home *** CD-ROM | disk | FTP | other *** search

---

/ Phoenix Rising BBS / phoenixrising.zip / phoenixrising / vir-docs / v05i004.txt

< prev

next >

Wrap

Internet Message Format  |  1992-09-27  |  21KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V5 #4
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Wednesday,  8 Jan 1992    Volume 5 : Issue 4
9.  
10. Today's Topics:
11.  
12. Norton Anty Virus (PC)
13. Stoned virus questions (PC)
14. Re: Michelangelo virus on Zyxel disk (PC)
15. New Virus (Ultimate Weapen)? (PC)
16. Joshi Virus and IDE Hard Drives (PC)
17. Looking for info on "Friday the 13th" virus (PC)
18. Avoid false alarms/ don't run SCAN when VWATCH is active(PC)
19. (forwarded) Is it a virus or is it memorex (Mac)
20. RE:Theoretical Literature on Viruses
21. Re: Geraldo Show: Claims Viruses can blow up Monitors
22. Virus Reserce
23. re: theoretical literature on viruses?
24. New data integrity anti-virus product (PC)
25. WSCANV85.ZIP (PC)
26. Write protection - hardware
27.  
28. VIRUS-L is a moderated, digested mail forum for discussing computer
29. virus issues; comp.virus is a non-digested Usenet counterpart.
30. Discussions are not limited to any one hardware/software platform -
31. diversity is welcomed.  Contributions should be relevant, concise,
32. polite, etc.  (The complete set of posting guidelines is available by
33. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
34. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
35. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
36. Information on accessing anti-virus, documentation, and back-issue
37. archives is distributed periodically on the list.  Administrative mail
38. (comments, suggestions, and so forth) should be sent to me at:
39. krvw@CERT.SEI.CMU.EDU.
40.  
41.    Ken van Wyk
42.  
43. ----------------------------------------------------------------------
44.  
45. Date:    Tue, 07 Jan 92 15:31:55 +0700
46. From:    Cezar Cichocki <CEZAR@PLEARN.BITNET>
47. Subject: Norton Anty Virus (PC)
48.  
49. Hi folks,
50. I use Peter Norton's programm and I very interesting in his antyviral
51. program. Somebody said me that there is Shareware version of NAV
52. (about 1.5 or something like this). Is this true ?
53. And if it's true, where can I catch this program ?
54. Cezar Cichocki
55. p.s. Best New Year's wishes to all folks on this list !
56.  
57. ------------------------------
58.  
59. Date:    Tue, 07 Jan 92 14:15:31 +0000
60. From:    keshava@is.Morgan.COM (Sanjay Keshava)
61. Subject: Stoned virus questions (PC)
62.  
63. One secretary's PC has been infected with the STONED virus.
64.  
65. What effect does this virus have on the PC?  How is it propagated?
66. Where does it reside?
67.  
68. We used Macaffee's SCAN and CLEAN programs to neutralize it, but it
69. still recurs at unpredictable intervals.  (We may have some floppies
70. that are infected and un-neutralized, so that could be the problem.)
71.  
72. Please reply via email.
73.  
74. Thanks.
75. - --
76. Later...
77.  
78. Sanjay   Greetings to alumni: Anteater ('84), Trojan ('87), Longhorn ('91)
79. - ->|<-                        keshava@is.morgan.com
80.                          ...uunet!is.morgan.com!keshava
81.            Morgan Stanley & Co., Inc., Equities Analytical Research, NYC
82.  
83. ------------------------------
84.  
85. Date:    Tue, 07 Jan 92 18:22:20 +0200
86. From:    Tapio Keih{nen <tapio@nic.funet.fi>
87. Subject: Re: Michelangelo virus on Zyxel disk (PC)
88.  
89. >I've just become the proud owner of a Zyxel U-1924E modem (hurray!),
90. >but found the Michelangelo virus on the disk I got with it (boo!).
91. >The disk was not write-protected and the envelope it came in was open,
92. >so I cant say for sure whether it was Zyxel or the distributor.
93.  
94. It could have been Zyxel, because I've got reports of infected Zyxel
95. disks from Germany, USA and Finland.
96.  
97. Tapio Keih{nen - tapio@nic.funet.fi
98.  
99. ------------------------------
100.  
101. Date:    Tue, 07 Jan 92 15:52:17 +0100
102. From:    overdijk@ECN.NL
103. Subject: New Virus (Ultimate Weapen)? (PC)
104.  
105. Dear readers,
106.  
107.     I've got a friend with a possible virus on his disks...
108. SCANV85 doesn't detect this beast.  He has a HISCREEN 386sx
109. machine. I haven't seen the problem myself, but after discussion
110. I understood the following:
111.  
112. Symptoms:
113. - - It appears that the 'virus' is activated after january 1-st, 1992
114.  
115. - - After boot, a message is displayed:
116.  
117.    +-------------------------------------------+
118.    ! The Ultimate Weapon has arrived,          !
119.    ! please contact the nearest police station !
120.    ! to tell about the illegal copying of you  !
121.    +-------------------------------------------+
122.  
123.   (Yes, I had a 'printscreen' of the message)
124.   (No, I don't know if he has an illegal copy of a program ;-))
125.  
126. - - System hangs.
127.  
128. - - After boot from floppy in A: he found ALL his files and directory's
129.   in the root and next directory-level renamed to CRIMINAL.001,
130.   CRIMINAL.002, CRIMINAL.003 ..... etc.
131.  
132.     After a format of the HD the virus was gone (of course).  My
133. friend believes he still has the virus on one of his floppy's, but
134. doesn't know on wich one. He is going to try to reproduce the problem
135. to find out which floppy is guilty. Listening to his story, it appears
136. to me that it might be a boot-sector virus...
137. I couldn't find any hint in Patricia Hoffman's VSUM list...
138.  
139. Has anyone heard/seen this virus before?
140.  
141. Greetings,
142.              Harrie Overdijk      Internet : overdijk@ecn.nl
143.              ECN - Petten           BITNET : Not any more
144.              The Netherlands      Noisenet : ++31-2246-4597
145.              Europe                Fidonet : 2:500/43.1902    (At home!)
146.  
147. ------------------------------
148.  
149. Date:    Tue, 07 Jan 92 21:18:33 +0000
150. From:    arg@netcom.netcom.com (Greg Argendelli)
151. Subject: Joshi Virus and IDE Hard Drives (PC)
152.  
153. How are people removing the Joshi virus from IDE hard drives?  Based
154. on what I have read in Patricia's VSUM program, the only way to reomve
155. the virus is via a low-level format.  Since we can't do such a format
156. on an IDE, do we wind up trashing the drive?  Inquiring minds need to
157. know.  McAfee's scan/clean find it, and claim to clean it, but
158. don't....
159.  
160. - -arg
161. (arg@arghouse.uucp)
162.  
163. - -- 
164. "By this time my lungs were aching for air..."   |The Listening Post BBS
165.                 MST3K            |arg@arghouse.uucp
166.  
167. ------------------------------
168.  
169. Date:    Tue, 07 Jan 92 21:34:39 +0000
170. From:    forbes@cbnewsf.cb.att.com (scott.forbes)
171. Subject: Looking for info on "Friday the 13th" virus (PC)
172.  
173. I'm a Macintosh owner and UNIX programmer with little experience
174. dealing in MS-DOS viruses, but I seem to remember hearing about a
175. virus which attacked hard drives on Friday the 13th.
176.  
177. I also have a PC which recently lost its hard drive, at approximately
178. the stroke of midnight on Friday, December 13.  :-) I don't think this
179. is a coincidence, and would like to find out more about the virus in
180. question to prevent a recurrence.
181.  
182. The hard disk received a low-level format, but I still don't know the
183. source of infection and could re-infect the machine at any time.
184. E-mail pointers would be greatly appreciated.
185.                                    ====
186.                                  =---====
187. Scott Forbes            AT&T Network Wireless Systems    =-----====
188.                 forbes@toolserv.att.com        ==---=====
189.                                  ========
190. UNIX is a trademark of UNIX System Laboratories.           ====
191. AT&T is a modem test command.
192.  
193. ------------------------------
194.  
195. Date:    Tue, 07 Jan 92 15:39:00 -0600
196. From:    Ken De Cruyenaere 204-474-8340 <KDC@UOFMCC.BITNET>
197. Subject: Avoid false alarms/ don't run SCAN when VWATCH is active(PC)
198.  
199. I thought I would post this to help someone else avoid the virus
200. "scare" I had over Christmas.  When I tried to scan (McAfee V85) a
201. diskette I had just recd in the mail from Australia, Scan told me I
202. had three viruses
203.   BRAIN
204.   LOZINSKY
205.   INVADER
206. active in memory and to power down immediately and reboot from
207. a clean floppy.
208. To make a long story (Scan kept finding them but Clean and other
209. antivirals did not) short, I eventually phoned the McAfee number
210. and spoke to Aryeh Goretsky.  He immediately diagnosed my problem:
211.  I had (Central Point's) VWATCH running (on my IBM PS/1).
212. It seems VWATCH's search strings are not encrypted and SCAN finds
213. things it thinks are viruses.
214.   When I subsequently tried the same thing on my PC at work
215. (UNISYS model 300), SCAN only "found" the BRAIN virus, so
216.  
217. I guess different platforms get different false alarms...
218.    Ken
219. - ---------------------------------------------------------------------
220. Ken De Cruyenaere - Computer Services
221. University of Manitoba - Winnipeg, Manitoba, Canada, R3T 2N2
222. Bitnet: KDC@CCM.UManitoba.CA   Voice:(204)474-8340 FAX:(204)275-5420
223.  
224. ------------------------------
225.  
226. Date:    Wed, 08 Jan 92 08:06:37 -0500
227. From:    Tom Coradeschi <tcora@PICA.ARMY.MIL>
228. Subject: (forwarded) Is it a virus or is it memorex (Mac)
229.  
230. Forwarded from Info-Mac Digest.
231.  
232.                 tom coradeschi    <+>    tcora@pica.army.mil
233.  
234. - ----- Forwarded message # 1:
235.  
236. Date: 7 Jan 92 14:06:38 EDT
237. From: "Eric Rick"  <EFR@vetmed1.vetmed.ufl.edu>
238. Subject: Is it a virus or is it memorex
239.  
240. A challenge for all ye guru types and Apple virologists.
241.  
242. The following disturbing message has started showing up on my mac
243. lately:
244.  
245.  _____________________________________________________________________
246.  |        _ *                                                        |
247.  |   ____/                                                           |
248.  |  /    \                                                           |
249.  |  |    |                                                           |
250.  |   \__/                                                            |
251.  |           So sad, too bad, I just run pro                         |
252.  |                                                                   |
253.  |                                                                   |
254.  |   ID = 2                                                          |
255.  |___________________________________________________________________|
256.  
257.  ...it then locks up which kills anything you were doing, must reboot.
258. The ID number may be different but the message is exact.  The thing in
259. the left corner that looks like an acorn is the typical Apple bomb.
260. It seems to happen mostly in Microsoft Excel, but has happened in
261. ZBASIC also.
262.  
263. Equipment: 512KE, YAH that's right 512KE, with a MacRescue board with
264. 2megs, one external diskette drive, System 6.0.4 or 5, Imagewriter,
265. mouse, and a confused/angry user.
266.  
267. By the way, I have tried Disinfectant(I think version 1.5) on it and
268. it finds nothing.
269.  
270. Thanks for you help in advance.
271. EREric Rick
272. Univ of Florida
273. Coll of Vet Med
274. efr@vetmed1.vetmed.ufl.edu
275.  
276. ------------------------------
277.  
278. Date:    Tue, 07 Jan 92 19:10:00 -0500
279. From:    <RUTSTEIN@HWS.BITNET>
280. Subject: RE:Theoretical Literature on Viruses
281.  
282. George:
283.  
284. The most likely place to start would be Fred Cohen's doctoral thesis
285. on the topic.  One caveat, however: the price.
286. I had wanted to do some research on the topic, and had contacted Dr.
287. Cohen as a student.  I asked where I might be able to get a copy of
288. his thesis (or other writings on the topic), and was told that he had
289. not permitted the issuing institution to keep a copy of it, nor had he
290. registered it with the media services center in Ann Arbor.  He had
291. copywrited it and told me that the only way I could take a look at it
292. (for research as a student, remember) was to buy it from him for some
293. absurd price.  I've since gotten a copy, and it does contain some
294. interesting information...if you're at all interested in the theory.
295. There have been several experts who have argued against some of Cohen's
296. conclusions, and many of them appear to be correct.  It is, however, a
297. good introduction to the theory.
298. Hope this helps...If I ever get around to doing my own research, I'll
299. pass it along to everyon...for free!
300.  
301.                                           Charles
302.  
303. *****************************************************************************
304. Rutstein@HWS.BITNET
305. *****************************************************************************
306.  
307. ------------------------------
308.  
309. Date:    Wed, 08 Jan 92 00:49:27 +0000
310. From:    rslade@cue.bc.ca (Rob Slade)
311. Subject: Re: Geraldo Show: Claims Viruses can blow up Monitors
312.  
313. gerry@dialogic.com (Gerry Lachac) writes:
314. >featured viruses.  One so-called expert who has testified before
315. >Congress and has some book out claimed that there are viruses out now
316. >that can blow up monitors.
317. >
318. >Anyone know what the name of this one is? :-)
319.  
320. I believe that would be the
321. "No-that's-not-a-monitor-that's-a-TV-stupid" virus.  Extremely
322. infective.  Transmits from TV to brain causing instant mush.
323.  
324. Well, sorry for the flamelike resonse (certainly not directed at Gerry
325. :-), but I post my columns on Fidonet as well, and you should see the
326. nonsense I'm getting back from the recent one on hardware damage ...
327.  
328. ============= 
329. Vancouver      p1@arkham.wimsey.bc.ca   | 
330. Institute for  Robert_Slade@sfu.ca      | The user interface
331. Research into  rslade@cue.bc.ca         | is the boundary of
332. User           CyberStore Dpac 85301030 | trustworthiness.
333. Security       Canada V7K 2G6           | 
334.  
335. ------------------------------
336.  
337. Date:    Tue, 07 Jan 92 15:07:22
338. From:    <2wsa115@gc.bitnet>
339. Subject: Virus Reserce
340.  
341. Well I've decided that viruses will be the topic for my English 102
342. couse, so I need to get some questions answered.  First of all, are
343. there any positive neads for Viruses and are any of the major software
344. developers researching and creating new Viruses.  If anyone knows of
345. books that would provide good research material let me know please
346.  
347.                        Thanx
348.                         Jeff Harris
349.  
350. ------------------------------
351.  
352. Date:    07 Jan 92 17:11:55 -0500
353. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
354. Subject: re: theoretical literature on viruses?
355.  
356. > From:    ctika01@mailserv.zdv.uni-tuebingen.de (George Kampis)
357. >
358. > Is there any work out there on a *theoretical* treatment of
359. > computer viruses?
360.  
361. I'd recommend (to everyone) the book "Rogue Programs", edited by Lance
362. Hoffman*.  It's a collection of papers by various reasonably
363. legitimate folks (well, including me), and includes a section on
364. theory that has the two basic Fred Cohen papers, which will address at
365. least some of what you want.
366.  
367. > I suspect the latter will lead to halting-problem-like questions -
368. > would be interested to see if anybody did work on that (pls don't mix
369.  
370. Yep, Fred Cohen proves that perfect detection (given a program, is it
371. a virus?) is about equivalent to the halting problem.  Of course, this
372. doesn't say anything about 99.99% detection, or perfect detection on
373. any program smaller than 64 megabytes, or...  *8)
374.  
375. > (pls don't mix it with self-reproducing automata a la von Neumann
376. > etc)
377.  
378. Why not?   I would think that some of von N's results might be
379. directly relevant to computer virus theory?
380.  
381. DC
382.  
383. * ISBN 0-442-00454-0, Van Nostrand Reinhold, 1990
384.  
385. ------------------------------
386.  
387. Date:    06 Jan 92 23:54:15 -0500
388. From:    Wolfgang Stiller <72571.3352@CompuServe.COM>
389. Subject: New data integrity anti-virus product (PC)
390.  
391.   I've just confirmed that Integrity Master(tm) my new data integrity
392. and anti-virus product is available on SIMTEL20 (I-M102B.ZIP).
393. Integrity Master(tm) is an easy to use, data integrity, change
394. management, security, and anti-virus program.  It is a descendant of
395. PC Magazine's PCdata integrity toolkit which is still available as
396. free software.  Unlike my PCdata toolkit, Integrity Master is
397. shareware ($35 US).  Integrity Master detects known viruses
398. specifically using scanning techniques and generically by indentifying
399. specific changes.  Cluster (Dir-2) and companion type viruses are
400. specifically recognized.
401.  
402.    Integrity Master is a high performance assembly language program,
403. providing function and performance far beyond any other data integrity
404. software, yet is easy enough for novice users.
405.  
406. Some distinguishing features:
407.  
408. 1) Integrity Master recognizes known viruses by name and will describe
409.    their characteristics and then guide you through their removal.
410.  
411. 2) It can detect not only existing viruses, but will detect as yet unknown
412.    viruses, by virtue of its ability to detect changes to any file or
413.    system sector.
414.  
415. 3) Integrity Master will detect any form of file or program corruption, not
416.    just that caused by viruses.  This makes Integrity Master a useful tool
417.    to provide PC security, change management and hardware error detection.
418.  
419. 4) Integrity Master understands which files and areas on your disk are
420.    special and provides specific diagnosis and recovery if these areas
421.    have changed.
422.  
423. 5) Integrity Master can reload system sectors, even on disks which are
424.    so badly damaged that DOS can no longer recognize them.
425.  
426. Integrity Master is also available through any ASP BBS, SDN BBS and
427. on CompuServe IBMSYS lib 3 file I-M102.EXE.
428.  
429.    Wolfgang Stiller  (Author of Integrity Master(tm) and PCdata)
430.  
431. ------------------------------
432.  
433. Date:    Tue, 07 Jan 92 08:21:00 -0500
434. From:    HAYES@urvax.urich.edu
435. Subject: WSCANV85.ZIP (PC)
436.  
437. The new version of McAfee Associates SCAN for Windows is now available for FTP
438. processing from our site as WSCANV85.ZIP.  The file was fetched from McAfee's
439. BBS.
440.  
441. Site:        University of Richmond
442. Address:        urvax.urich.edu, IP# 141.166.1.6
443. Directory:    [.msdos.antivirus]
444. Filename:    WSCANV85.ZIP
445. User:        anonymous
446. Password:    your_email_address
447.  
448. Regards, Claude.
449.  
450. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
451. Claude Bersano-Hayes     HAYES @ URVAX                 (Vanilla BITNET)
452. University of Richmond   hayes@urvax.urich.edu     (Bitnet or Internet)
453. Richmond, VA  23173
454.  
455. ------------------------------
456.  
457. Date:    Mon, 06 Jan 92 12:38:30 -0800
458. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
459. Subject: Write protection - hardware
460.  
461. DEFMTH4.CVP   920105
462.  
463.                   Write protection - hardware
464.  
465. Generally, in the microcomputer world, write protection is held
466. to mean write protection implemented by hardware.  Although it
467. is a truism that "whatever the hardware people can do, the
468. software people can emulate, and whatever the software people
469. can do the hardware people can emulate", it is physically
470. impossible to overcome a "sufficient" hardware protection with
471. software.  Note, however, that not all hardware protection
472. devices are as safe as they may seem at first glance.
473.  
474. First, the universal write protect "tab" on floppy disks.  It
475. *is* possible to write to *some* write protected drives. 
476. Certain systems (MS-DOS is not one) check for write protection
477. in software rather than hardware.  Thus, even though the write
478. protect device is hardware, the software checking can be
479. circumvented by a virus.  (In systems where the write protection
480. *is* effective, it is still the case that the notification of an
481. attempt to write to the drive is done through software, and so
482. the warning that something may be going on may be trapped by the
483. virus.
484.  
485. However, even on some MS-DOS systems, write protection may not
486. be reliable.  Some manufacturers use an optical, rather than
487. mechanical, sensor for the write protect tab or notch.  Using
488. "translucent" floppy disks, the "silvered" write protect tabs or
489. even the shiny black ones on 5 1/4" diskettes, may allow
490. sufficient light to get through to the sensor as to leave the
491. disk unprotected.  It is interesting to note that, because of
492. the two different protect tab designs, the hardware write
493. protection circuits for 5 1/4" diskettes generally "fail safe"
494. in a write disabled configuration, whereas 3 1/2" diskette
495. drives "fail" into a writable configuration.
496.  
497. (A pity.  I prefer the ability to protect and enable repeatedly
498. without building up gobs of tape adhesive around the notch.  And
499. when I did protect 5 1/4s, I used to use "magic" tape as it was
500. easier to remove.  These days I'm using "Post-it" notes ...)
501.  
502. As in the past, so again I will deplore the failure of drive
503. manufacturers to provide write protect switches on "fixed media"
504. hard drives.  Tape and cartridge media do have tabs or switches. 
505. Those knowledgeable about hardware and drive cabling can
506. "retrofit" switches, but recent tests at various sites with
507. hardware write protect switches have indicated problems with
508. certain types of drives.  No one procedure has been proposed
509. that works for all types of
510. Downloaded From P-80 International Information Systems 304-744-2253
511.