home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.61

< prev

next >

Wrap

Text File  |  1995-01-03  |  12KB  |  296 lines

---

1. VIRUS-L Digest   Wednesday, 21 Mar 1990    Volume 3 : Issue 61
2.  
3. Today's Topics:
4.  
5. Low level format (PC)
6. Utilities?
7. bogus Amiga program: 'VirusX 4.4'
8. Re: Getting files from "anonymous FTP"
9. probably not maliciouos [was Re: possible new trojan on Genie (Mac)]
10. Re: Stoned disinfection information (PC)
11. another trojan called "Virus Info" (Mac)
12. VirusX Trojan (Amiga)
13. VirusX Trojan (Amiga) More Info!
14. Vaxservers and Mac viruses
15.  
16. VIRUS-L is a moderated, digested mail forum for discussing computer
17. virus issues; comp.virus is a non-digested Usenet counterpart.
18. Discussions are not limited to any one hardware/software platform -
19. diversity is welcomed.  Contributions should be relevant, concise,
20. polite, etc.  Please sign submissions with your real name.  Send
21. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
22. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
23. anti-virus, documentation, and back-issue archives is distributed
24. periodically on the list.  Administrative mail (comments, suggestions,
25. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
26.  
27.    Ken van Wyk
28.  
29. ---------------------------------------------------------------------------
30.  
31. Date:    Mon, 19 Mar 90 16:06:06 -0000
32. From:    LBA002@PRIME-A.TEES-POLY.AC.UK
33. Subject: Low level format (PC)
34.  
35. Many of the articles I read on recovering from a virus infection
36. recommend a "low level format" of the hard disk as part of the
37. process. What is a "low level format" and how does it differ from just
38. using the DOS FORMAT command?
39. Thanks in advance for any information.
40.  
41. Rgds,
42. Iain Noble
43.  
44. - -----------------------------------------------------------------------------
45. Iain Noble                                   |
46. LBA002@pa.tp.ac.uk                           |  Post:  Main Site Library,
47. JANET: LBA002@uk.ac.tp.pa                    |         Teesside Polytechnic,
48. EARN/BITNET: LBA002%pa.tp.ac.uk@UKACRL       |         Middlesbrough,
49. INTERNET: LBA002%pa.tp.ac.uk@cunyvm.cuny.edu |         Cleveland, UK, TS1 3BA
50. UUCP: LBA002%tp-pa.ac.uk@ukc.uucp            |  Phone: +44 642 218121 x 4371
51. - -----------------------------------------------------------------------------
52.  
53. ------------------------------
54.  
55. Date:    19 Mar 90 22:54:52 +0000
56. From:    william@eniac.seas.upenn.edu (Bill King)
57. Subject: Utilities?
58.  
59. Can someone tell me where the best place to get the utilities neccessary
60. for de-arcing and unzipping the programs would be?  For example, I now
61. have v59 of scan and clean, but don't have the unzip program. Can someone
62. help me out here as to an ftp address where I could get the neccessary
63. programs? Thanks.
64. Bill
65.  
66. [Ed. The PKZIP and ARC programs are available, among many other
67. places, on SIMTEL20.ARMY.MIL by anonymous FTP.]
68.  
69. ------------------------------
70.  
71. Date:    Tue, 20 Mar 90 00:02:36 -0500
72. From:    Jim Shaffer Jr <72750.2335%COMPUSERVE.COM@IBM1.CC.Lehigh.Edu>
73. Subject: bogus Amiga program: 'VirusX 4.4'
74.  
75. A notice has just been posted on CompuServe, by one of the sysops of the
76. Amiga Technical Forum, that a program purporting to be "VirusX 4.4" is
77. in circulation.  This is a bogus program!  The current version of VirusX,
78. as verified by its author, is 4.0.
79.  
80. No details of what "4.4" might do were mentioned.
81.  
82. ------------------------------
83.  
84. Date:    20 Mar 90 10:31:50 +0000
85. From:    Sam Wilson <ercm20@castle.ed.ac.uk>
86. Subject: Re: Getting files from "anonymous FTP"
87.  
88. In article 1914 of comp.virus XPUM04@prime-a.central-services.umist.ac.uk
89.    (Anthony Appleyard) writes:
90. >
91. > Information from "Kenneth R. van Wyk" <krvw@edu.cmu.sei.cert>, with thanks.
92. > Some Virus-L messages say that the rest of the message can be got (say) "by
93. > anonymous ftp from  the/quick/brown/fox/jumps.over.the.lazy.dog".  For  the
94. > information  of those not very conversant with FTP, this can be done thus:-
95. >
96. > Type your computer's command "ftp cert.sei.cmu.edu". "cert.sei.cmu.edu"  is
97. > a  USA email address. It should be "edu.cmu.sei.cert@uk.ac.nsfnet-relay" if
98. > typed in UK (I think).
99.  
100. Nope!  There is no direct Internet FTP access for most people in the UK.
101. We have our own file transfer protocol known as NIFTP (or just FTP to
102. its friends) or 'Blue Book'.  It does not interwork with the Internet
103. and you can't use odd mail addresses like that given above.
104.  
105. If you need to access Internet FTP from the UK the NSFnet-Relay provides
106. a service of sorts but I don't know if it's public (yet?).  Mail
107. Postmaster@uk.ac.NSFnet-Relay (...@NSFnet-Relay.ac.uk for folks outside
108. the UK and some folks inside) for details.
109.  
110. Most anti-viral s/w is available in the UK - see the monthly sites
111. postings.
112.  
113. Sam Wilson
114. Network Planning, Edinburgh University Computing Service
115.  
116. ------------------------------
117.  
118. Date:    20 Mar 90 14:02:12 +0000
119. From:    werner@cs.utexas.edu (Werner Uhrig)
120. Subject: probably not maliciouos [was Re: possible new trojan on Genie (Mac)]
121.  
122. I wrote:
123.  
124. > a rumour has reached me that a program called "Totally Safe Sex"
125. > on Genie may be a new trojan.
126.  
127.           first disassembly and review makes it look like a harmless
128.           prank, but I'd still recommend that you do not run the program
129.           at this time unless you are absolutely certain you know how
130.           to prevent any potential dangers to your files ...
131.  
132.           apologies if you feel that this was an unnecessary alarm,
133.           but it seemed the lesser evil to pass on a false warning to
134.           waiting for 5 days to confirm it.
135.  
136.                               Cheers (or grumble?!?),                 ---Werner
137.  
138. ------------------------------
139.  
140. Date:    Tue, 20 Mar 90 22:51:07 +0000
141. From:    gm@cunixb.cc.columbia.edu (Gary Mathews)
142. Subject: Re: Stoned disinfection information (PC)
143.  
144. DEVMTG12@SAKFU00.BITNET (MUSTAFA T. ALGHAZAL) writes:
145. >To all virus experts,
146. >     One of our systems here at SAKFU00 was infected by the STONED virus.
147. >     I remember that I read a note about how to remove this virus from a
148. >     hard disk ,but the writer was refering to some issues of COMPUTER
149. >     & SECURITY which we were not able to get.
150. >     If any of you knows step by step instructions to remove that virus,He
151. >     (or she) will be thankfull to send it to me directly or to the list.
152. >
153. >         Mustafa ALGhazal ( DEVMTG12@SAKFU00.BITNET)
154. >         Academic Services Manager
155. >         King Faisal Univ.
156. >         Saudi Arabia
157.  
158. You could remove the stoned virus with McAfee's clean program or more
159. simply, by booting off a clean dos disk and use the sys command to
160. transfer a new copy of the MS-DOS system onto the hard disk.
161.  
162.           1) boot system on a clean disk
163.           2) sys c:
164.           3) "Stoned" virus is gone !
165.  
166. That's all.
167.  
168. -
169.  ------------------------------------------------------------------------------
170. \c-
171. Gary Jason Mathews      | gm@cunixd.cc.columbia.edu
172. Columbia University     | Death is life's way of telling you you've been fired.
173. - ------------------------+ CPU time flies when you have a lot of bugs
174.  
175. ------------------------------
176.  
177. Date:    21 Mar 90 02:58:02 +0000
178. From:    milano!werner@cs.utexas.edu (Werner Uhrig)
179. Subject: another trojan called "Virus Info" (Mac)
180.  
181.           shortly after the first 2 trojans showed up on "that Canadian BBS"
182.           a third (but technically different) one showed up - and I do not
183.           believe anyone reported it publically yet (and I had hopes to
184.           snarf the "evil ones" with it. alas ....)
185.  
186.           This trojan claims to also be from the "DeathTrack" group as were
187.           the first two.
188.  
189.           it will *IMMEDIATELY* destroy your disk(s) - and I assume if anyone
190.           had run into it, we would have heard about it by now ...:-()
191.  
192.           well, if anyone sees it show up ANYWHERE (or any other program which
193.           you suspect after running it and finding your hard disk unusable
194.           immediately afterwards, for that matter) please let me know.
195.           (you do keep copies of all new software you download on more
196.            than one place, don't you?!!  else, if you execute it and it
197.            destroys the disk it was on .... right.  you can't send me a
198.            copy for analysis!)
199.  
200.                     Cheers (what for?! right!),             ---Werner
201.  
202. - --------------------------> please send REPLIES to <------------------------
203. INTERNET:                     werner@cs.utexas.edu
204.                or: werner@rascal.ics.utexas.edu     (Internet # 128.83.144.1)
205. UUCP:     ...<well-connected-site>!cs.utexas.edu!werner
206.  
207. ------------------------------
208.  
209. Date:    21 Mar 90 04:42:17 +0000
210. From:    consp11@bingvaxu.cc.binghamton.edu (Brett L. Kessler)
211. Subject: VirusX Trojan (Amiga)
212.  
213. A friend of mine here at SUNY-Binghamton just informed me of a message
214. that was posted to CompuServe recently.  I've no idea as to how valid
215. it is, but it's better to be safe than sorry, even VIA 3rd-hand news.
216.  
217. It seems that somebody has released something called "VirusX 4.4" into
218. the public domain.  THIS IS A BOGUS PROGRAM, and may be a trojan.
219. According to Steve Tibbett (sp?), the author of VirusX, the most
220. recent version of the disinfectant is 4.0.
221.  
222. Just thought you might like to know.
223.  
224. +------///-+------------------| BRETT KESSLER |------------------+-\\\------+
225. |     ///  |         consp11@bingvaxu.cc.binghamton.edu          |  \\\     |
226. | \\\///   |              consp11@bingvaxa.BITNET                |   \\\/// |
227. |  \XX/    |              (PeopleLink)  B.KESSLER                |    \XX/  |
228. +----------+-----------------------------------------------------+----------+
229.  
230. ------------------------------
231.  
232. Date:    21 Mar 90 07:17:17 +0000
233. From:    consp11@bingvaxu.cc.binghamton.edu (Brett L. Kessler)
234. Subject: VirusX Trojan (Amiga) More Info!
235.  
236. With regards to my earlier posting about the bogus version of VirusX
237. (version 4.4), here is the original text.  It originally appeared in
238. comp.sys.amiga and comp.sys.amiga.tech.  I thought that my posting was
239. a little sketchy, so here's a (slightly) better one.
240.  
241. - -----8X-----8X-----8X-----8X-----8X-----8X-----8X-----8X-----8X-----8X-----
242. There is a file going around now that supposedly has a new version of
243. VIRUSX.   The archive says the file has version VIRUSX 4.4 and that it was
244. released on March 10th.
245.  
246. I've done some analysis on the files in the archive, and the archive
247. appears to have the same executables as VirusX 4.0.  The doc files and
248. the C code in the archive talk about two viruses that are supposedly
249. "harmless".  It appears the messages were put there to lull people into
250. a false sense of security.
251.  
252. I've contacted Steve Tibbett he has confirmed that this archive was NOT
253. released by him.  He's working on a new version of VIRUSX, but this is
254. NOT IT.
255.  
256. WATCH OUT FOR THIS BAD ARCHIVE, AND LET PEOPLE KNOW ABOUT IT!
257.  
258. Official VIRUSX releases are posted to ALL the national networks by Steve
259. Tibbett, or by an official agent.
260. - ------------------
261. SR Pietrowicz    UUCP:  ...!uunet!modcomp!srp        CIS:  73047,2313
262.                               73047.2313@compuserve.com
263. - -----8X-----8X-----8X-----8X-----8X-----8X-----8X-----8X-----8X-----8X-----
264.  
265. No more "hard info," but at least it's a confirmation that the darned
266. thing exists, and that it is probably trouble.
267.  
268. +------///-+------------------| BRETT KESSLER |------------------+-\\\------+
269. |     ///  |         consp11@bingvaxu.cc.binghamton.edu          |  \\\     |
270. | \\\///   |              consp11@bingvaxa.BITNET                |   \\\/// |
271. |  \XX/    |              (PeopleLink)  B.KESSLER                |    \XX/  |
272. +----------+-----------------------------------------------------+----------+
273.  
274. ------------------------------
275.  
276. Date:    Tue, 20 Mar 90 14:22:00 -0600
277. From:    POST@ADMIN.ripon.edu
278. Subject: Vaxservers and Mac viruses
279.  
280. Hi all!
281.  
282. I think I already know the answer to this one, but could anyone
283. comment on Mac viruses infecting VAXen file servers.  It would seem to
284. me that this is impossible, but we'd like a more practical view.
285. Thanks.
286.  
287. Mike Post
288. Ripon College
289. POST@ADMIN.RIPON.EDU
290.  
291. ------------------------------
292.  
293. End of VIRUS-L Digest
294. *********************
295. Downloaded From P-80 International Information Systems 304-744-2253
296.