a 3.5" drive can read a Mac formatted
323. >disk.  A Mac formats the disk to 800K by using a variable speed
324. >controller which puts more data on the outer rings of the disk than on
325. >the inner ones.  I'm not sure if it's possible to override the ROM on a
326. >PC, but this would be pretty extreme measures.  IMHO it's not really
327. >neccessary to do this.
328.  
329. I've tried to read an 800K CP/M disk (formatted on a C-128) on a PC,
330. and the hardware just isn't capable of doing that. In this case, the
331. disks have 10 sectors/track, and PC drives can't read more than 9.  In
332. the case of the Mac, with variable speed drives, that sure wouldn't
333. work without hardware modifications. No way to change drive speed
334. through software.
335.  
336. - - Brian Piersel   SPBK09@SDNET.BITNET
337.  
338. ------------------------------
339.  
340. Date:    07 Mar 90 17:58:56 +0000
341. From:    gt0159a%prism@gatech.edu (LEVINSON,MARC LOUIS)
342. Subject: Jerusalem B Virus (PC)
343.  
344. We have just experienced a rash of Jerusalem B in our MS-Dos machines
345. in the Industrial Engineering complex.  I used McAfee's CLEANP
346. utility, but was unable to recover most of the files which were
347. infected - all it did was render the virus harmless (dead?).  The
348. doccumentation makes special note about Jerusalem B being the
349. exception to the effectiveness of this utility.  Has anybody got a
350. better utility for killing Jerusalem B virus?  It seems to be
351. constantly circling campus and I'm tired of having to restore from
352. backups.
353.  
354. Please E-mail suggestions or utilities to: marc@isye.gatech.edu (my IE
355. account) or to gt0159a@prism.gatech.edu (my GT account).  Thanks,
356. Marc.
357.  
358. - --
359. LEVINSON,MARC LOUIS
360. Georgia Institute of Technology, Atlanta Georgia, 30332
361. uucp: ...!{allegra,amd,hplabs,seismo,ut-ngp}!gatech!prism!gt0159a
362. ARPA: gt0159a@prism.gatech.edu
363.  
364. ------------------------------
365.  
366. Date:    07 Mar 90 17:50:27 +0000
367. From:    garth!dbarnes@unix.sri.com (Dave Barnes)
368. Subject: Jerusalem B
369.  
370. Could someone  please e-mail me a description of the Jerusalem B
371. virus and explain, in layman's terms, how it works?
372.  
373. I'm not very technical, but a friend got a case of it and this
374. has caused me to be curious about it.
375.  
376. Thanks.
377.  
378. - ----------------------------------------------------------
379. David Barnes
380. UUCP: {pyramid,sri-unix,ingr}!apd!dbarnes     415/852-2365
381. USPS: Intergraph APD, 2400 Geng Road, Palo Alto, CA  94303
382. - ----------------------------------------------------------
383.  
384. ------------------------------
385.  
386. Date:    Wed, 07 Mar 00 15:46:55 -0500
387. From:    Stuart Milligan <MILLIGAN@BROCK1P.BITNET>
388. Subject: Copyrights of virus codes & international law
389.  
390. > Copyright of virus code - remember that the copyright laws in many countries
391. > are largely non-existent.  Do not assume that copyright law as operated in
392. > the USA/Europe/anywhere else actually applies to the country where the virus
393. > is written/copied/assembled/disassembled.  How can you even think of trying
394. > to enforce copyright?
395.                                                    Pete Lucas
396.  
397. This is simply not true.  Very few nations do not have some form of
398. protection for literary and artistic works.  The U.S. is a signatory
399. of two important international treaties governing copyright.  The
400. oldest international con- vention is the Berne Convention, signed at
401. Berne, Switzerland by 10 nations on September 9, 1886, with major
402. revisions taking place at Paris, France in 1971.  Many nations are
403. signatories of that treaty.  As of 1986, 76 countries are Berne
404. members.  The U.S. only very recently became an adherent of this
405. convention.  (refer to the Berne Convention Implementation Act of
406. 1988, which became effective March 1, 1989)
407.  
408. The Universal Copyright Convention, signed at Geneva, Switzerland on
409. September 6, 1952 is the other major international treaty, to which
410. the U.S. became a signatory on September 16, 1955.  As of October 1,
411. 1988, 78 nations adhere to this convention.  There are also other
412. international treaties (the Buenos Aires Convention is one of them)
413. and bilateral copyright relations existing between many nations.
414.  
415. The fundamental principle of these international treaties is that
416. copyright protection is based upon "national treatment."  That is to
417. say that works entitled to the benefits of the conventions enjoy in
418. each member country the advantages given to the works of nationals of
419. the country where protection is sought.  This is to say that depending
420. on the date of copyrighted works, there is a great deal of protection
421. available for your works that might have been let loose in another
422. country within that very country by virtue of the international
423. copyright treaties currently in place.  Enforcing them is, of course,
424. the duty of copyright owners, but they do have a considerable judicial
425. forum in which to launch and protect the interests in their original
426. works of authorship.
427.  
428. If copyrighting viruses/trojan horses are excluded as proper subject
429. matter that qualify for copyright and can be registered in the
430. Copyright Office of the Library of Congress, then those who write
431. disassembler programs may be free to do so and claim copyright in
432. those programs without infringing the derivative work right of the
433. author of the virus code.
434.  
435. > The whole question of copyrighting viruses is an irrelevant diversion to
436. > the task of identifying the sources and writing disinfectors.
437.                                                Pete Lucas
438.  
439. The copyright issue is not an "irrelevant diversion."  The standards
440. of eligibility for securing copyright in marginal works of authorship,
441. is tied to the concept of "originality."  Apparently, pornographic
442. works meet the standards of originality and can be copyrighted - I'm
443. not sure if the Copyright Office refuses to register them.  If they do
444. allow registration, why not virus code, if an author is brazen or
445. stupid enough to formally register it?  I would hope that U.S.
446. lawmakers would disallow registration and exclude virus code from
447. proper subject matter.  This is probably wishful thinking.
448.  
449. Keep the copyright issues flowing and on the burner.
450.  
451. ______________________________________________________________________________
452.  "You need only one paddle for answers; you need both for good questions"  -SM
453. _____________________                                                       __
454. :                    \______________________BBBBBBB________________________:  :
455. : Stuart Milligan        :                  BBBBBBBB                       :  :
456. : Drake Memorial Library :  SSSS   U   U    BB     BB    NN    N   Y     Y :  :
457. : SUNY at Brockport      :  S      U   U    BBBBBBBB     N N   N    Y   Y  :  :
458. : Brockport, NY  14420   :  SSSS   U   U    BBBBBBB      N  N  N     YYY   :  :
459. :                        :     S   U   U    BBBBBBBB     N   N N      Y    :  :
460. : (716) 395-2508         :  SSSS   UUUUU    BB     BB    N    NN      Y    :  :
461. : <MILLIGAN@BROCK1P>  ___:__________________BBBBBBBB_______________________:  :
462. :____________________/                      BBBBBBB                        :__:
463.  
464. ------------------------------
465.  
466. Date:    07 Mar 90 22:16:08 +0000
467. From:    len@csd4.csd.uwm.edu (Leonard P Levine)
468. Subject: Re: RE: Viruses and Copyrights (Part 2)
469.  
470. >> The Brain virus was written by Mohammed Farooq Alvi in Lahore
471. >> (Pakistan) and was used initially to protect their own software from
472. >> being pirated.
473. >
474. > This is a myth, I think.  I can't think of any feature of the virus
475. > that would help protect software from being pirated.  Viruses are
476. > basically irrelevant to copy-protection.  DC
477.  
478. My understanding of the problem of the Farooq brothers is that they were
479. distributing (legally in Pakistan) pirated copies of software.  They
480. deliberately infected disks that they believed were going OUT of Pakistan
481. as distribution of the pirated stuff outside of their country was not
482. lawful.
483.                           O \
484. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
485. | Leonard P. Levine                  e-mail len@evax.cs.uwm.edu |
486. | Professor, Computer Science             Office (414) 229-5170 |
487. | University of Wisconsin-Milwaukee       Home   (414) 962-4719 |
488. | Milwaukee, WI 53201 U.S.A.              FAX    (414) 229-6958 |
489. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
490.  
491. ------------------------------
492.  
493. Date:    08 Mar 90 08:43:33 +0000
494. From:    mtv@milton.u.washington.edu (David Schanen)
495. Subject: The Twelve Tricks (PC)
496.  
497.           I haven't seen any mention of this virus (actually a trojan.)
498. Has anyone had any exposer?
499.  
500.           -Dave
501.  
502.  
503. ------------------------------
504.  
505. End of VIRUS-L Digest
506. *********************
507. Downloaded From P-80 International Information Systems 304-744-2253
508.