home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.67

< prev

next >

Wrap

Text File  |  1995-01-03  |  17KB  |  403 lines

---

1. VIRUS-L Digest   Tuesday,  3 Apr 1990    Volume 3 : Issue 67
2.  
3. Today's Topics:
4.  
5. re: Updated signature files for IBM VIRSCAN (PC)
6. Confirmed virus infection (PC)
7. More viruses from Taiwan (PC)
8. Disinfectant 1.7/New ZUC Virus (Mac)
9. Small-pox
10. =VIR? (Mac)
11. SCAN60 Trojan Reports (PC)
12. Re: New ZUC virus (Mac)
13. Re: Death of a Virus
14. New viruses from South Africa (PC)
15.  
16. VIRUS-L is a moderated, digested mail forum for discussing computer
17. virus issues; comp.virus is a non-digested Usenet counterpart.
18. Discussions are not limited to any one hardware/software platform -
19. diversity is welcomed.  Contributions should be relevant, concise,
20. polite, etc.  Please sign submissions with your real name.  Send
21. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
22. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
23. anti-virus, documentation, and back-issue archives is distributed
24. periodically on the list.  Administrative mail (comments, suggestions,
25. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
26.  
27.    Ken van Wyk
28.  
29. ---------------------------------------------------------------------------
30.  
31. Date:    02 Apr 90 00:00:00 -0500
32. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
33. Subject: re: Updated signature files for IBM VIRSCAN (PC)
34.  
35. Version 1.1 of the program (including new & larger signature files)
36. was recently released.   Should be available through your IBM
37. Marketing Representative, and perhaps some dealers.   Not sure if
38. there's an 800 number this time...             DC
39.  
40. ------------------------------
41.  
42. Date:    Tue, 27 Mar 90 14:37:34 -0000
43. From:    Bob Kilgore <bobkil@ibmpcug.co.uk>
44. Subject: Confirmed virus infection (PC)
45.  
46.                    FOR INFORMATION ONLY:
47.  
48. An outbreak of Jerusalem virus, (1813) was detected here at
49. Oceonics FDS on 26 Mar. 1990.  There were 26 .COM and .EXE
50. files infected.  The infection probably occurred on the week
51. of 19 Mar.  It was detected quickly because the operator was
52. keeping track of file size on backup listings and 2 very
53. large programs were infected.
54.  
55. The system is a CAD system and is running a popular CAD
56. program.  There is very little else in the system other than
57. DOS, the CAD system, and the obligatory Norton Utilities.
58. The files infected were DOS files, mouse.co, xt.exe, chkdsk,
59. diskcopy, etc.  There were a number of the Norton programs
60. contaminated, he thought he had a disk problem.  Four very
61. large CAD programs, 204K to 387K load modules were infected
62. and did not perform correctly.
63.  
64. The CAD system is under a maintenance contract with the
65. vendor and within the last two weeks as undergone some major
66. updates.  This involved the installation of new software
67. modules supplied by the vendor.  This task was begun on the
68. week of 12 Mar. and the software became 'flaky'.  The vendor
69. told us they had found a bug in the new release disk's and
70. sent us another set that would correct the problem.
71.  
72. The second set were installed the week of 19 Mar.  We have
73. reached the conclusion that the virus was probably attached
74. to the second set of disks.  We could not check all of the
75. new disks since four were forwarded to our Gloucester
76. facility to upgrade there system.  It is a bit unfortunate
77. that the Gloucester people rang us up during my evaluation
78. of the problem to inform me that they had a suspected virus.
79.  
80. I have no hard evidence that the disk came from the vendor,
81. you won't find there name here, but it seems highly likely.
82. I want to thank Dr. Solomon for the virus tool-kit.  It did
83. a superb job of identification and made life easy in the
84. recovery of the system.  There was never any 'real' danger
85. since the operator is a very firm believer in regular
86. backups, and the retention of the backup documentation.
87.  
88. BOB
89.  
90. Forgot to mention the original update disks came from the
91. U.S. of A.
92.  
93. ------------------------------
94.  
95. Date:    Mon, 02 Apr 90 18:49:51 +0000
96. From:    frisk@rhi.hi.is (Fridrik Skulason)
97. Subject: More viruses from Taiwan (PC)
98.  
99. A few days ago I reported a number of computers arriving infected from
100. Taiwan.  This does not seem to be limited to one manufacturer (Nothern
101. International).
102.  
103. A computer from a company named "Jafuco" arrived infected with not
104. one, not two, but three different viruses: "Stoned", "Brain" and
105. "Jerusalem".
106.  
107. This is the first reported occurrence of "Stoned" here in Iceland, and
108. both "Brain" and "Jerusalem" have been very rare here.
109.  
110. Is there a major virus epidemic in Taiwan or what ?
111.  
112. - --
113. Fridrik Skulason      University of Iceland  |
114. Technical Editor of the Virus Bulletin (UK)  |  Reserved for future expansion
115. E-Mail: frisk@rhi.hi.is    Fax: 354-1-28801  |
116.  
117. ------------------------------
118.  
119. Date:    Mon, 02 Apr 90 20:24:52 -0400
120. From:    jln@acns.nwu.edu
121. Subject: Disinfectant 1.7/New ZUC Virus (Mac)
122.  
123. Disinfectant 1.7
124. ================
125.  
126. April 2, 1990
127.  
128. Disinfectant 1.7 is a new release of our free Macintosh virus
129. detection and repair utility.
130.  
131. Version 1.7 recognizes the new ZUC virus. Thanks to Don Zucchini and
132. Francesco Giagnorio for discovering and reporting this new virus.
133.  
134. The ZUC Virus
135. =============
136.  
137. The ZUC virus was first discovered in Italy in March, 1990. It is named
138. after the discoverer, Don Zucchini.
139.  
140. ZUC only infects applications. It does not infect system files or data
141. files. Applications do not have to be run to become infected.
142.  
143. ZUC was timed to activate on March 2, 1990. Before that date it only
144. spread from application to application. After that date, approximately
145. 90 seconds after an infected application is run, the cursor begins to
146. behave unusually whenever the mouse button is held down. The cursor
147. moves diagonally across the screen, changing direction and bouncing
148. like a billiard ball whenever it reaches any of the four sides of the
149. screen. The cursor stops moving when the mouse button is released.
150.  
151. The behavior of the ZUC virus is similar to that of a desk accessory
152. named Bouncy. The virus and the desk accessory are different, and
153. they should not be confused. The desk accessory does not spread, and
154. it is not a virus. ZUC does spread, and it is a virus.
155.  
156. ZUC has two noticeable side effects. On some Macintoshes it causes the
157. desktop pattern to change. It also often causes long delays and an
158. unusually large amount of disk activity when infected applications are
159. opened.
160.  
161. ZUC can spread over a network from individual Macintoshes to servers
162. and from servers to individual Macintoshes.
163.  
164. Except for the unusual cursor behavior, ZUC does not attempt to do any
165. damage.
166.  
167. Vaccine is not effective against ZUC. GateKeeper 1.1.1, however, is
168. effective against ZUC.
169.  
170. ZUC does not change the last modification date when it infects a file,
171. so you cannot use the last modification dates in the Disinfectant
172. report to trace the source of a ZUC infection.
173.  
174. Other Changes in Version 1.7
175. ============================
176.  
177. Some people have used ResEdit to add a copy of the standard system WDEF
178. 0 resource to Desktop files in an attempt to inoculate their disks
179. against the WDEF virus, even though we do not recommend this practice.
180. Version 1.6 incorrectly reported that such Desktop files were infected
181. by an unknown strain of WDEF. This problem has been fixed in version
182. 1.7.
183.  
184. Some of the nVIR clones have offensive names. These names appeared in
185. plain text in various resources in Disinfectant version 1.6, and caused
186. concern for some people who discovered them using ResEdit or a file
187. editor. Version 1.7 encodes the resources so that the names do not
188. appear in plain text.
189.  
190. Version 1.6 contained an error which could cause crashes, hangs,
191. unexpected error messages, or other unusual behavior in some
192. circumstances. The error is corrected in version 1.7.
193.  
194. How to Get a Copy of Version 1.7
195. ================================
196.  
197. Disinfectant 1.7 is available now via anonymous FTP from site
198. acns.nwu.edu [129.105.49.1].  It will also be available soon on
199. sumex-aim, rascal, comp.binaries.mac, CompuServe, Genie, Delphi, BIX,
200. MacNet, America Online, Calvacom, AppleLink, and other popular sources
201. for free and shareware software.
202.  
203. Macinstosh users who do not have access to bulletin boards,
204. networks, user groups, or online services may obtain a copy of
205. Disinfectant by sending a self-addressed stamped envelope and an
206. 800K floppy disk to the author at the address below.
207.  
208. John Norstad
209. Academic Computing and Network Services
210. Northwestern University
211. 2129 Sheridan Road
212. Evanston, IL 60208
213.  
214. Bitnet: jln@nuacc
215. Internet: jln@acns.nwu.edu
216. CompuServe: 76666,573
217. AppleLink: A0173
218.  
219. ------------------------------
220.  
221. Date:    Mon, 02 Apr 90 13:25:00 -0400
222. From:    WHMurray@DOCKMASTER.NCSC.MIL
223. Subject: Small-pox
224.  
225. WHM:
226.  
227. >To return to the biological analogy, it clearly demonstrates that YOU CANNOT
228. >STOP THE SPREAD BY TREATING THE SYMPTOMS OF THE INFECTED.
229.  
230. Then H. Treftz:
231.  
232. >    I think when a discusion of a virus and how to deal with a virus
233. >is talked about it is a good iead to take a look at the first disease
234. >that man has been able to eliminate totaly.  That is the Small Pox
235. >virus.  How small pox was eliminated is fairly simple.  Frist the
236. >conditions that led to small pox were eliminated the individual cases
237. >were delt with and treated so they could not spread.
238.  
239. While I am sure that neither the the author nor the editor intended it,
240. this appears to be a rebuttal.  The description of the elimination of
241. small-pox is so incomplete as to suggest that hygiene, treatment, and
242. quarantine alone, or in combination,  might have been effective.  This is
243. is certainly not true in the case of small-pox and appears to be untrue
244. in the case of computer viruses.
245.  
246. While it is true that residual cases and instances of small-pox were
247. tracked down, one at a time, and while it is true that quarantine was
248. useful, the major weapon in the elimination of Small Pox was an
249. effective, specific, low-risk, low-cost vaccine massively and
250. pervasively applied.
251.  
252. I encourage the use of prophylaxis.   It is extremely effective against
253. infection by computer viruses.  If you are interesting in protecting
254. your system, you may rely upon it.
255.  
256. However, while it can protect specific systems, it cannot be applied
257. consistently and broadly enough to contain the growth and spread.
258.  
259. William Hugh Murray, Fellow, Information System Security, Ernst & Young
260. 2000 National City Center Cleveland, Ohio 44114
261. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
262.  
263. ------------------------------
264.  
265. Date:    02 Apr 90 10:45:59 +0000
266. From:    paul@tenset.UUCP (Paul Andrews)
267. Subject: =VIR? (Mac)
268.  
269. Whilst trying to sort out a corrupted desktop file recently I noticed a
270. resource of the type '=VIR' (or maybe it was 'not equals'VIR). Anybody know
271. what this is? I'm running gatekeeper and use disinfectant and neither seem
272. bothered by its presence...
273.  
274. - ------------------------------------------------------------------
275. | Paul Andrews             | Post: Tenset Technologies Limited,  |
276. | paul@tenset.uucp         |       Norfolk House,                |
277. | Phone: +44 223 328886    |       301 Histon Road,              |
278. | Fax:   +44 223 460929    |       Cambridge CB4 3NF, UK.        |
279. - ------------------------------------------------------------------
280.  
281. ------------------------------
282.  
283. Date:    Sun, 01 Apr 90 11:58:12 -0700
284. From:    Alan_J_Roberts@cup.portal.com
285. Subject: SCAN60 Trojan Reports (PC)
286.  
287. This is a forward from John McAfee:
288. ==========================================================================
289.  
290.           A number of reports of a trojan in SCANV60 have been floating
291. around for the past two weeks, but so far I have not talked to anyone
292. who has a copy of this allegedly hacked version.  SCAN60 has indeed
293. been released and the original ZIP file size is 44482.  However, if
294. your ZIP file size is different than this, it does not mean that the
295. file has been hacked.  Many people pass on the programs in a re-Zipped
296. file that has been archived using a different version of ZIP, or some
297. people forget to pass the registration document (or other element that
298. they deem unessential to the utility of the package) along with the
299. newly Zipped file.  The critical elements are the executable files.
300. These files have all been validated prior to distribution and the
301. validation information (and VALIDATE program) are included in the
302. distribution file.  If the validation information is suspect, or you
303. believe it may also have been tampered with, you may call HomeBase 24
304. hours a day to access the on-line validation data base.  This data
305. base cannot be tampered with so the information is secure.  The same
306. validation program has been shipped with each version of SCAN since
307. version 46, so if you have a version that you trust, then you need not
308. replace it when new versions of SCAN are released.  If you are still
309. unsure, then download the validate program directly from HomeBase -
310. 408 988 3832.  The validation information for Version 60 should be:
311. SCAN.EXE program size - 43,277; Creation Date - 03-18-90; Validation
312. method 1 - A8F6; Validation Method 2 - 1C09.
313.           Remember that creation dates for the ZIP file will change each
314. time the ZIP file is downloaded to a system.  The EXE dates inside the
315. ZIP file should not change.
316.           If anyone does have what they believe is a bogus copy of
317. SCANV60 then please call us at 408 988 3832.
318.           Thank you.
319.  
320. John McAfee
321.  
322. ------------------------------
323.  
324. Date:    03 Apr 90 06:25:50 +0000
325. From:    rcoahk@koel.co.rmit.OZ.AU (Alvaro Hui Kau)
326. Subject: Re: New ZUC virus (Mac)
327.  
328. AUBXG@ASUACAD.BITNET (Ben Goren):
329. > Does anyone know if Gatekeeper/Gatekeeper Aid will block this?  It
330. > sounds like it will, but has anyone checked?
331.  
332. How about SAM or virex????
333.  
334. ------------------------------
335.  
336. Date:    Tue, 03 Apr 90 06:15:13 +0000
337. From:    Dave Ihnat <ignatz@chinet.chi.il.us>
338. Subject: Re: Death of a Virus
339.  
340. a10hat8@cs.niu.edu (Henry Treftz) writes:
341. >    I think when a discusion of a virus and how to deal with a virus
342. >is talked about it is a good iead (sic) to take a look at the first disease
343. >that man has been able to eliminate totaly.  That is the Small Pox
344. >virus.  How small pox was eliminated is fairly simple.  Frist (sic) the
345. >conditions that led to small pox were eliminated then individual cases
346. >were delt with and treated so they could not spread.
347. >  So I think a simular method should be used in dealing with a
348. >computer virus.  I would recomend a issue of National Geographic that
349. >talked about Small Pox.  I belive the issue is from 1978 some time
350. >but. . . .
351.  
352. Nice idea.  The problem here is that the root cause of the virus
353. explosion is the underlying hardware itself; unlike with humankind,
354. elimination of the conditions that lead to viruses basically means
355. redesigning the computers that are attacked to eliminate the
356. simplistic hardware model that allows full access to the single user.
357. In many instances, this is happening in a rather interesting way; as
358. such DOS emulators as Simultask and VP/IX mature, we're seeing people
359. run DOS applications on these virtual machines.  But the elimination
360. of the suceptibility--while, I assure you, necessary and almost a
361. certainty in the long run--is a significant economic undertaking that
362. will probably not be deemed necessary (risk vs. cost) for some time by
363. most vendors or corporations.
364.  
365. ------------------------------
366.  
367. Date:    Tue, 03 Apr 90 09:53:55 +0000
368. From:    frisk@rhi.hi.is (Fridrik Skulason)
369. Subject: New viruses from South Africa (PC)
370.  
371. The following viruses have recently been reported in South Africa.
372.  
373.                      Pretoria (alias June 16th)
374.  
375. Infects .COM files only, enlarging them by 879 bytes.  When an infected file
376. is run, all .COM files on the current drive will be infected.  This makes
377. the virus rather easily detectable - the time it takes to start a program
378. may grow enormously, as the virus does a recursive scan on the directory tree.
379.  
380. On June 16th, all entries in the root directory are changed to 'ZAPPED'.
381.  
382. The virus is reported to be encrypted.
383.  
384.                      Durban (alias Saturday the 14th)
385.  
386. This virus infects both .COM and .EXE files, adding 669-684 bytes to their
387. length. It is resident, and will activate on Saturday the 14th, overwriting
388. the first 100 sectors on drive C:  (followed by B: and A:)
389.  
390. I do not have any more information available, as I have not yet received a
391. copy of the viruses.
392.  
393. - --
394. Fridrik Skulason      University of Iceland  |
395. Technical Editor of the Virus Bulletin (UK)  |  Reserved for future expansion
396. E-Mail: frisk@rhi.hi.is    Fax: 354-1-28801  |
397.  
398. ------------------------------
399.  
400. End of VIRUS-L Digest
401. *********************
402. Downloaded From P-80 International Information Systems 304-744-2253
403.