home *** CD-ROM | disk | FTP | other *** search

---

/ Phoenix Rising BBS / phoenixrising.zip / phoenixrising / vir-docs / v05i009.txt

< prev

next >

Wrap

Internet Message Format  |  1992-09-27  |  34KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V5 #9
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Wednesday, 15 Jan 1992    Volume 5 : Issue 9
9.  
10. Today's Topics:
11.  
12. Re: More Stoned virus questions (PC)
13. Dir-II/Other Stuff (PC)
14. Information on the 109 Virus (PC)
15. Making DIR of a contaminated floppy (PC)
16. Re: Looking for info on "Friday the 13th" virus (PC)
17. Re: 1575/1591 Virus (PC)
18. Re: VIRUS at AT286 in SCAN85 (PC)
19. Re: Joshi Virus and IDE Hard Drives (PC)
20. VSHIELD and MS WORD - incompatible ??? (PC)
21. re: DOS Virus Infects UNIX box (PC) (UNIX)
22. Re: New Antivirus Organization Announced
23. Re: New to the forum - question
24. Re: Gulf War "virus"
25. updated version of Padget's FixMBR (PC)
26. Report: 8th Chaos Computer Congress
27.  
28. VIRUS-L is a moderated, digested mail forum for discussing computer
29. virus issues; comp.virus is a non-digested Usenet counterpart.
30. Discussions are not limited to any one hardware/software platform -
31. diversity is welcomed.  Contributions should be relevant, concise,
32. polite, etc.  (The complete set of posting guidelines is available by
33. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
34. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
35. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
36. Information on accessing anti-virus, documentation, and back-issue
37. archives is distributed periodically on the list.  Administrative mail
38. (comments, suggestions, and so forth) should be sent to me at:
39. krvw@CERT.SEI.CMU.EDU.
40.  
41.    Ken van Wyk
42.  
43. ----------------------------------------------------------------------
44.  
45. Date:    Wed, 15 Jan 92 15:30:00 +1300
46. From:    "Nick FitzGerald" <CCTR132@csc.canterbury.ac.nz>
47. Subject: Re: More Stoned virus questions (PC)
48.  
49. JGUNDERSON@cudnvr.denver.colorado.edu writes:
50. >
51. >     Another  quick Stoned 3 question.  At the University of Colorado
52. > (Denver) we got hit hard by the inadvertant mass release of the FORM virus
53. > last year.  I found myself spearheading the process of cleaning up and
54. > hardening the defenses of one of our computer labs.  I would like to be
55. > ahead of the game if the Stoned 3 release hits us.
56. >     We have been relying on Simon McAuliffe's NoStone as an ongoing
57. > defense against Stoned, however I notice that the Stoned 3 variant is
58. > listed a stealthed variety.  Does anyone know if NoStone v4.1 (released
59. > June 1990) will do any good?
60.  
61. Can't say for sure, but I suspect not.  As several better-qualified than
62. I have already mentioned, what McAfee calls Stoned-III, others know as the
63. NoINT virus.
64.  
65. A further word of warning about NoStone - if you are at all likely to
66. run up against a virus from the Empire family, be very cautious in your
67. use of NoStone.  In my tests with Empire A, NoStone reports a Stoned-II
68. infection.  If you tell NoStone to disinfect it writes Empire's
69. "encrypted" message to your HD's MBR sector (Empire stores original MBR
70. at 0,0,6 and message at 0,0,7 - Stoned puts MBR at 0,0,7).  Similar
71. problems occur with NoStone and Empire A on floppies.  Other members of
72. Empire family _may_ have similar effects.
73.  
74. +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
75.  Nick FitzGerald, PC Applications Consultant, CSC, Uni of Canterbury, N.Z. 
76.  Internet: n.fitzgerald@csc.canterbury.ac.nz        Phone: (64)(3) 642-337 
77.  
78. ------------------------------
79.  
80. Date:    Tue, 14 Jan 92 22:41:00 -0500
81. From:    <RUTSTEIN@HWS.BITNET>
82. Subject: Dir-II/Other Stuff (PC)
83.  
84. For those of you still attempting to track the spread of the DIR-II, I
85. had a configmed report yesterday of a single machine infected in the
86. country of Jordan.  The actual path of infection is unknown at this
87. time.  As most should know by now, DIR-II is not at all dangerous (
88. (relatively), but does spread rapidly and is a bit of a curiosity.
89. Removal is simple using only DOS commands....
90.  
91. In other news, the National Computer Security Association (NCSA) BBS
92. is now fully operational with 5 lines up and running. Number is (202)
93. 364-1304, with the first four lines 9600 V.32, fifth at 2400 MNP.
94. On-line is virus and security info of all types, latest copies of
95. anti-virus sharware and P/D software, info on NCSA and other
96. anti-virus organizations, etc.  {In the interest of full disclosure, I
97. should mention that I've been working on the BBS for NCSA for several
98. weeks now and pouring blood, sweat, and tears into it :) }
99.  
100. Is anyone out there using a disassembler other than sourcer which you
101. feel is superior in some way?  If so, how about passing along some
102. info?ou feel
103.                                     Charles
104.  
105. ***************************************************************************
106. Rutstein@HWS.BITNET (Charles Rutstein)
107. ****************************************************************************
108.  
109. ------------------------------
110.  
111. Date:    Sat, 11 Oct 80 06:50:11 -0800
112. From:    Oliver.Steudler@p109.f121.n7102.z5.fidonet.org (Oliver Steudler)
113. Subject: Information on the 109 Virus (PC)
114.  
115.    Virus Name : 109 Virus
116.       Aliases : None
117.     Discovery : January 1992
118.          Type : File Virus
119.        Origin : Unknown
120.  
121.  
122. General Comments :
123.  
124.    The 109 Virus is a non-resident, direct  action .COM file
125.    infector isolated by the Virus Resource Centre in January
126.    1992. It contains no text or payload and is a simple, yet
127.    very effective replicater.
128.  
129.  
130. Infection :
131.  
132.    When an infected program is executed, the 109  virus will
133.    infect all .COM files in the  current directory (this may
134.    include COMMAND.COM), that meet the following conditions,
135.    adding 109 bytes to the beginning of infected programs.
136.  
137.    a) The file must be a .COM file with a file  size between
138.       2 bytes and 64 Kb.
139.  
140.    b) If the 1st byte is BEh,assume that the file is already
141.       infected and proceed with the next file.
142.  
143.    c) The file must has normal attributes,so if it is marked
144.       hidden  or  read-only, the  virus  will not infect the
145.       program.
146.  
147.  
148.    No critical error  handling is done and the file time and
149.    date  stamps  will be  changed when the virus infects the
150.    program.
151.  
152.  
153. Damage :
154.  
155.    The 109 virus contains no malicious code and was designed
156.    as a simple replicater.
157.  
158.    The virus may  however  do  damage  to  a program that is
159.    larger  than  65427  bytes. Because the infected  program
160.    would then  be larger than 64 Kb, the end of the infected
161.    program will be lost.
162.  
163.  
164. Detection :
165.  
166.    The 109 virus  can  be found using a simple hex signature
167.    string :
168.  
169.  
170.    BE 00 01 56 8C C8 80 C4 10 8E C0 33 FF
171.  
172. Oliver Steudler, Virus Resource Centre (CT)
173. Mail     : P.O.Box 4397, Cape Town, 8000, South Africa
174. Internet : Oliver.Steudler@p109.f121.n7102.z5.fidonet.org
175. Fidonet  : 5:7102/121.109
176. Phone    : +27 (021) 24-9504 (GMT +2)
177. Fax      : +27 (021) 26-1911
178.  
179. Peter Stoffberg, Virus Resource Centre (JHB)
180. Mail     : P.O.Box 1081, Northriding, 2162, South Africa
181. Fidonet  : 5:7101/32
182. Phone    : +27 (011) 787-7521 (GMT +2)
183. - --
184. uucp: uunet!m2xenix!puddle!5!7102!121.109!Oliver.Steudler
185. Internet: Oliver.Steudler@p109.f121.n7102.z5.fidonet.org
186.  
187. ------------------------------
188.  
189. Date:    Wed, 15 Jan 92 11:26:50 +0700
190. From:    Josep Fortiana Gregori <UBAESQ01@EBCESCA1.BITNET>
191. Subject: Making DIR of a contaminated floppy (PC)
192.  
193.     Can someone explain the following sequence of events:
194.  
195.      1. Boot from a clean write-protected floppy
196.      2. SCAN C:\ /m /chkhi
197.         >> No viruses found
198.      3. SCAN B:\
199.         >> Found Anti-Tel Virus A-Vir! in boot sector
200.      4. DIR B:
201.      5. SCAN C:\ /m /chkhi
202.         >> Found Anti-Tel Virus A-Vir!
203.            active in memory
204.  
205.     My conjecture is that the boot sector is read in one of the
206.     DOS buffers, so that the virus is present in memory as data,
207.     not code (so it is not active).
208.     Is that correct?
209.                               Josep
210. ......................................................................
211. Josep Fortiana
212. Departament d'Estadistica
213. (Facultat de Biologia)            Phone : 34 - 3 - 4021561
214. Universitat de Barcelona          E-mail: ubaesq01@ebcesca1.bitnet
215. Av. Diagonal 645
216. 08028 - Barcelona                  (also  ubaesq01@puigmal.cesca.es)
217. SPAIN
218.  
219. ------------------------------
220.  
221. Date:    15 Jan 92 09:10:39 +0000
222. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
223. Subject: Re: Looking for info on "Friday the 13th" virus (PC)
224.  
225. frisk@complex.is (Fridrik Skulason) writes:
226.  
227. > There are around 20 viruses which activate on Friday the 13th, such as
228. > "South African" (which may not be South African at all), Jerusalem (with a
229. > bunch of variants), Datacrime (well, sort of...), Relzfu (Fake-VirX),
230. > Monxla, Leningrad and Omega.
231.  
232. > Unfortunately the available information is not specific enough to determine
233. > which virus is the cause in this case.
234.  
235. Yes, but the original poster said that his disk was formatted on
236. 13-Dec-1991. This excludes the Jerusalems and the South Africans, and
237. also Datacrime. If I remember correctly, Monxla, Leningrad, and Omega
238. do not format the disk... Or am I wrong? Does any of it at least
239. overwrite it? Maybe this has been misinterpretted as formatting... And
240. I can't remember what Relzfu does when it activates... :-(
241.  
242. Regards,
243. Vesselin
244. - -- 
245. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
246. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
247. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
248.  
249. ------------------------------
250.  
251. Date:    15 Jan 92 11:20:06 +0000
252. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
253. Subject: Re: 1575/1591 Virus (PC)
254.  
255. harvey@oasys.dt.navy.mil (Betty Harvey) writes:
256.  
257. > QUESTION:  Does anyone have any information on this virus?  I am interested
258. >        in finding more about this virus since the odds are I will see
259. >        this little green fellow again.  Thanks!
260.  
261. The virus is a resident COM and EXE files infector. When an infected
262. file is run, the virus in it first checks for a file, named
263. C:\COMMAND.COM and if it exists, infects it. (If the file does not
264. exist, the computer just hangs.) Once the virus is resident in memory,
265. it infects on FindFirstFCB and FindNextFCB (INT 21h/AH=11h, INT
266. 21h/AH=12h) functions. Therefore, it infects file during the DIR
267. command. Only files in the directory being examined are infected. The
268. executable files and their types (COM or EXE) are recognized by their
269. extensions, and not by the magic number in the first two bytes (MZ or
270. ZM for EXE files, anything else means a COM file). The files that are
271. already infected have the last two bytes equal to 0Ch, 0Ah.
272.  
273. The "show" with the green caterpillar is activated when a file which
274. has been infected for over two months is run, COMMAND.COM is already
275. infected, and there is a copy of the virus already resident in memory.
276.  
277. Some infected EXE files may refuse to run due to a bug in the virus.
278.  
279. There are 6-7 variants of this virus, but they are essentially the
280. same.
281.  
282. Hope the above helps.
283.  
284. Regards,
285. Vesselin
286. - -- 
287. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
288. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
289. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
290.  
291. ------------------------------
292.  
293. Date:    15 Jan 92 11:49:58 +0000
294. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
295. Subject: Re: VIRUS at AT286 in SCAN85 (PC)
296.  
297. DVORACEK@CSEARN.BITNET (Jarda Dvoracek) writes:
298.  
299. > In Czechoslovakia, I got some new virus with the SCANV85.ZIP from some
300. > BBS. It makes all .COM, .EXE and .ASM files 10 bytes longer, the first
301. > 6 bytes are:
302. >           F0 FD C5 AA FF F0
303. > No antivirus program has i detected, except from those watching files'
304. > length.
305.  
306. :-))) C'mon, calm down, it's not a virus! Just you (or somebody else)
307. are running SCAN with the /AV switch. This means to add checksum
308. information to the files and the F0FDC5AAFFF0 is just the identifier
309. that SCAN usues to tell whether the file is already "certified" or
310. not.
311.  
312. You can remove those by running SCAN again, this time with the /RV
313. switch instead.
314.  
315. To the McAfee people: I have always said that messing with other
316. people's files is a VERY BAD idea! Don't touch them! (And, of course,
317. don't create hundreds of tiny hidden files, as Norton's anti-virus
318. does...) The checksums MUST be kept separately in a database, the name
319. of which must be selectable by the user.
320.  
321. > During 3 days it has infected all files but COMMAND.COM, some of them
322.  
323. Yeah, I think that SCAN is "clever enough" not to touch this file...
324.  
325. > worked normally, several terminated just after calling them.
326.  
327. Ha, this is not normal. They should run (unless they perform some kind
328. of self-check themselves, but I don'T believe that this is your case).
329. Maybe they are damaged by something else. Anyway, the problem that you
330. are reporting, is caused by SCAN, not by a virus.
331.  
332. > It is possible that it writes in FAT1 - into last sectors.
333.  
334. Well, at least SCAN doesn't... :-) Check it's validation codes to make
335. sure that it has not been tampered with (although not modified
336. validation codes does not prove anything).
337.  
338. Hope the above helps.
339.  
340. Regards,
341. Vesselin
342. - -- 
343. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
344. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
345. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
346.  
347. ------------------------------
348.  
349. Date:    15 Jan 92 08:13:55 +0000
350. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
351. Subject: Re: Joshi Virus and IDE Hard Drives (PC)
352.  
353. mcafee@netcom.netcom.com (McAfee Associates) writes:
354.  
355. > In any case, if CLEAN-UP says that a virus cannot safely be removed from
356. > the partition table, you have several options available to you other
357. > then doing a low-level format.
358.  
359. > 1.    If you're so inclined, you can copy the partition table off of
360. >     an identically partitioned hard disk and copy it over the PT of
361. >     the infected hard disk.
362.  
363. Don't do that, unless you perfectly know what you are doing! It is
364. dangerous; you can destroy all your information on the disk. The
365. keyword here is "identically". If the other disk is not really
366. IDENTICALLY partitioned (and with the same size/type/etc.), then
367. copying it's partition table may have unpredictable rezults. The
368. problem is that you might not recognize that the partition is not
369. perfectly identical if you are not knowledgeable enough, so better
370. don't try it!
371.  
372. > 2.    If you have MS-DOS 5.00, you can run the DOS FDISK command with
373. >     the /MBR option.  This is an undocumented switch in the FDISK
374. >     command that replaces the Master Boot Record code (alias partition
375. >     table) while leaving the data portion intact.
376.  
377. This is the best solution. However, it requires a DOS 5.0 system
378. diskette.
379.  
380. > 3.    Use a sector editor to change the last two bytes of the partition
381. >     table, which are "55 AA" to anything else.  This will invalidate
382. >     the partition table information, and you can then re-FDISK and
383. >     FORMAT the disk.
384.  
385. This is no better than low-level formatting the disk - you'll still
386. lose the whole information on it.
387.  
388. An alternative is to use a sector editor (like Norton Utitlities), to
389. look at track 0, side 0, sector 9 (this is where Joshi stores the
390. original master boot sector), and if it contains a valid
391. partition table and a master boot program, to copy it over track 0,
392. side 0, sector 1. Again, this is dangerous and should be done ONLY if
393. you know what you are doing!
394.  
395. Of course, all this must be done ONLY after booting from a
396. non-infected, write-protected system diskette, since Joshi is a
397. stealth virus.
398.  
399. > Naturally, there is always a small amount of risk in doing any of this, so
400.  
401. One can argue about the actual amount of risk, but as you say
402.  
403. > it's always a good idea to make a backup of the hard disk before proceeding.
404.  
405. This is really a good idea.
406.  
407. > Another possibility is that you do not have the virus at all and instead are
408. > experiencing a "ghost" effect, that is, when a fragment of viral code is left
409. > at the end of a file somewhere on the disk that is loaded into memory with
410. > the file and causes a false alarm.  This can be fixed by running a disk
411. > optimizing program to defragment the disk, or there's a program somwhere in
412. > the simtel archives called COVERUP or COVERUP1 that will null-out the ends
413. > of files.
414.  
415. Wait Aryeh, the original poster speaks about Joshi! And Joshi is a
416. master boot sector infector, so how can a ghost false positive be
417. fixed by optimizing the disk?! The ghost (the small amount of inactive
418. code which was left after the disinfection) resides in the partition
419. table, not in the files! BTW, when CLEAN disinfects the hard disk,
420. does it overwrite the whole virus or does it just write a valid master
421. boot program on it? Maybe this is what is causing the ghost alert?
422.  
423. Regards,
424. Vesselin
425. - -- 
426. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
427. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
428. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
429.  
430. ------------------------------
431.  
432. Date:    Wed, 15 Jan 92 15:26:52 +0700
433. From:    "Christian Fritze ( 'WonkoTheSane' )" <CKVB33@DDOHRZ11.BITNET>
434. Subject: VSHIELD and MS WORD - incompatible ??? (PC)
435.  
436. Hi to everybody!
437. I'm posting the following for a friend who has no net access.
438. (I think this is not *quite* a virus problem but related closely
439. enough...)
440.  
441. Virtually yours,
442. Christian Fritze ( 'WonkoTheSane' )
443. addresses: ofritze@nyx.cs.du.edu and wonko@m-net.ann-arbor.mi.us
444. until (and including) feb '92 on ckvb33@ddohrz11.bitnet as well
445. <fill in your favourite disclaimer here...>
446.  
447. ********************** Original MSG follows **********************
448.  
449.    We have problems with McAffee's VSHIELD and Microsoft Word 5.0(german)
450. while using the mouse. When the mouse cursor is moved rapidly, the
451. system hangs, except for the mouse cursor. We tried on different computers
452. (286 and 386, both with AMI-BIOS), with different mouse-drivers
453. (MS 6.25Z/7.04/8.10), different DOS Versions (MS 3.30/5.00) and with
454. Word 5.0 installed from different sets of installation disks.
455.    Using DOS 5.00 and MS-mousedriver 8.10 loaded high we at least get the
456. error-message "Speicherzuordnungsfehler, Command kann nicht geladen
457. werden, System angehalten", (in english probably: memory usage-error,
458. command cannot be loaded, system halted).
459.    Our actual Version of vshield is 4.3V84, but the problem appeared also
460. using V82. Starting parameters are /cv /chkhi /contact.
461.    Trying to remove vshield in a batch and then starting word is
462. possible, vshield gets inactive, but it's not removed completely.
463. Using mem /c one can see a 34kByte area of free memory which formerly
464. belonged to vshield.
465. Does anybody know the reason for this and/or a way to get around it?
466. Thanx in advance
467.  
468. ------------------------------
469.  
470. Date:    Wed, 15 Jan 92 08:31:11 -0500
471. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
472. Subject: re: DOS Virus Infects UNIX box (PC) (UNIX)
473.  
474. >From:    bear@fsl.noaa.gov (Bear Giles 271 X-6076)
475.  
476. >Unfortunately, that system had been infected with the 'Stoned' virus.
477. >This virus overwrote the UNIX BOOT TRACK when the infected DOS was
478. >booted.
479.  
480. >Result -- no more SVR5.  We will probably have to perform a low-level
481. >format of the disk and rebuild the UNIX from original media.
482.  
483. I posted an in-depth reply to RISKs so will not bother to do so again
484. since everyone here knows the difference between file infectors and
485. MBR infectors (besides I deleted the reply being chronically short of
486. disk space).
487.  
488. In short, while certainly STONED can damage an intel-based UNIX
489. machine using an IBM-type (what is the proper term anyway ?) BIOS, it
490. cannot per se infect it since the machine cannot boot properly & so
491. cannot spread. Whether repair is as simple as booting with DOS and
492. running my FixMBR (which should be compatable as should SafeMBR)
493. depends on whether or not there was anything important in absolute
494. sector seven just like a DOS Stoned recovery depends on the type of
495. FDISK used to format the disk.
496.  
497. The real message though is that while a DOS MBR or BR infector could
498. DAMAGE SOME intel-based UNIX boxes, at least at the moment, these are
499. no DOS/Unix viruses that I know of.
500.  
501.                         Cooly (43 this morning)
502.  
503.                                 Padgett
504.  
505. ------------------------------
506.  
507. Date:    15 Jan 92 09:15:14 +0000
508. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
509. Subject: Re: New Antivirus Organization Announced
510.  
511. RTRAVSKY@corral.uwyo.edu (Rich Travsky 3668 (307) 766-3663/3668) writes:
512.  
513. >     Virus Busters Join Hands  --  The Antivirus Methods Congress, a
514. >     newly formed organization to combat computer viruses, was announced
515. >     last week with the goal of bringing users, vendors and researchers
516. >     together to tackle virus attacks on networks in the private and
517. >     government sectors.
518.  
519. >     Dick Lefkon, associate professor at New York University and chair-
520. >     man of the new group, said the organization already has 50 members,
521. >     including representatives from Martin Marietta Corp., the
522. >     insurance industry, the state of Arizona's legal department,
523.  
524. Well, I see that they have already got the users... :-)
525.  
526. >     Northern Telecom, Inc. and universities in Hamburg, Germany, and
527. >     Iceland.
528.  
529. Aha, here are some researchers... :-)
530.  
531. > Any typos are without a doubt mine!  (BTW, anyone have a list/whatever of
532. > existing antivirus orgs? Just curious.)
533.  
534. Well, to be honest, I have never heard about that. But, I can speak
535. only about myself; I'll ask Prof. Brunnstein whether he knows
536. something on the subject (he is the head of the Virus Test Center at
537. the Hamburg University) and will inform you.
538.  
539. Regards,
540. Vesselin
541. - -- 
542. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
543. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
544. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
545.  
546. ------------------------------
547.  
548. Date:    Wed, 15 Jan 92 16:11:21 +0000
549. From:    geoffb@coos.dartmouth.edu (Geoff Bronner)
550. Subject: Re: New to the forum - question
551.  
552. LUSTIG@wsmc-mis.af.mil (LUSTIG, ROB L.) writes:
553.  
554. >Greetings, I am new to this area and wonder how often people actually
555. >come across virui?  I have found only a couple per year crop up and
556. >haven't had one actually do any real damage (except to people's egos).
557.  
558. This is something that varies from site to site, I'm sure.  Dartmouth
559. is a site that is very prone to viruses, we have many inexperienced
560. mac users on the campus who have the ability to share files all the
561. time. Viruses get here very quickly on visitors disks or via ftp and
562. spread rapidly once they do arrive.  How often you find them depends.
563. I would say that the avergage user here who is running Disinfectant
564. INIT (most do) sees viri very rarely. A couple times a year maybe.
565. Since I run a cluster and support dozens of macs and ibms directly I
566. see them more often. Even so, things are better. 3 or 4 years ago I
567. could expect to see an infected disk or hard disk every day.  After
568. several years of spreading inits like Disinfectant INIT and Gatekeeper
569. Aid around I see an infected disk maybe once a week. Usually on the
570. anti-viral scanning station at the entrance to the cluster I run.
571.  
572. - -Geoff
573. - --
574. geoffb@Dartmouth.EDU  -  Computing Support Technician, Tuck School of Business
575. "The powers not delegated to the United States by the Consititution, nor
576.  prohibited by it to the States, are reserved to the States respectively,
577.  or the people."    - United States Constitution, Amendment X.
578.  
579. ------------------------------
580.  
581. Date:    Wed, 15 Jan 92 00:04:45 +0000
582. From:    mcafee@netcom.netcom.com (McAfee Associates)
583. Subject: Re: Gulf War "virus"
584.  
585. fstuart@eng.auburn.edu (Frank Stuart) writes:
586. <Moderator's note deleted>
587. >CNN is reporting that a computer "virus" was used during the Gulf War.
588. >Reportedly, the virus was used to blank the screens of Iraq's air
589. >defense computers.  The alleged virus was supposed to have been hidden
590. >in a printer chip that was smuggled in from Jordan.  I (and many
591. >others, I'm sure) would be very interested if anyone has further
592. >information.
593.  
594. Hi Frank,
595.  
596. The original "source" of this virus is an article that appeared in the
597. April 1st, 1991 (April Fools' Day) issue of InfoWorld Magazine as a
598. gag.  Maybe a reporter or some other person came across the article
599. and thought it was serious.
600.  
601. Regards,
602.  
603. Aryeh Goretsky
604. McAfee Associates Technical Support
605.  
606. - -- 
607. - - - -
608. McAfee Associates        | Voice (408) 988-3832 | mcafee@netcom.com  (business)
609. 4423 Cheeney Street      | FAX   (408) 970-9727 | "Welcome to the alligator 
610. Santa Clara, California  | BBS   (408) 988-4004 | farm..."
611. 95054-0253  USA          | v.32  (408) 988-5190 | CompuServe ID: 76702,1714
612. ViruScan/CleanUp/VShield | HST   (408) 988-5138 | or GO VIRUSFORUM 
613.  
614. ------------------------------
615.  
616. Date:    Tue, 14 Jan 92 19:12:00 -0500
617. From:    HAYES@urvax.urich.edu
618. Subject: updated version of Padget's FixMBR (PC)
619.  
620. Hello.
621. just received and will make available tonight the new version of A. Padgett
622. Peterson FixMBR.  The archive file is FIXMBR22.ZIP.
623.  
624. As usual, the file will be located in:
625. Site:        urvax.urich.edu, IP# 141.166.1.6
626. Directory:    msdos.anonymous
627. User:        anonymous
628. Password:    your_email_address.
629.  
630. As usual, once logged on, the user will be in the anonymous directory.  TYping
631. cd msdos.antivirus should move you in the directory where FIXMBR22 resides.
632.  
633. Thanks to Padgett for another very useful utility.
634.  
635. Best, Claude.
636.  
637. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
638. Claude Bersano-Hayes     HAYES @ URVAX                 (Vanilla BITNET)
639. University of Richmond   hayes@urvax.urich.edu     (Bitnet or Internet)
640. Richmond, VA  23173
641.  
642.  
643. ------------------------------
644.  
645. Date:    Tue, 14 Jan 92 06:27:31 -0800
646. From:    Eric_Florack.Wbst311@xerox.com
647. Subject: Report: 8th Chaos Computer Congress 
648.  
649. The following message was copied from RISKS-L.  Of particular  interest to
650. VIRUS-L reader will be where the writer inserts 'comment #1'. That such
651. gatherings are becoming  more sparsely populated is a positive step.  But is
652. it, perhaps, time for people such as the UN , or perhaps the ITU, to invoke
653. sanctions against countries that allow such groups to thrive? ( Comments are my
654. own....I don't expect anyone else to have the guts to agree with me. ) (Grin)
655. - -=-=-=--=-=-=
656. Date: 9  Jan 92 16:37 +0100
657. From: Klaus Brunnstein <brunnstein@rz.informatik.uni-hamburg.dbp.de>
658. Subject: Chaos Congress 91 Report
659.  
660.                  Report: 8th Chaos Computer Congress
661.  
662. On occasion of the 10th anniversary of its foundation, Chaos Computer Club
663. (CCC) organised its 8th Congress in Hamburg (Dec.27-29, 1991). To more than 400
664. participants (largest participation ever, with growing number of students
665. rather than teen-age scholars), a rich diversity of PC and network related
666. themes was offered, with significantly less sessions than before devoted to
667. critical themes, such as phreaking, hacking or malware construction.  Changes
668. in the European hacker scene became evident as only few people from Netherlands
669. (see: Hacktick) and Italy had come to this former hackers' Mecca.
670. Consequently, Congress news are only documented in German.  As CCC's founding
671. members develop in age and experience, reflection of CCC's role and growing
672. diversity (and sometimes visible alienity between leading members) of opinions
673. indicates that teen-age CCC may produce less spectacular events than ever
674. before.
675.  
676. This year's dominating theme covered presentations of communication techniques
677. for PCs, Ataris, Amigas and Unix, the development of a local net (mousenet.txt:
678. 6.9 kByte) as well as description of regional (e.g.  CCC's ZERBERUS;
679. zerberus.txt: 3.9 kByte) and international networks (internet.txt: 5.4 kBytes),
680. including a survey (netzwerk.txt: 53.9 kByte).  In comparison, CCC'90 documents
681. are more detailed on architectures while sessions and demonstrations in CCC'91
682. (in "Hacker Center" and other rooms) were more concerned with practical
683. navigation in such nets.
684.  
685. Phreaking was covered by the Dutch group HACKTIC which updated its CCC'90
686. presentation of how to "minimize expenditures for telephone conversations" by
687. using "blue" boxes (simulating specific sounds used in phone systems to
688. transmit switching commands) and "red" boxes (using telecom-internal commands
689. for testing purposes), and describing available software and recent events.
690. Detailed information on phreaking methods in soecific countries and bugs in
691. some telecom systems were discussed (phreaking.txt: 7.3 kByte). More
692. information (in Dutch) was available, including charts of electronic circuits,
693. in several volumes of Dutch "HACKTIC: Tidschrift voor Techno-Anarchisten"
694. (=news for techno-anarchists).
695.  
696.      Remark #1: recent events (e.g. "Gulf hacks") and material presen ted on
697.  Chaos Congress '91 indicate that Netherland emerges as a new European center of
698.  malicious attacks on systems and networks.  Among other potentially harmful
699.  information, HACKTIC #14/15 publishes code of computer viruses (a BAT-virus
700.  which does not work properly; "world's shortest virus" of 110 bytes, a
701.  primitive non-resident virus significantly longer than the shortest resident
702.  Bulgarian virus: 94 Bytes).  While many errors in the analysis show that the
703.  authors lack deeper insigth into malware technologies (which may change), their
704.  criminal energy in publishing such code evidently is related to the fact that
705.  Netherland has no adequate computer crime legislation.  In contrast, the advent
706.  of German computer crime legislation (1989) may be one reason for CCC's less
707.  devotion to potentially harmful themes.
708.  
709.      Remark #2: while few Netherland universities devote research and teaching
710.  to in/security, Delft university at least offers introductory courses into data
711.  protection (an issue of large public interest in NL) and security.  Professors
712.  Herschberg and Aalders also analyse the "robustness" of networks and systems,
713.  in the sense that students may try to access connected systems if the adressed
714.  organisations agree.  According to Prof. Aalders (in a recent telephone
715.  conversation), they never encourage students to attack systems but they also do
716.  not punish students who report on such attacks which they undertook on their
717.  own.  (Herschberg and Alpers deliberately have no email connection.)
718.  
719. Different from recent years, a seminar on Computer viruses (presented by Morton
720. Swimmer of Virus Test Center, Univ. Hamburg) as deliberately devoted to
721. disseminate non-destructive information (avoiding any presentation of virus
722. programming).  A survey of legal aspects of inadequate software quality
723. (including viruses and program errors) was presented by lawyer Freiherr von
724. Gravenreuth (fehlvir.txt: 5.6 kByte).
725.  
726. Some public attention was drawn to the fact that the "city-call" telephone
727. system radio-transmits information essentially as ASCII.  A demonstration
728. proved that such transmitted texts may easily be intercepted, analysed and even
729. manipulated on a PC.  CCC publicly warned that "profiles" of such texts (and
730. those adressed) may easily be collected, and asked Telecom to inform users
731. about this insecurity (radioarm.txt: 1.6 kByte); German Telecom did not follow
732. this advice.
733.  
734. Besides discussions of emerging voice mailboxes (voicebox.txt: 2.8 kBytes), an
735. interesting session presented a C64-based chipcard analysis systems
736. (chipcard.txt: 3.3 kBytes).  Two students have built a simple mechanism to
737. analyse (from systematic IO analysis) the protocol of a German telephone card
738. communicating with the public telephone box; they described, in some detail
739. (including an elctronmicroscopic photo) the architecture and the system
740. behaviour, including 100 bytes of communication data stored (for each call, for
741. 80 days!)  in a central German Telecom computer. Asked for legal implications
742. of their work, they argued that they just wanted to understand this technology,
743. and they were not aware of any legal constraint.  They have not analysed
744. possibilities to reload the telephone account (which is generally possible, due
745. to the architecture), and they didnot analyse architectures or procedures of
746. other chipcards (bank cards etc).
747.  
748. Following CCC's (10-year old charta), essential discussions were devoted to
749. social themes.  The "Feminine computer handling" workshop deliberately excluded
750. men (about 25 women participating), to avoid last year's experience of male
751. dominancy in related discussions (femin.txt: 4.2 kBytes).  A session (mainly
752. attended by informatics students) was devoted to "Informatics and Ethics"
753. (ethik.txt: 3.7 kByte), introducing the international state-of-discussion, and
754. discussing the value of professional standards in the German case.
755.  
756. A discussion about "techno-terrorism" became somewhat symptomatic for CCC's
757. actual state.  While external participants (von Gravenreuth, Brunnstein) were
758. invited to this theme, CCC-internal controversies presented the panel
759. discussion under the technical title "definition questions".  While one
760. fraction (Wernery, Wieckmann/terror.txt: 7.2 kByte) wanted to discuss
761. possibilities, examples and dangers of techno-terrorism openly, others (CCC
762. "ol'man" Wau Holland) wanted to generally define "terrori
763. Downloaded From P-80 International Information Systems 304-744-2253
764.