home *** CD-ROM | disk | FTP | other *** search

---

/ Phoenix Rising BBS / phoenixrising.zip / phoenixrising / vir-docs / v05i008.txt

< prev

next >

Wrap

Internet Message Format  |  1992-09-27  |  23KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V5 #8
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Wednesday, 15 Jan 1992    Volume 5 : Issue 8
9.  
10. Today's Topics:
11.  
12. Re: VIRUS at AT286 in SCAN85 (PC)
13. Re: Odd Problem with F-PROT 2.01 (PC)
14. Re: Does this behaviour sound like a virus (PC)
15. Re: Antitelifonica (A-VIR) (PC)
16. Re: Question re Stoned (PC)
17. Form virus infected Dos 5.0 diskettes (PC)
18. Re: Antitelifonica (A-VIR) (PC)
19. Re: NCSA has tested Antivirus Programs (PC)
20. Re: Gulf War "virus"
21. Re: Viruses against Iraq??????
22. LANs & Viruses
23. RE: NCSA Has Tested Anti-Virus Programs
24. Re: Military Viruses
25. Re: UNIX viruses, request for information (UNIX)
26. VIRX19.ZIP - VIRX v1.9: Easy to use free virus checker (PC)
27.  
28. VIRUS-L is a moderated, digested mail forum for discussing computer
29. virus issues; comp.virus is a non-digested Usenet counterpart.
30. Discussions are not limited to any one hardware/software platform -
31. diversity is welcomed.  Contributions should be relevant, concise,
32. polite, etc.  (The complete set of posting guidelines is available by
33. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
34. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
35. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
36. Information on accessing anti-virus, documentation, and back-issue
37. archives is distributed periodically on the list.  Administrative mail
38. (comments, suggestions, and so forth) should be sent to me at:
39. krvw@CERT.SEI.CMU.EDU.
40.  
41.    Ken van Wyk
42.  
43. ----------------------------------------------------------------------
44.  
45. Date:    Wed, 15 Jan 92 06:16:32 +0000
46. From:    mcafee@netcom.netcom.com (McAfee Associates)
47. Subject: Re: VIRUS at AT286 in SCAN85 (PC)
48.  
49. DVORACEK@CSEARN.BITNET (Jarda Dvoracek) writes:
50. >
51. >      !!!             AT 286  USERS              !!!
52. >      !!!   WARNING  !!!  WARNING  !!!  WARNING  !!!
53. >      !!!   SCANV85 INFECTED, CLEAR85 MAYBE TOO  !!!
54.                                   
55. Hello Jarda,                                   
56.  
57. >
58. >In Czechoslovakia, I got some new virus with the SCANV85.ZIP from some
59. >BBS. It makes all .COM, .EXE and .ASM files 10 bytes longer, the first
60.  
61. When SCAN is run with the /AV option, it will create a validation code
62. that is used to compare the file against so that it can be checked for
63. unknown virus.  This process adds ten (10) bytes to the end of .COM
64. and .EXE files.
65.  
66. [some of message deleted]
67. >During 3 days it has infected all files but COMMAND.COM, some of them
68. >worked normally, several terminated just after calling them.
69. [rest of message deleted]
70.  
71. SCAN does not add ten bytes to COMMAND.COM or the system files.
72. Instead, it stores the validation data in a hidden file in the root
73. directory called SCANVAL.VAL.
74.  
75. Regards,
76.  
77. Aryeh Goretsky
78. McAfee Associates Technical Support
79. - -- 
80. - - - -
81. McAfee Associates        | Voice (408) 988-3832 | mcafee@netcom.com  (business)
82. 4423 Cheeney Street      | FAX   (408) 970-9727 | "Welcome to the alligator 
83. Santa Clara, California  | BBS   (408) 988-4004 | farm..."
84. 95054-0253  USA          | v.32  (408) 988-5190 | CompuServe ID: 76702,1714
85. ViruScan/CleanUp/VShield | HST   (408) 988-5138 | or GO VIRUSFORUM 
86.  
87. ------------------------------
88.  
89. Date:    Wed, 15 Jan 92 10:48:19 +0000
90. From:    Fridrik Skulason <frisk@complex.is>
91. Subject: Re: Odd Problem with F-PROT 2.01 (PC)
92.  
93. In Message 9 Jan 92 18:40:00 GMT,
94.   WALKER@aedc-vax.af.mil (William Walker C60223 x457 writes:
95.  
96. >While testing F-PROT 2.01 against my suite of captive viri, I noticed a
97. >curious behavior.  When F-PROT prompted to "Press ENTER to scan next
98. >diskette," I swapped diskettes, pressed ENTER, and F-PROT began scanning
99. >the diskette, but the files it reported scanning were those on the
100. >previous diskette.
101.  
102. This problem has been fixed in version 2.02.  The problem only appears on
103. certain types of 360K drives - mostly old ones - which do not have a
104. disk change status line - 1.2M drives and 3.5" drives did not cause the
105. problem, which is why it never surfaced in testing.
106.  
107. Version 2.02 also corrects a few other problems:
108.  
109.   "Secure Scan" used to report a "possible new variant of Yaunch" when
110.   scanning certain files, including some OS/2 executables - fixed.
111.  
112.   "Analyse Program" would occasionally crash with a "Divide error"
113.   message - fixed.
114.  
115.   Version 2.01 had some problems when scanning Bernoulli boxes, and
116.   when run from the OS/2 DOS box - fixed.
117.  
118. The major changes in 2.02 are not bug fixes of course, but a
119. considerable speed improvement ans some other nice features.  It is
120. finished - I am just making some changes to the virus names, to bring
121. them in line with the recent "standard" naming scheme.
122.  
123. Expect to see an annoucement that 2.02 is available in a couple of days or
124. so.
125.  
126. - -frisk (author of F-PROT)
127.  
128. ------------------------------
129.  
130. Date:    Mon, 13 Jan 92 16:54:00 +0000
131. From:    Anthony Naggs <AMN@vms.brighton.ac.uk>
132. Subject: Re: Does this behaviour sound like a virus (PC)
133.  
134. In issue 1 Mark Saake reports:
135.  
136. >The other day I inserted a floppy into the A: drive on my pc and tried
137. >to do a dir.  I got the message back stating "Sector not found" and it
138. >was unable to read the disk.
139. >...
140. >I tried booting off a a floppy instead of the hard drive and was able
141. >to read other floppies fine, with and without write protect tabs.
142. >However, after some experimenting, I discovered that if I booted off
143. >the hard drive I could read floppies as long as they had the write
144. >protect tab on but the second I took the tab off the disks became
145. >trashed. Note that when booting off an original system floppy this
146. >behavior was not exhibited. Everything worked fine.
147.  
148. Yes Mark you definitely have a 'boot sector' virus, probably a variant
149. of New Zealand (also known as Stoned or Marijuana).
150.  
151. So what is happening?
152. Well, the first sector on each DOS diskette is the boot sector, this
153. carries a short 'boot strap' program and some information about the
154. disk format.  To infect a diskette the virus copies the original boot
155. sector to somewhere safe (towards the end of the root directory for
156. the New Zealand virus), and places a copy of itself in the first
157. sector.  The purpose of the bootstrap program is to examine the disk
158. and decide whether it is suitable to boot from, by ensuring the DOS
159. system files are present, and giving a warning message if they are
160. missing.
161.  
162. The effect you see is due to a major fault in the New Zealand virus,
163. and most of subsequent variants, it does not understand that there are
164. different diskette sizes.  It therefore doesn't include the the disk
165. size information in the new boot sector.  Without the disk size
166. information DOS does not correctly recognise some sizes of disk, eg it
167. assumes 1.2M diskettes are 360k and reads the root directory from the
168. wrong part of the disk.
169.  
170. The New Zealand virus spreads if you boot your PC from an infected
171. diskette, even if the diskette does not have the system files.  This
172. is because the virus is loaded by the BIOS ROM, the virus looks for a
173. hard disk and infects that, and then it loads the original bootstrap
174. program.
175.  
176. To confirm this run CHKDSK, for 640k of standard memory it should
177. normally report "655360 bytes total memory", with New Zealand virus in
178. memory this will be reduced to 653312.
179.  
180. The solution: either acquire some anti-virus software locally, or send
181. me your postal address & you can have a program of mine which will
182. disinfect your hard disk & should be able to recover all your floppy
183. disks.  To ensure that my program works with the virus version that
184. you have you can post a copy of an infected diskette to me:
185.         P.O. Box 1080,
186.         PEACEHAVEN
187.         East Sussex  BN10 8BT
188.         GREAT BRITAIN
189.  
190. Good luck with your clean up,
191.                             Anthony Naggs
192.                             ~~~~~~~~~~~~~
193.  
194. PS "Review: A Pathology of Computer Viruses"
195. Interested to see Gene Spafford's review especially as I am still
196. awaiting my review copy.  Ho hum.
197.  
198. ------------------------------
199.  
200. Date:    14 Jan 92 09:51:01 +0000
201. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
202. Subject: Re: Antitelifonica (A-VIR) (PC)
203.  
204. ahubbell@orlith.bates.edu (Arlyn Hubbell) writes:
205.  
206. > Antitelifonica.  According to McAffee's SCAN85 documentation it can
207. > only be cleaned using a program called M-DISK.  Has anyone out there
208.   ^^^^
209. Well, "only" is a bit hard... :-) M-DISK is certainly not the only
210. anti-virus program in the world, which can help you get rid of this
211. virus. In fact, if you have a DOS 5.0 system disk, you don't need any
212. anti-virus program at all in order to remove the virus from the hard
213. disk. Just run FDISK with the /MBR option. It will rewrite the master
214. boot sector program without touching your partition table information.
215. The bad news is that the virus might have already destroyed some
216. information on some kinds of hard disks, but that same happens with
217. Stoned...
218.  
219. You can remove the virus from diskettes (if their root directory
220. information has not been destroyed) by copying all the files to
221. another diskette and reformatting the infected one.
222.  
223. In order to remove the infection from the files (this is a
224. multi-partite virus), you need some kind of virus scanner, which will
225. tell you which files are infected, so you can delete them and replace
226. them from clean backups.
227.  
228. Of course, all this must be done while the virus is not active in
229. memory (i.e., after booting from a write-protected non-infected system
230. diskette), since the virus is a stealth one.
231.  
232. If you really want to disinfect the infected files (instead of
233. removing them), which I strongly discourage you, you might consider
234. getting a good disinfector. Dr. Solomon's Anti-Virus ToolKit is one,
235. but even McAfee's CLEAN 85 is able to disinfect this virus from the
236. files (and it is less expensive than the AVTK). Fridrik Skulason's
237. F-Prot 2.01 is also a good choice (read: it detects the virus
238. perfectly, but I haven't found time yet to test its disinfection
239. capabilities on this virus. You can contact Fridrik Skulason at
240. frisk@complex.is for more information.) and it is -very- cheap.
241.  
242. Regards,
243. Vesselin
244. - -- 
245. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
246. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
247. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
248.  
249. ------------------------------
250.  
251. Date:    14 Jan 92 10:56:00 +0000
252. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
253. Subject: Re: Question re Stoned (PC)
254.  
255. martin@cs.ualberta.ca (Tim Martin; FSO; Soil Sciences) writes:
256.  
257. > For stoned to infect a hard disk, the computer must be booted from an
258. > infected diskette.  It may be that in its current setup no student ever
259.  
260. The wording of the above sentence is not very exact, which often leads
261. to misunderstandings. (Tim, I know that you know what you're talking
262. about, you just didn't express it in the most exact way.)
263.  
264. The wording should be: "For Stoned to infect a hard disk, there must
265. be an ATTEMPT to boot from and infected diskette." Note that this does
266. not imply that the attempt is successful. According to my own
267. experience, most users get re-infected by Stoned not by actually
268. booting from and infected bootable diskette, but by forgetting an
269. infected data diskette (i.e., with no DOS or even any executable files
270. on it) in the A: drive when they are truning their computer on.
271.  
272. The trick is that when you see the "Press any key" message, the hard
273. disk is -already- infected.
274.  
275. Regards,
276. Vesselin
277. - -- 
278. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
279. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
280. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
281.  
282. ------------------------------
283.  
284. Date:    Tue, 14 Jan 92 11:05:49 +0000
285. From:    root@itnsg1.cineca.it (Valter Cavecchia)
286. Subject: Form virus infected Dos 5.0 diskettes (PC)
287.  
288. Some time ago we were infected by the Form (boot sector) virus.
289. Nothing serious happened, but among the computers infected few of them
290. were running Dos 5.0. We tried to remove the virus using M-DISK but
291. found that Dos 5.0 is not yet supported.  Is there a new version of
292. M-DISK available?  Is there any other way to clean up the diskettes
293. (without formatting :-)) ?
294.     Thanks a lot for any help
295.  
296.     Valter
297.  ---------------------------------------------------------------------------
298. |  Valter V. Cavecchia          | Bitnet:       cavecchi@itncisca           |
299. |  Centro di Fisica del C.N.R.  | Internet:     valter@itnsg1.cineca.it     |
300.  
301. ------------------------------
302.  
303. Date:    Tue, 14 Jan 92 13:43:12 +0000
304. From:    Fridrik Skulason <frisk@complex.is>
305. Subject: Re: Antitelifonica (A-VIR) (PC)
306.  
307. >We here at Bates College have just come across our first occurrence of
308. >Antitelifonica.
309.  
310. This virus is also known under the following names:
311.  
312.     Kampana (boot)
313.     Telefonica
314.     Spanish Telecom (boot)
315.     Telecom (boot)
316.  
317. It is a very rapidly spreading boot sector virus, which can be quite harmful
318. as it may reformat the disk on the 400th boot.
319.  
320. This virus is sometimes "dropped" by a different virus - a program virus,
321. which exists in several versions.  You probably have only the boot virus.
322.  
323. > According to McAffee's SCAN85 documentation it can
324. >only be cleaned using a program called M-DISK.
325.  
326. "only" is not correct - I think most other anti-virus programs, at least my
327. own - can disinfect it as well.
328.  
329. - -frisk
330.  
331. ------------------------------
332.  
333. Date:    Tue, 14 Jan 92 13:57:00 +0000
334. From:    Fridrik Skulason <frisk@complex.is>
335. Subject: Re: NCSA has tested Antivirus Programs (PC)
336.  
337. In Message 8 Jan 92 16:26:35 GMT, RZOTTO@DKNKURZ1.BITNET (Otto.Stolz) writes:
338.  
339. >   F-Prot V. 2.0                 | F. Skulason           | 129
340.  
341. Well, I'm not complaining...I was quite happy with the results, and getting
342. the top score has only helped me... :-)
343.  
344. Actually, the main reasons why I did not get a perfect score (140 points)
345. were:
346.  
347.     Speed - Version 2.0 was quite slow compared to some of the other
348.             scanners - a problem which has been fixed in 2.02.
349.  
350.    Handling of "self-infections" - I did not agree with this part of the
351.    review, but the question was what what the scanner program should do if
352.    it determined that it had been infected with a virus.
353.  
354.    Obviously 0 points were awarded if the scanner did not detect the
355.    infection, but my opinion was that the program should simply abort
356.    and announce that it had been infected, telling the user to reboot from
357.    a "clean" disk, and run an original copy of the program.
358.  
359.    They wanted to program to be able to disinfect itself in memory,
360.    disable the virus, if it was active in memory, and continue as if
361.    nothing had happened...something which I consider too dangerous.
362.  
363. >england) ranking among the best ones. Most apparently, high-quality
364. >European products in this domain will be recognized internationally.
365.  
366. Actually - quite a few of the "American" anti-virus program are actually
367. American at all...quite a few of them are just repackaged programs from
368. elsewhere...Israel for example.
369.  
370. - -frisk
371.  
372. ------------------------------
373.  
374. Date:    15 Jan 92 11:30:05 +0000
375. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
376. Subject: Re: Gulf War "virus"
377.  
378. fstuart@eng.auburn.edu (Frank Stuart) writes:
379.  
380. > CNN is reporting that a computer "virus" was used during the Gulf War.
381. > Reportedly, the virus was used to blank the screens of Iraq's air
382. > defense computers.  The alleged virus was supposed to have been hidden
383. > in a printer chip that was smuggled in from Jordan.  I (and many
384. > others, I'm sure) would be very interested if anyone has further
385. > information.
386.  
387. This is old news; I heard about that when I was in Bulgaria, maybe in
388. May. I'm afraid that it is based on an April 1st joke, published by a
389. computer magazine (was it Computerworld?)... It is, essentially,
390. nonsense, of course.
391.  
392. Regards,
393. Vesselin
394. - -- 
395. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
396. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
397. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
398.  
399. ------------------------------
400.  
401. Date:    15 Jan 92 14:44:04 +0000
402. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
403. Subject: Re: Viruses against Iraq??????
404.  
405. stus5239@mary.cs.fredonia.edu (Kevin Stussman) writes:
406.  
407. >     Virus on a chip?? How and when did it go off? What type virus?
408. > (it probably wasn't a real virus (not self replicating) but nasty
409. > screen killing code on a chip) So now hacking is now legal, but only
410. > during wartime against an enemy. (goes with killing)
411.  
412. Nonsense, complete nonsense. If it is in the printer, it cannot force
413. you to execute it. It cannot copy itself to the computer. It cannot
414. exist. Period.
415.  
416. The whole story is a rumor, just as the "modem virus", an excellent
417. article about which was posted by Rob Slade just in time.
418.  
419. And the rumor in this case is based on an April 1st joke, made by a
420. computer magazine.
421.  
422. Regards,
423. Vesselin
424. - -- 
425. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
426. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
427. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
428.  
429. ------------------------------
430.  
431. Date:    Mon, 13 Jan 92 16:33:16 -0500
432. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
433. Subject: LANs & Viruses
434.  
435. It is my conviction that part of effective LAN protection from Viruses
436. and other malicious software must center arount the ability of the
437. server to be able to authenticate clients prior to permitting access.
438. This requires the ability for the client to force the client to run
439. certain applications during the login process. While most
440. client-server networks provide for such login "scripts", I do not know
441. of any perr-peer networks that do. I would appreciate hearing from
442. users who know of any peer-peer networks that can force such action on
443. the requestor by the requestee (or alternately, any client-server
444. systems that cannot.
445.  
446. Please reply to me directly.
447.                         Warmly (73 today),
448.  
449.                             Padgett
450.  
451.         padgett%tccslr.dnet@mmc.com
452.  
453. ------------------------------
454.  
455. Date:    Mon, 13 Jan 92 19:53:00 -0500
456. From:    <RUTSTEIN@HWS.BITNET>
457. Subject: RE: NCSA Has Tested Anti-Virus Programs
458.  
459. The information you presented was correct, though outdated.  Those
460. results were from the previous virus scanner evaluation report, and
461. were printed last year in Network World, as you said.  Just this week,
462. the latest update to that scanner evaluation was released, and is
463. available from the NCSA at 717-258-1816.  The results may surprise
464. you.....  Hope this helps, happy virus-busting....
465.  
466.                               Charles
467.  
468. **************************************************************************
469. Rutstein@HWS.BITNET
470. (Charles Rutstein)
471. ***************************************************************************
472.  
473. ------------------------------
474.  
475. Date:    14 Jan 92 10:12:06 +0000
476. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
477. Subject: Re: Military Viruses
478.  
479. U953001@RUTADMIN.BITNET (Nick Di Giovanni) writes:
480.  
481. > The Review reported that Software and Electrical Engineering (SEE) was
482. > one of two organizations preparing reports for the Army Center for
483. > Signal Warfare on the deliberate use of computer viruses and worms to
484.  
485. Probably SPARTA, INC. is the other one.
486.  
487. > incapacitate computer networks.  The center identified the desired
488. > effects of such a use as including data disruption, denial of use, and
489. > affecting the operation of processors and the management of data
490.  
491. Yeah, yeah, but this is mainly wishful thinking - they dream to have
492. viruses which are able to do this... Currently no such things are
493. available, of course.
494.  
495. > storage.  SEE's contract was reportedly for $50,000; however, it stood
496. > to make as much as $500,000, according to this account, if it received
497. > a contract for the follow-up phase of the project, which involves
498. > devising particular viruses, demonstrating them, and devising possible
499. > defenses against their use.
500.  
501. This is not quite exact, and it involves not only SEE.
502.  
503. In fact, the DoD's SBIR (Small Business Innovation Research) program
504. consists of three phases. During the first one (Concept Feasability),
505. contracts are awarded for a study of feasability of the projects in
506. the Army' areas of interest. The awards are for $50,000 over a
507. six-month period. They say that the available funds will permit
508. support of approximately 20 % of the proposals received.
509.  
510. Firms that successfully complete Phase I study are eligible to submit
511. Phase II (Research and Developpment) proposals in that area of study.
512. The Phase II awards fund research, developpment, and prototype
513. production. The awards cover a period of two years, and average
514. $450,000. They expect that the funds will permit to about 40 % of
515. those who have completed Phase I to progress to Phase II.
516.  
517. Success in Phase II is expected to lead to Phase III (Production and
518. Commercialization). The SBIR contractors normally obtain funding for
519. this phase of their product or service from the private sector. The
520. Government, through its agencies, also provides financial support for
521. contractors whose products will be used by the U.S. Government. By
522. law, no SBIR funds are extended for this phase.
523.  
524. Sigh... After all that, there will be again people, who will claim
525. that I'm a KGB agent... :-) Just FYI, I read all this in an article,
526. published in the proceedings of a Virus & Security conference. The
527. document bears, indeed, sceals from the Department of Defense, the
528. Department of the Army, the Department of the Navy, the Department of
529. the Air Force, DARPA, the Defense Nuclear Agency, and the Strategic
530. Defense Initiative Organization, but it also has an inscription, which
531. says that "Nothing on this page is classified or proprietary
532. information/data"...
533.  
534. Hope that this clears any misunderstandings... :-)
535.  
536. Regards,
537. Vesselin
538. - -- 
539. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
540. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
541. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
542.  
543. ------------------------------
544.  
545. Date:    Tue, 14 Jan 92 10:31:50 -0500
546. From:    m19940@mwvm.mitre.org (Emily H. Lonsford)
547. Subject: Re: UNIX viruses, request for information (UNIX)
548.  
549. You might want to read the article by Tom Duff called "Experience with
550. Viruses on UNIX systems" in the 1989 V2#2 issue of Computing Systems.
551. pp155-171.
552. **************************
553. *        EMILY H. LONSFORD
554. *        MITRE - HOUSTON H123  (713) 333-0922
555. *        EHL@MITRE.ORG
556. **************************
557.  
558. ------
559. Downloaded From P-80 International Information Systems 304-744-2253
560.