home *** CD-ROM | disk | FTP | other *** search

---

/ Phoenix Rising BBS / phoenixrising.zip / phoenixrising / vir-docs / v05i003.txt

< prev

next >

Wrap

Internet Message Format  |  1992-09-27  |  31KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V5 #3
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Tuesday,  7 Jan 1992    Volume 5 : Issue 3
9.  
10. Today's Topics:
11.  
12. Re: Novell distributes Stoned-3 (PC)
13. F-PROT 2.x and Cascade (PC)
14. Question re Stoned (PC)
15. Latest version of F-Prot? (PC)
16. List of Viruses (PC)
17. DOS 5.0 FDISK & older O/Ses (PC)
18. New strain of Murphy? Amilia (PC)
19. Help with virus (PC)
20. Re: Macs Running Soft PC (Mac) (PC)
21. General questions about viruses
22. theoretical literature on viruses?
23. Re: Virus capable of infecting Mainframes and PCs
24. Re: Hardware damage
25. Re: General questions about viruses
26. WSCAN85.ZIP - Windows 3.0 version of VIRUSCAN V85 (PC)
27.  
28. VIRUS-L is a moderated, digested mail forum for discussing computer
29. virus issues; comp.virus is a non-digested Usenet counterpart.
30. Discussions are not limited to any one hardware/software platform -
31. diversity is welcomed.  Contributions should be relevant, concise,
32. polite, etc.  (The complete set of posting guidelines is available by
33. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
34. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
35. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
36. Information on accessing anti-virus, documentation, and back-issue
37. archives is distributed periodically on the list.  Administrative mail
38. (comments, suggestions, and so forth) should be sent to me at:
39. krvw@CERT.SEI.CMU.EDU.
40.  
41.    Ken van Wyk
42.  
43. ----------------------------------------------------------------------
44.  
45. Date:    Mon, 06 Jan 92 11:55:00 +1300
46. From:    "Nick FitzGerald" <CCTR132@csc.canterbury.ac.nz>
47. Subject: Re: Novell distributes Stoned-3 (PC)
48.  
49. Further to postings from Karyn Pichnarczyk (karyn@cheetah.llnl.gov) and
50. James Ford <JFORD@UA1VM.BITNET> in VL 5 #1 on Novell's distribution of
51. the Stoned-3 virus, the following article was posted (way off-charter)
52. in Usenet newsgroup comp.binaries.ibm.pc.archives.
53.  
54. Note the interesting number of mis-conceptions and/or poorly described
55. pieces of "information".  The article only describes how file infecting
56. viruses work, implying that they are the only kind (and getting it
57. mostly wrong!), yet the incident it reports involved a boot sector
58. virus.  Finding the other gaffs is left as an exercise to the reader.
59.  
60. :-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:
61.  Nick FitzGerald, PC Applications Consultant, CSC, Uni of Canterbury, N.Z.
62.  Internet: n.fitzgerald@csc.canterbury.ac.nz        Phone: (64)(3) 642-337
63.  
64. :::::::::::::::::::::  Begin included message  :::::::::::::::::::::
65.  
66. From: markoff@nyt.com (John Markoff)
67. Date: 31 Dec 91 20:03:40 GMT
68.  
69. By JOHN MARKOFF  (from the New York Times, 20 Dec 1991)
70.  
71.   The nation's largest supplier of office-network software for
72. personal computers has sent a letter to approximately 3,800 customers
73. warning that it inadvertently allowed a software virus to invade
74. copies of a disk shipped earlier this month.
75.   The letter, sent on Wednesday to customers of Novell Inc., a Provo,
76. Utah, software publisher, said the diskette, which was mailed on Dec.
77. 11, had been accidentally infected with a virus known by computer
78. experts as "Stoned 111."
79.   A company official said yesterday that Novell had received a number
80. of reports from customers that the virus had invaded their systems,
81. although there had been no reports of damage.
82.   But a California-based computer virus expert said that the potential
83. for damage was significant and that the virus on the Novell diskette
84. frequently disabled computers that it infected.
85.  
86.  'Massive Potential Liabilities'
87.  
88.   "If this was to get into an organization and spread to 1,500 to
89. 2,000 machines, you are looking at millions of dollars of cleanup
90. costs," said John McAfee, president of McAfee & Associates, a Santa
91. Clara, Calif. antivirus consulting firm. "It doesn't matter that only
92. a few are infected," he said.  "You can't tell. You have to take the
93. network down and there are massive potential liabilities."
94.   Mr. McAfee said he had received several dozen calls from Novell
95. users, some of whom were outraged.
96.  
97.   The Novell incident is the second such case this month. On Dec. 6,
98. Konami Inc., a software game manufacturer based in Buffalo Grove, 111.
99. wrote customers that disks of its Spacewrecked game had also become
100. infected with an earlier version of the Stoned virus. The company said
101. in the letter that it had identified the virus before a large volume
102. of disks had been shipped to dealers.
103.  
104. Source of Virus Unknown
105.  
106.   Novell officials said that after the company began getting calls
107. earlier this week, they traced the source of the infection to a
108. particular part of their manufacturing process. But the officials said
109. they had not been able to determine how the virus had infected their
110. software initially.
111.  
112.   Novell's customers include some of nation's largest corporations.
113. The software, called Netware, controls office networks ranging from
114. just two or three machines to a thousand systems.
115.   "Viruses are a challenge for the marketplace," said John Edwards,
116. director of marketing for Netware systems at Novell. "But we'll keep
117. up our vigilance. He said the virus had attacked a disk that contained
118. a help encyclopedia that the company had distributed to its customers.
119.  
120. Servers Said to Be Unaffected
121.  
122.   Computer viruses are small programs that are passed from computer to
123. computer by secretly attaching themselves to data files that are then
124. copied either by diskette or via a computer network. The programs can
125. be written to perform malicious tasks after infecting a new computer,
126. or do no more than copy themselves from machine to machine.
127.   In its letter to customers the company said that the Stoned 111
128. virus would not spread over computer networks to infect the file
129. servers that are the foundation of networks. File servers are special
130. computers with large disks that store and distribute data to a network
131. of desktop computers.
132.   The Stoned 111 virus works by attaching itself to a special area on
133. a floppy diskette and then copying itself into the computer's memory
134. to infect other diskettes.
135.   But Mr. McAfee said the program also copied itself to the hard disk
136. of a computer where it could occasionally disable a system. In this
137. case it is possible to lose data if the virus writes information over
138. the area where a special directory is stored.
139.  
140.   Mr. McAfee said that the Stoned 111 virus had first been reported in
141. Europe just three months ago. The new virus is representative of a
142. class of programs known as "stealth" viruses, because they mask their
143. location and are difficult to identify. Mr. McAfee speculated that
144. this was why the program had escaped detection by the company.
145.  
146. Steps Toward Detection
147.  
148.   Novell has been moving toward adding new technology to its software
149. to make it more difficult for viruses to invade it, Mr. Edwards said.
150. Recently, the company licensed special digital-signature software that
151. makes it difficult for viruses to spread undetected. Novell plans to
152. add this new technology to the next major release of its software, due
153. out at the end of 1992.
154.  
155.   In the past, courts have generally not held companies liable for
156. damages in cases where a third party is responsible, said Susan Nycum, a
157. Palo Alto, Calif., lawyer who is an expert on computer issues.  "If they
158. have been prudent it wouldn't be fair to hold them liable," she said.
159. "But ultimately it may be a question for a jury."
160.  
161. ------------------------------
162.  
163. Date:    Mon, 16 Dec 91 11:29:03 +0000
164. From:    "Vaughan.Bell" <vaughan@computing-department.poly-south-west.ac.uk>
165. Subject: F-PROT 2.x and Cascade (PC)
166.  
167. I have been testing F-PROT 2.01 with various virus samples and I have
168. found that I didn't detect cascade in memory (identified as cascade
169. 1701-A) although it does detect the infection in a .COM file. Pre 2.x
170. versions did detect the virus in memory and as a .COM infection.
171. Various other anti-virus programs do detect it in memory includin
172. McAfee SCAN, Dr Solomons AVTK, VISCAN and IBM's Virscan.
173.  
174. Also is it possible to get the virus info supplied with F-PROT 2.01 as
175. an ASCII text file (like FILVIR-1.TXT etc) ???
176.  
177. Thanks in advance . . .
178.  
179. ***************************************************************************
180. * Vaughan Bell - Polytechnic South West - U.K. - vaughan@cd.psw.ac.uk     *
181. ***************************************************************************
182. *   You can take a horse to water, but if you can make it float on it's   *
183. *                     back you've got something !                         *
184. ***************************************************************************
185.  
186. ------------------------------
187.  
188. Date:    Thu, 02 Jan 92 20:45:00 -0500
189. From:    HAYES@urvax.urich.edu
190. Subject: Question re Stoned (PC)
191.  
192. Hello.
193.  
194. As a co-sysop of the virus discussion board I received the following
195. message.  I thought it was interesting enough, and asked more details
196. which will show in the second forwarded message (in fact, long
197. excerpts of both messages).
198.  
199. I myself came with no good reason why the system (details in msg #2)
200. does not get infected.  Any guru out there with some explanation(s)?
201.  
202. Best, Claude.
203.  
204. - ----- begin forwarded messages --
205.  
206. Message #1
207.  
208. More of a curiosity than an emergency here: Our academic PC lab had a
209. protracted battle with the Stoned virus last Summer and Fall, which we
210. dealt with fairly aggressively and with good success.  [...]
211.  
212. At any rate, "Stoned" seems to be history in our lab, if only because
213. it does not seem to infect 3.5" diskettes (which we've recently
214. switched to).
215.  
216. My question is this.  For the benefit of many users who only have
217. 5.25" drives at home and want to use one of our 3.5" PC's, we set up a
218. 3-floppy PC with menu-driven software for file copying and diskette
219. formatting.  A: & B: drives are 360K and 1.2M (respectively); C: is
220. 1.44M.  D: is the hard drive.  If ever a PC would be succeptable to
221. "Stoned" it would be this one, considering the amount and nature of
222. its use--or so it would seem!  Periodic checks for the virus on the
223. hard drive have always been negative over four months of heavy use.
224. (Like I say--I know "Stoned" is still around here.)  Is there
225. something about the four-disk controller setup (or the drive name
226. "D:") that creates an immunity to "Stoned"?  Or have we been
227. incredibly lucky?
228.  
229. - -----
230.  
231. Message #2
232.  
233. [...]
234.  
235. The format-copy box I referred to was an old IBM-PC (8088) outfitted
236. with 2 5.25 floppy drives (one for ea. density) and 1 3.5" high
237. density drive (A,B & C).  The hard drive is a 40 meg.  (brand or type
238. unknown--I'm not that familiar with the types), and as I said, it was
239. designated D: as per the requirements of the JDR (or is it JRD?)
240. Microdevices 4-floppy controller card I used.  I wrote a snazzy
241. menu-driven batch program (with BATMAN and ANSWER enhancements)
242. walking users through any of the 4 floppy formats and permitting
243. copying of files ("All" or selected) between any two of the floppy
244. drives.  The "selected" copying option would list the directory of the
245. source floppy before copying (prime infection activity!)  No virus
246. protection installed.  (I'd check it periodically by running Clean-Up
247. on the D: drive.
248.  
249. As I mentioned, Clean-Up never found Stoned when I ran it on this
250. drive, and I haven't been getting the kind of complaints I would get
251. if users were getting re-infected at home.  (So I think Clean-Up is
252. checking properly.)  I might add that this hard drive in this computer
253. had picked up Stoned more than once when it was an office machine with
254. just a 5.25" A: drive (and the hard drive was C:).  So there's nothing
255. inherantly immune about the drive.  Oh, DOS is 3.30, and the hard
256. drive is not segmented.
257.  
258. Because this box is the only one we have that does this job in a busy
259. lab and a lot of our users on 5.25-only PC's, it gets a lot of use.
260. So I would have considered frequent infection a near certainty, it
261. only takes one careless user or one old neglected floppy.  (Don't ask
262. me why I didn't install protection on this one.  I guess I was
263. concerned about the slowness of the 8088 processor.)
264.  
265. At any rate, I hope this is enough information.  (Watch!  As soon as I
266. report this, the PC will turn up "stoned"!)  Any clues?
267.  
268. - ---- end forwarded messages --
269.  
270. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
271. Claude Bersano-Hayes     HAYES @ URVAX                 (Vanilla BITNET)
272. University of Richmond   hayes@urvax.urich.edu     (Bitnet or Internet)
273. Richmond, VA  23173
274.  
275. ------------------------------
276.  
277. Date:    Thu, 02 Jan 92 19:38:10
278. From:    hoisve@Public.Access.CC.UTAH.EDU (David Hoisve)
279. Subject: Latest version of F-Prot? (PC)
280.  
281. Where can I find the latest version of F-Prot?
282.  
283. The version on beach.gal.utexas.edu now displays something like "This
284. version is rather old.  You should get a new one.".
285.  
286. I also noticed that this version does not include license information.
287. Is the F-Prot "site license" still available?  (The terms were
288. something like $0.75 per machine for non-profit orgs.  Very
289. reasonable!)
290.  
291. Thanks!
292.  
293. - -- Dave.
294. Dave Hoisve, HOISVE@XANADU.CC.UTAH.EDU
295.  
296. ------------------------------
297.  
298. Date:    Fri, 03 Jan 92 14:09:42 -0600
299. From:    THE GAR <GLWARNER@SAMFORD.BITNET>
300. Subject: List of Viruses (PC)
301.  
302. Someone faxed me a list of viruses, that I believe he got from Center
303. Point, with codes for him to enter to update his virus information for
304. the package.  He sent it to me to show how many viruses Center Point
305. protected him from that McAfee fails to protect me from.
306.  
307. My question (McAfee rep?) is whether these are actually detected by
308. McAfee but called something else.
309.  
310. Also, can anyone identify any of the following that are especially
311. prevalent?  Or are these mostly "laboratory" viruses?
312.  
313. In case anyone out there cares, the only viruses I have SEEN in
314. Birmingham AL are Stoned, Ping-Pong, Ping-Pong B, Dark Avenger,
315. and Jerusalem, with Stoned and Ping being the only ones that really
316. seem to have staying power.
317.  
318. 1590                         Golden Gate 1
319. 740                          Golden Gate 2
320. 805                          HIV
321. Amoeba 2                     Horse II
322. Anarkia                      Justice
323. Anthrax PT                   Kylie
324. April 15                     Lunch
325. Beast C                      Omicron PT
326. Beast D                      PC Bandit
327. Cascade YAP                  Phoenix
328. Dark Lord                    Stoned III
329. Decide                       Suomi
330. Den-Zuk 2                    Tequila
331. Diamond                      Twelve Tricks
332. Doctor                       Vienna 656
333. Drug                         Virdem 792
334. Faggot                       Vriest
335. France                       Zapper
336.  
337.  
338.  /++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++\
339. !  Later        +   Systems Programmer                                 !
340. !  Gary Warner  +   Samford University Computer Services               !
341. !               +   II TIMOTHY 2:15                                    !
342.  \+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++/
343.  
344. ------------------------------
345.  
346. Date:    Fri, 03 Jan 92 15:12:42 -0500
347. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
348. Subject: DOS 5.0 FDISK & older O/Ses (PC)
349.  
350. Y. Radai <RADAI@HUJIVMS.BITNET> writes:
351.  
352. >.., and those who
353. >do  seem to be unaware that it can also be used on machines running
354. >DOS *prior to Ver. 5*.  All that is necessary is to find a (clean) DOS
355. >5 system diskette, to copy FDISK.EXE from DOS 5 onto that diskette, to
356. >cold boot the infected machine from the diskette, and then to perform
357. >FDISK /MBR .  Works beautifully.
358.  
359. One caveat: Certain older Zenith DOS versions (think 3.0 3.1 & 3.2) &
360. possibly some others have boot records that seem to expect some
361. registers to be passed intact from the MBR to the BR code. After using
362. a "generic" MBR replacement I have occasionally encountered an
363. "Unformatted Partition" message & lockup from the BR on these machines
364. when booting from the fixed disk. In this case booting from a floppy
365. executes ok & the C: drive is then accessable.
366.  
367. Should this occur you will need to either SYS the fixed disk, patch in
368. a new "generic" Boot Record (not that difficult - five minutes with a
369. bootable floppy & debug)), FDISK the fixed disk with the original O/S
370. (lose all data, do not pass Go), replace the MBR with the original (if
371. you have a back-up), or upgrade to a different O/S version.
372.  
373. Or you could use FixMBR.
374.                         Warmly,
375.                             Padgett
376.  
377.         <padgett%tccslr.dnet@mmc.com>
378.                   Isn't diversity wonderful ?
379.  
380. ------------------------------
381.  
382. Date:    Fri, 03 Jan 92 20:28:41 -0800
383. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
384. Subject: New strain of Murphy? Amilia (PC)
385.  
386. I have received a new virus, originally reported to Delta Base 
387. Enterprises here.  I have not been able to examine it in detail, but 
388. telephone reports indicate it is unidentified by any scanners except 
389. FPROT 2.01, which identifies it as Murphy HIV.
390.  
391. Delta Base has already done fairly extensive testing of the virus.  It 
392. appears to be a "fast file infector", infecting every file that is 
393. opened.  (A sweep of the system with a commercial antivirus product was 
394. apparently responsible for the infection of all 361 program files.)  It 
395. appears to infect both .COM and .EXE files.  To this point, no bounds 
396. have been found on the size of programs infected.
397.  
398. The text string "AmiLia I Viri  -  [NukE] i99i" appears at the beginning 
399. of the infection.  The text section also refers to "Released Dec91 
400. Montreal".  This indicates that the virus has spread extensively since 
401. its release.  In Vancouver, it appears to have been obtained, in one 
402. instance, from a BBS known as Abyss.  Notification to the sysop revealed 
403. that he had had trouble with the infected file and subsequently deleted 
404. it.  However, there are other indications that the infection may have 
405. come from several sources in Vancouver.
406.  
407. ============= 
408. Vancouver      p1@arkham.wimsey.bc.ca   | "Remember, by the
409. Institute for  Robert_Slade@mtsg.sfu.ca |  rules of the game, I
410. Research into  CyberStore               |  *must* lie.  *Now* do
411. User            (Datapac 3020 8530 1030)|  you believe me?"
412. Security       Canada V7K 2G6           |    Margaret Atwood
413.  
414. ------------------------------
415.  
416. Date:    05 Jan 92 08:03:13 -0700
417. From:    "Taisir.Jawberah" <CCA3607@SAKAAU03.BITNET>
418. Subject: Help with virus (PC)
419.  
420. I found new virus called "Amobiaii" I formated my hrddisk but still
421. their i try with scan&clean84 but didnt clean it How can i remove this
422. virus please more information about this virus
423.  
424. Any help appreciated
425.  
426. Taisir  Jawberah
427. king abdul aziz unversity
428. jeddah
429.  
430. ------------------------------
431.  
432. Date:    Tue, 07 Jan 92 00:57:00 +0000
433. From:    lev@amarna.gsfc.nasa.gov (Brian S. Lev)
434. Subject: Re: Macs Running Soft PC (Mac) (PC)
435.  
436. fprice@itsmail1.hamilton.edu (Frank Price) writes...
437. >SoftPC does such a good job of emulating an MS-DOS machine that many
438. >(most?  virtually all?) viruses WILL infect it. SoftPC uses a (big)
439. >data file for the contents of the simulated PC's hard drive. I believe
440. >Mac antiviral programs consider this to be a data file and do not
441. >check it. Even if they did, they would not know how to recognize
442. >MS-DOS viral code.
443.  
444. Ummm... I'm not 100% positive, but I seem to remember the more recent
445. versions of the Mac's "Big 4" (Disinfectant, Virex, SAM, SUM) all _do_
446. look at data files if you tell 'em to scan your disk...
447.  
448. - -- Brian Lev
449.  
450. +----------------------------------------------------------------------------+
451. |  Brian Lev/Hughes STX Task Leader        301-286-9514                      |
452. |  NASA Goddard Space Flight Center        DECnet: SDCDCL::LEV               |
453. |  Advanced Data Flow Technology Office    TCP/IP: lev@dftnic.gsfc.nasa.gov  |
454. |  Code 930.4                              BITNET: LEV@DFTBIT                |
455. |  Greenbelt, MD  20771                    TELENET: [BLEV/GSFCMAIL]          |
456. |     X.400 Address: (C:USA,ADMD:TELEMAIL,PRMD:GSFC,O:GSFCMAIL,UN:BLEV)      |
457. +----------------------------------------------------------------------------+
458.  
459. ------------------------------
460.  
461. Date:    Fri, 03 Jan 92 20:06:15 -0800
462. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
463. Subject: General questions about viruses
464.  
465. nkjle@locus.com (John Elghani) writes:
466.  
467. > Can someone help me with the following questions:
468.  
469. Perhaps, but you seem to be confusing the types of operations that go
470. on in a microcomputer, and those which are more common in "linked
471. mainframes".
472.  
473. > 1- A virus obviously is a program that is CPU bound, io bound, ..etc.
474. >   i.e. it occupies system's resources.  Some could probably delete
475. >   all files on a system? right?
476.  
477. Once a virus has been invoked on a system, it can do anything that is
478. possible through software.  It is possible to delete all the files on
479. a system through software, therefore it is possible for a virus to do
480. it.
481.  
482. > 2- How does it transfer across networks.  How does it know a phone number
483. >    (modem #) of a remote node.
484.  
485. In a PC situation, a virus is transfered by some (usually unknowing)
486. person.  This can be through a file transfer, email, or simple disk
487. swapping.  Mainframe networks, such as Usenet or the Internet, have
488. procedures whereby programs can be automatically transferred from one
489. machine to another, and started on the remote machines.  Network viri
490. (sometimes referred to more specifically as worms) use these
491. functions.  Some, such as the CHRISTMA EXEC, rely on advanced email
492. functions and high level language interpretters.  These use the
493. "directorie files" to "find" other machines.
494.  
495. > 3- How does it get tracked down.  By program name? if so, then what if
496. >    this virus changes its name? are we in trouble?
497.  
498. Viri get tracked down in a number of ways.  Program names have little
499. to do with it, since viri "attach" to existing programs.
500.  
501. > 4- When it makes it to disk, how does it tell the Kernel that it wants
502. >   to run the system.  It it something like a daemon tht sleeps and
503. >   wakes up?
504.  
505. How it wakes up depends upon what type of system it is in and how it
506. got there.
507.  
508. These answers were done quickly, and are simplistic to the point of
509. inaccuracy.  They are only meant as a starting point.  (Ken, are the
510. CVP files available yet?)
511.  
512. ============= 
513. Vancouver      p1@arkham.wimsey.bc.ca   | "Remember, by the
514. Institute for  Robert_Slade@mtsg.sfu.ca |  rules of the game, I
515. Research into  CyberStore               |  *must* lie.  *Now* do
516. User            (Datapac 3020 8530 1030)|  you believe me?"
517. Security       Canada V7K 2G6           |    Margaret Atwood
518.  
519. ------------------------------
520.  
521. Date:    Mon, 06 Jan 92 15:50:17 +0000
522. From:    ctika01@mailserv.zdv.uni-tuebingen.de (George Kampis)
523. Subject: theoretical literature on viruses?
524.  
525. Is there any work out there on a *theoretical* treatment of
526. computer viruses?
527.  
528. Such as, for instance, description of virus computation, what kind of
529. viruses are possible etc, how to test them, is there a virus that
530. escapes every test, or, is there a test that catches every virus, and
531. so on...
532.  
533. I suspect the latter will lead to halting-problem-like questions -
534. would be interested to see if anybody did work on that (pls don't mix
535. it with self-reproducing automata a la von Neumann etc)
536.  
537. Thanks, George Kampis Tubingen FRG
538.  
539. ------------------------------
540.  
541. Date:    06 Jan 92 17:14:47 +0000
542. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
543. Subject: Re: Virus capable of infecting Mainframes and PCs
544.  
545. AGUTOWS@WAYNEST1.BITNET (Arthur Gutowski) writes:
546.  
547. > >   Question for all:  Is there a virus that can infect BOTH  PCs and
548. > >Mainframes?  The place where I am working is networking and I am trying
549. > >to find out what possible threats can arise from this.
550.  
551. > Not yet.  And I don't think there could be.  Not with the major differences
552.  
553. Sorry to disagree. Such viruses are relatively easy to write and
554. they'll appear sooner or later.
555.  
556. > between program execution, and for that matter, operation codes on these
557. > different platforms.  For example, X'D20750006000' in MVS translates to
558. > MVC 0(8,R5),0(,R6) which moves 8 bytes from a location pointed to by
559. > register 6 into a location pointed to by R5.  This hex string, even if
560. > it could be downloaded to a PC in its origional form without get translated
561. > by whatever protocol you happen to be using, is *probably* (I'm not a PC
562.  
563. The example you gave might be meaningless indeed, but it is possible
564. to write a program which runs on two different processors. Anybody who
565. has installed a CP/M card in an Apple ][ computer probably knows this.
566. (If not, just think - there are -two- processors present, 6502 and
567. 8080, but only the first is active on boot-up. So, the boot sector of
568. a CP/M diskette for such computers -must- contain code which executes
569. on 6502. Obviously, it has at some time activate the 8080 and transfer
570. control to it. When the 8080 gets activated, the code which begins to
571. get interpretted -must- be valid for it. So...) Even the well-known
572. Internet worm contained code for two different kinds of computers -
573. SUNs and VAXes... So, it -IS- possible. And, since it is possible, it
574. - -WILL- be done - sooner or later.
575.  
576. > assembler guru) meaningless once it gets there.  The effort expended in
577. > trying to get something on a mainframe downloaded to a PC and executed there
578. > would be wasted.
579.  
580. Right, but the opposite is not true, and that's what we'll probably
581. see in the near future. It is possible to design a virus, which
582. spreads on PCs, and, as soon as it detects that the PC is used as a
583. terminal to connect to mainframe, releases a virus (or worm) to the
584. mainframe. It can be done. It will be.
585.  
586. Regards,
587. Vesselin
588. - -- 
589. Vesselin Vladimirov Bontchev         Virus Test Center, University of Hamburg
590. Bontchev@Informatik.Uni-Hamburg.De   Fachbereich Informatik - AGN, rm. 107 C
591. Tel.:+49-40-54715-224, Fax: -246     Vogt-Koeln-Strasse 30, D-2000, Hamburg 54
592.  
593. ------------------------------
594.  
595. Date:    20 Dec 91 10:04:40 -0400
596. From:    wood@covax.commerce.uq.oz.au (Malcolm Wood)
597. Subject: Re: Hardware damage
598.  
599. > There is also a story, likely apocryphal, that one computer
600. > company set up a "portable" computer, including banks of disk
601. > drives, in a semi-trailer for demos.  The first time the truck
602. > took a turn with all the drives running, it flipped over due to
603. > the enormous stored angular momentum of the spinning platters.)
604.  
605. Can I stop this myth before it gets around?  The banks of disk drives 
606. you refer to would be of the old 'washing-machine' cabinet style, with 
607. vertical axes.  There would be no strange torque effects while 
608. cornering because the truck's turn would also be about a vertical 
609. axis.  
610.  
611. Also, even with the old-style drives, the spinning mass is not
612. 'enormous', they were always thin aluminium platters whose mass is 
613. negligible compared to, eg, the flywheel of the truck.
614.  
615. The most likely problem would be vibration-induced head crashes.
616.  
617. "The world's biggest portable computer" is an interesting thought,
618. though ... power supply? Cooling system? Operator's console? A trailer 
619. full of TTY's for the users?
620.  
621. - -------------------------------------------------------------------------
622. Malcolm Wood, Faculty of Commerce and Economics, University of Queensland
623. WOOD@COMMERCE.UQ.OZ.AU
624. - -------------------------------------------------------------------------
625.  
626. ------------------------------
627.  
628. Date:    06 Jan 92 22:42:13 +0000
629. From:    vail@tegra.com (Johnathan Vail)
630. Subject: Re: General questions about viruses
631.  
632. nkjle@locus.com (John Elghani) writes:
633.  
634.    1- A virus obviously is a program that is CPU bound, io bound, ..etc.
635.      i.e. it occupies system's resources.  Some could probably delete
636.      all files on a system? right?
637.  
638. right.  anything that any other program can do can possible be done by
639. a virus.
640.  
641.    2- How does it transfer across networks.  How does it know a phone number
642.       (modem #) of a remote node.
643.  
644. a virus, as opposed to other computer nasties like worms, attach
645. themselves to other programs.  People transferring programs either by
646. diskette or modem or networks are the transmission vector for viruses.
647.  
648.    3- How does it get tracked down.  By program name? if so, then what if
649.       this virus changes its name? are we in trouble?
650.  
651. Virus scanners typically work by looking for particular "signature"
652. strings in programs and memory of known viruses.  Some viruses could
653. try to "mutate" themselves to thwart this and new viruses are not
654. detected by these kinds of detection programs.  Then there are
655. "stealth" viruses that attempt to hide their existence by trapping
656. system calls.
657.  
658. To answer specifically: new viruses get "tracked down" when their
659. symptoms are detected by carefully disassembling the code on infected
660. files and disks.  Once identified, their signature strings can be
661. added to the virus scanners.  Since most viruses exist in the system
662. boot sectors or in executable programs tracking my a particular
663. program name is not useful.
664.  
665.    4- When it makes it to disk, how does it tell the Kernel that it wants
666.      to run the system.  It it something like a daemon tht sleeps and
667.      wakes up?
668.  
669. viruses get their execution thread when their "host" program is
670. executed.  they can then install themselves in memory or just do their
671. work before passing control on to the "host" program.
672.  
673. if the virus installs itself in memory it may get executed based on a
674. timer but more frequently by trapping operating system calls (BIOS and
675. DOS calls on a PC).
676.  
677. hope this helps...
678.  
679. jv
680.  
681.  
682. "Always Mount a Scratch Monkey"
683.  _____
684. |     | Johnathan Vail     vail@tegra.com     (508) 663-7435
685. |Tegra| jv@n1dxg.ampr.org    N1DXG@448.625-(WorldNet)
686.  -----  MEMBER: League for Programming Freedom (league@prep.ai.mit.edu)
687.  
688. ------------------------------
689.  
690. Date:    Fri, 03 Jan 92 16:20:59 -0800
691. From:    mcafee@netcom.com (McAfee Associates)
692. Subject: WSCAN85.ZIP - Windows 3.0 version of VIRUSCAN V85 (PC)
693.  
694. I have uploaded to SIMTEL20:
695.  
696. pd1:<m
697. Downloaded From P-80 International Information Systems 304-744-2253
698.