home *** CD-ROM | disk | FTP | other *** search

---

/ Phoenix Rising BBS / phoenixrising.zip / phoenixrising / vir-docs / v05i010.txt

< prev

next >

Wrap

Internet Message Format  |  1992-09-27  |  32KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V5 #10
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Tuesday, 21 Jan 1992    Volume 5 : Issue 10
9.  
10. Today's Topics:
11.  
12. WARNING - Michelangelo Virus (PC)
13. Kennedy virus (PC)
14. UK mag (PC Fun) distributes Stoned (PC)
15. Dir-II/Other Stuff (PC)
16. Re: Untouchable (PC)
17. ENIGMA virus (PC)
18. Smulders-virus found? (PC)
19. NO VIRUS in SCANV85 !!!!! (PC)
20. Re: Dir-II/Other Stuff (PC)
21. Joshi virus removal with FDISK /MBR (PC)
22. i/o ports (was re: Iraqi virus) (PC)
23. QEMM386's LOADHI with VSHIELD1 and/or VIRSTOP (PC)
24. Re: Looking for info on "Friday the 13th" virus (PC)
25. Re: Form virus infected Dos 5.0 diskettes (PC)
26. Virus detectors for Unix? (UNIX)
27. Gulf War Virus & "Softwar"
28. VS920109.ZIP - Virus signatures for HTSCAN/TBSCAN - 920109 (PC)
29. Reviews and request (PC + Amiga)
30. "Desert Storm" viral myths
31.  
32. VIRUS-L is a moderated, digested mail forum for discussing computer
33. virus issues; comp.virus is a non-digested Usenet counterpart.
34. Discussions are not limited to any one hardware/software platform -
35. diversity is welcomed.  Contributions should be relevant, concise,
36. polite, etc.  (The complete set of posting guidelines is available by
37. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
38. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
39. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
40. Information on accessing anti-virus, documentation, and back-issue
41. archives is distributed periodically on the list.  Administrative mail
42. (comments, suggestions, and so forth) should be sent to me at:
43. krvw@CERT.SEI.CMU.EDU.
44.  
45.    Ken van Wyk
46.  
47. ----------------------------------------------------------------------
48.  
49. Date:    Fri, 17 Jan 92 13:10:17 -0500
50. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
51. Subject: WARNING - Michelangelo Virus (PC)
52.  
53.      From all reports this destructive virus is spreading  world-
54. wide  very rapidly. Unlike the DataCrime "fizzle" in  1989  which
55. contained  similar destructive capability but never  spread,  the
56. Michelangelo  appears to have become "common" in just ten  months
57. following  detection. I have encountered three cases  locally  in
58. just the last few weeks.
59.  
60.      Three factors make this virus particularly dangerous:
61.  
62. 1) The virus uses similar techniques as the "STONED" virus  which
63.      while first identifies in early 1988 remains the most common
64.      virus  currently reported. Since the virus infects only  the
65.      Master  Boot  Record on hard disks and the  boot  record  of
66.      floppy  disks,  viral  detection  techniques  that  rely  on
67.      alteration  of  DOS  executable files will  not  detect  the
68.      virus. Similarly, techniques that monitor the status of  the
69.      MBR  may only provide users with a single warning  that,  if
70.      execution is permitted to continue, may not be repeated.
71.  
72. 2) Michelangelo  was  first  discovered  in  Europe  in  mid-1991
73.      consequently many virus scanners in use today will not  pick
74.      up the virus unless more recent updates have been obtained.
75.  
76. 3)  Unlike  the Stoned and Jerusalem (the most common viruses  in
77.      the  past)  which  are more  annoying  than  dangerous,  the
78.      Michelangelo  virus will, on its trigger date of March  6th,
79.      attempt to overwrite vital areas of the hard disk  rendering
80.      it  unreadable  by  DOS.  Further,  since  the  FATs   (file
81.      allocation  tables)  may  be damaged ,  unless  backups  are
82.      available  recovery  will  be  very  difficult  and  require
83.      someone  who is able to rebuild a corrupt FAT (also  a  very
84.      time-consuming process).
85.  
86.      Fortunately,  the  Michelangelo virus is also very  easy  to
87. detect:  when resident in a PC, the CHKDSK (included with  MS-DOS
88. (Microsoft),  PC-DOS  (IBM), and DR-DOS (Digital  Research)  {all
89. names  are  registered by their owners}) program  will  return  a
90. "total  bytes  memory" value 2048 bytes lower than  normal.  This
91. means that a 640k PC which normally returns 655,360 "total  bytes
92. memory"  will  report  653,312.  While  a  low  value  will   not
93. necessarily mean that Michelangelo or any other virus is present,
94. the PC should be examined by someone familiar with viral activity
95. to determine the reason.
96.  
97.      If the Michelangelo virus is found, the PC should be  turned
98. off  until  disinfected  properly. All  floppy  disks  and  other
99. machines  in  the  area should then also be  examined  since  the
100. Michelangelo virus is spread in the boot record (executable  area
101. found on all floppy disks including data-only disks).
102.  
103.                                                  Padgett Peterson
104.                             Internet: padgett%tccslr.dnet@mmc.com
105.  
106. Note: the opinions expressed are my own and not necessarily those
107. of  my employer. Comments refer only to the specific  example  of
108. the virus that I have examined. Other strains may exist.
109.  
110. ------------------------------
111.  
112. Date:    15 Jan 92 21:04:13 +0000
113. From:    sph0301@utsph.sph.uth.tmc.edu (Kate Wilson)
114. Subject: Kennedy virus (PC)
115.  
116. We have just been infected by the Kennedy virus.  McAfee's SCANV85
117. finds it but CLEAN V85 does not.  Is there any way to remove this
118. virus other than deleting the infected files?
119.  
120. Kate Wilson
121. UT School of Public Health, Houston
122. sph0301@utsph.sph.uth.tmc.edu
123.  
124. ------------------------------
125.  
126. Date:    Thu, 16 Jan 92 15:49:00 +1300
127. From:    "Nick FitzGerald <CCTR132@csc.canterbury.ac.nz>
128. Subject: UK mag (PC Fun) distributes Stoned (PC)
129.  
130. Following all the reports we've had of hardware and software vendors
131. distributing virus infected diskettes or programs, the following was
132. reported in my local paper this morning.
133.  
134. It is, perhaps, interesting to note the degree of _accuracy_ in this
135. report.  On matters of fact I only noted three errors, and these are
136. all minor to trivial (and all in the same paragraph - dare I hazard
137. suggesting that this accuracy is at the price of content?)
138.  
139. From: The Press, Christchurch, NZ, 16/2/92, p.9
140.  
141. Free disk proves a flop             - NZPA,   London.
142.  
143. A New Zealand computer virus has embarrassed organisers of a British
144. magazine promotion in which 18,000 floppy disks were offered free to
145. readers.
146.  
147. Each January issue of "PC Fun" included a giveaway disk, but the editor,
148. Mr Adrian Pumphrey, siad the "Stoned" virus was found to have
149. infilitrated the batch.
150.  
151. "It is bad news,' he said.  "The magazines had already been on the
152. shelves for two weeks before the virus was discovered."
153.  
154. The virus - which prints out the message "Your PC is now stoned" -
155. originated at Victoria University in Wellington about five years ago.
156.  
157. A computer expert, Dr Alan Solomon, who was consulted by "PC Fun",
158. described the virus as extremely common, but said it was a nuisance more
159. than anything else.
160.  
161. "We first saw it in Britain in 1988 and it is now probably the commonest
162. virus here.  It is certainly the commonest virus in New Zealand.
163.  
164. "It is not terribly seruious; more an annoyance and a nuisance."
165.  
166. However, he said computer users still had to get rid of it.  This was so
167. as not to pass it on and because, in some rare instances, it could lead
168. to loss of data.
169.  
170. "It will have been a real pain for `PC Fun'," Dr Solomon said.  "But the
171. virus is quite easy to get rid of if you do it right."
172.  
173. +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
174.  Nick FitzGerald, PC Applications Consultant, CSC, Uni of Canterbury, N.Z. 
175.  Internet: n.fitzgerald@csc.canterbury.ac.nz        Phone: (64)(3) 642-337 
176.  
177. ------------------------------
178.  
179. Date:    16 Jan 92 10:47:16 +0000
180. From:    RUTSTEIN@hws.bitnet
181. Subject: Dir-II/Other Stuff (PC)
182.  
183. For those of you still attempting to track the spread of the DIR-II, I
184. had a configmed report yesterday of a single machine infected in the
185. country of Jordan.  The actual path of infection is unknown at this
186. time.  As most should know by now, DIR-II is not at all dangerous (
187. (relatively), but does spread rapidly and is a bit of a curiosity.
188. Removal is simple using only DOS commands....
189.  
190. In other news, the National Computer Security Association (NCSA) BBS
191. is now fully operational with 5 lines up and running. Number is (202)
192. 364-1304, with the first four lines 9600 V.32, fifth at 2400 MNP.
193. On-line is virus and security info of all types, latest copies of
194. anti-virus sharware and P/D software, info on NCSA and other
195. anti-virus organizations, etc.  {In the interest of full disclosure, I
196. should mention that I've been working on the BBS for NCSA for several
197. weeks now and pouring blood, sweat, and tears into it :) }
198.  
199. Is anyone out there using a disassembler other than sourcer which you
200. feel is superior in some way?  If so, how about passing along some
201. info?ou feel
202.                                     Charles
203.  
204. ***************************************************************************
205. Rutstein@HWS.BITNET (Charles Rutstein)
206. ****************************************************************************
207.  
208. ------------------------------
209.  
210. Date:    Thu, 16 Jan 92 13:41:00 +0200
211. From:    Y. Radai <RADAI@HUJIVMS.BITNET>
212. Subject: Re: Untouchable (PC)
213.  
214.   Dusty Flory asks:
215.  
216. > Can anyone comment on the anti-virus package 'Untouchable' by Fifth
217. > Generation Systems, Inc?  It claims to be able to detect both known
218. > and future viruses without upgrades.
219.  
220. First of all, if all it did were to *detect* known and unknown virus-
221. es, there would be nothing new in that.  The whole point is that it
222. can also *restore* the original file in almost every case where the
223. modification is due to a virus.
224.   Actually, your question was answered here a month ago.  I'll repeat
225. the first part:
226.  
227. >>  Untouchable consists of three modules.  The main one, UT, is an
228. >>extension of a program, V-Analyst, which I have been using for several
229. >>years.  V-Analyst is a generic detection program (modification detec-
230. >>tor), which, in my opinion, is the best of its kind, partly because in
231. >>addition to checking for modifications, it takes into account several
232. >>ways in which a virus can propagate without modifying existing files.
233. >>(It's the only program I've heard of which was ready for companion
234. >>viruses two years before they appeared, and it's ready for other such
235. >>methods too.)  UT is essentially V-Analyst augmented to include
236. >>*generic disinfection*.  That is, UT stores enough information to be
237. >>able to restore a file infected by any virus, even an unknown one.
238. >>(Of course, that doesn't hold for overwriting viruses, and it's possi-
239. >>ble that there are a few non-overwriting viruses on which it won't
240. >>work.)
241.  
242. Additional comments:
243.   1. When I said "overwriting viruses", I was referring to those which
244. overwrite program code.  It turns out that Ver. 1.0 also doesn't work
245. on viruses which overwrite stack space, such as ZeroHunt and Lehigh,
246. but I'm told that the next version will.  I have not yet found any
247. other virus on which it doesn't work.
248.   2. The program will *never* restore a file incorrectly since it
249. compares the checksum of the restored file with that of the original
250. one.
251.  
252. > I received a mailing offering for $99 (normally $165) until 2/1/92.
253. > Is it worth it?
254.  
255. Imho, yes.  (Btw, I heard the official price was $175.  Who's offering
256. it for $99?)
257.  
258.   Disclaimer: While I know the authors and we exchange ideas, I have
259. no commercial interest whatsoever in this product.  I'm simply a sa-
260. tisfied (and experienced) user of the product.
261.  
262.                                      Y. Radai
263.                                      Hebrew Univ. of Jerusalem, Israel
264.                                      RADAI@HUJIVMS.BITNET
265.                                      RADAI@VMS.HUJI.AC.IL
266.  
267. ------------------------------
268.  
269. Date:    Thu, 16 Jan 92 15:11:57 +0700
270. From:    avi enbal <MCCCOVI@HAIFAUVM.BITNET>
271. Subject: ENIGMA virus (PC)
272.  
273. Hello There !
274. Does anyone know's how to handle with the ENIGMA virus?
275. none of our anti viral softwer's do it.(McAfee's v85 only SCAN it).
276.  
277.      Thank's in edvance
278.                             Avi.
279.  
280.    *================================================================*
281.    | Avi Enbal - <mcccovi@haifauvm.bitnet>    |  TL.  972-4-240777  |
282.    | Computers Communication & Service Dep'   |       972-4-240925  |
283.    *         Computer  Center                 *                     *
284.    |        UNIVERSITY OF HAIFA               |                     |
285.    |   mt'carmel, HAIFA - 31905, ISRAEL       |  FAX. 972-4-342097  |
286.    *================================================================*
287.  
288. ------------------------------
289.  
290. Date:    Thu, 16 Jan 92 14:21:47 +0000
291. From:    a0522457@let.rug.nl (L.E. Plat)
292. Subject: Smulders-virus found? (PC)
293.  
294. From: Automatiseringsgids (Dutch weekly concerning computer matters; serious)
295. Wednesday 15 January 1992 (w/o permission, I'm afraid)
296.  
297. "Tangram finds virus:
298.  
299. Tangram in Utrecht (NL) warns about the recently found 'Smulders'-virus. 
300. This virus renames all directories up tto two levels deep to
301. Criminal.XXX.
302.  
303. In these directories all files are renamed to this name [that's a bit weird,
304. isn't it? MS-Dos wouldn't allow that, as far as I know]. After that follows a
305. message stating that the user should call the nearest police station.
306.  
307. Virusscanners do not [as yet, I suppose] recognize this virus. The CRI
308. [Dutch Criminal Investigations Bureau] has been notified."
309.  
310.  
311. Dunno if I'm telling anything new with this; I don't read this group
312. regularly. & please no flames about the lousy ('cause on-line) translation.
313.  
314. ________________      ______________________________________________________
315. Bert Plat             'Things as they are / are played upon the blue guitar'
316. a0522457@let.rug.nl                                       (Wallace Stevens)
317.  
318. ------------------------------
319.  
320. Date:    Thu, 16 Jan 92 12:40:59 -0600
321. From:    Jarda Dvoracek <DVORACEK@CSEARN.BITNET>
322. Subject: NO VIRUS in SCANV85 !!!!! (PC)
323.  
324.        !!!        APOLOGY           !!!
325.        !!!  NO VIRUS IN SCANV85     !!!
326.  
327. Many thanks to all those responding with information on my last msg.
328. My difficulties were caused not by virus, but by on-error running SCAN
329. with /AV option, what at least one program (T602.exe) does not accept.
330. I apologize to anyone, to whom I might have caused any troubles with
331. my warning and to the firm McAfee and its agent:
332.  
333.            #####                           adresa: AEC Ltd., Sumavska 33,
334.          ###  ###     ################             61264 Brno, Czechoslovakia
335.        ###     ###  ###     ###               Tel: +42-5-7112 linka 502
336.      ###################   ###                Fax: +42-5-744984
337.    ###          ####      ##########          BBS: +42-5-749889
338.                ##########                 FidoNet: 2:421/16
339.  Association for Electronics & Computers   VirNet: 9:421/101
340.            authorized agent of           InterCom: 83:425/1  (NCN mail)
341.             McAFEE ASSOCIATES
342.  
343. Jarda Dvoracek
344. 1st.Internal Clinic
345. Faculty Hospital
346. I.P.Pavlova 6
347. 772 00  Olomouc
348. Czechoslovakia
349. E-mail(bitnet): dvoracek @ csearn
350. Phone: 0042 68 474, ext. 3201(secretary)
351.  
352. ------------------------------
353.  
354. Date:    Thu, 16 Jan 92 16:21:16 +0000
355. From:    bdh@gsbsun.uchicago.edu (Brian D. Howard)
356. Subject: Re: Dir-II/Other Stuff (PC)
357.  
358. RUTSTEIN@HWS.BITNET writes:
359.  
360. >In other news, the National Computer Security Association (NCSA) BBS
361.  
362. Is this affiliated in any way with the NCSA (National Center for Super-
363. computing Applications)? 
364.  
365. _______________________________________________________________________________
366. This space intentionally left what would otherwise be blank were this not here.
367. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
368.  
369. ------------------------------
370.  
371. Date:    Thu, 16 Jan 92 12:39:21 -0500
372. From:    Eric Carlson <NVCARLE@VCCSCENT.BITNET>
373. Subject: Joshi virus removal with FDISK /MBR (PC)
374.  
375. We have a group of 4 computer labs that often get JOSHI. On a lot of these
376. machines we couldn't get rid of JOSHI on the hard drives. We tries CLEANv84,
377. F-prot 2.01, CPAV, and NAV with no luck. (it did work on a few machines)
378.  
379. We would:
380. - - Cold boot with a clean write protected floppy
381. - - Clean the hard drive
382. - - Cold boot with a clean floppy again
383. - - Scan and find JOSHI still there
384.  
385. The machines are a mix of 8088, 286, 386sx. MS-DOS 3.30 and 4.01.
386.  
387. We had to low-level format the drives to clean them and restore from our clean
388. backups.
389.  
390. We finally solved the problem by using IBM-DOS 5.0 FDISK /MBR even with MS-DOS
391. 3.30 and 4.01 on the hard drives.
392.  
393. The lab supervisor is very happy now.
394.  
395.  - Eric Carlson - Microcomputer Software Support -
396.   - Northern Virginia Community College System -
397.       - NOVA BBS 703-323-3321 - 14,400 BPS -
398.                -        -        -
399.  
400. ------------------------------
401.  
402. Date:    Thu, 16 Jan 92 14:19:31 -0500
403. From:    stus5239@mary.cs.fredonia.edu (Kevin Stussman)
404. Subject: i/o ports (was re: Iraqi virus) (PC)
405.  
406. >>     Virus on a chip?? How and when did it go off? What type virus?
407. >> (it probably wasn't a real virus (not self replicating) but nasty
408. >> screen killing code on a chip) So now hacking is now legal, but only
409. >> during wartime against an enemy. (goes with killing)
410. >
411. >Nonsense, complete nonsense. If it is in the printer, it cannot force
412. >you to execute it. It cannot copy itself to the computer. It cannot
413. >exist. Period.
414.  
415.     This brings up an interesting problem. Can it happen via a
416. serial / parallel port? This would mean there has to be direct control
417. over the CPU from a device attached to the port. Usually there is
418. software driving the IO of the port, but can an device sieze control
419. and send instructions without driving software? Now if this isn't
420. possible then I can see that it would be impossible.  But just saying
421. NO because it's on a chip is nonsense. There is nothing saying I cant
422. place an EPROM in a strategic place that will place a virus of my
423. choice on a hard drive or floppy, OR DO ANYTHING without even striking
424. a key. If that chip has code to blank the screen, it will be blank
425. before any control is given the user.  (how do you think a PC knows
426. where to look for DOS Startup Code -- hardware)
427.  
428. >The whole story is a rumor, just as the "modem virus", an excellent
429. >article about which was posted by Rob Slade just in time.
430. >And the rumor in this case is based on an April 1st joke, made by a
431. >computer magazine.
432.  
433. Where is this article? And it seems strange to me that CNN wouldn't
434. have known this. Then again, don't believe everything you hear.
435.  
436. K.
437.  
438. +*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
439.  _    __
440. | |  / /   -*> stus5239%mary.cs.fredonia.edu@cs.buffalo.edu
441. | | / /        stus5239@mary.cs.fredonia.edu
442. | |< <         UUCP:...{ucbvax,rutgers}!sunybcs!mary!stus5239
443. | | \ \
444. |_|  \_\ evin Stussman   -*>Never has so many known so little about so much.<*-
445.  
446. +*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
447.  
448. ------------------------------
449.  
450. Date:    Thu, 16 Jan 92 21:48:22 +0000
451. From:    hendee%3338.span@Sdsc.Edu (Jim Hendee)
452. Subject: QEMM386's LOADHI with VSHIELD1 and/or VIRSTOP (PC)
453.  
454. I've noticed that you can use Quarterdeck's QEMM386 and LOADHI to load
455. VSHIELD1.EXE in high memory, as well as FPROT's VIRSTOP.EXE, but you
456. can't load VSHIELD.EXE high (so far as I'm aware).  My questions are:
457.  
458. 1)  When you load these two small anti-viral programs high, do they still
459. work?
460.  
461. 2)  I noticed that when I tried loading both VSHIELD1.EXE and VIRSTOP.EXE
462. they seem to load okay back to back.  In this case, what happens when they
463. *both* detect a virus at the same time?  Will they detect it?  Is their
464. any percentage in configuring like this (you've mentioned that you should
465. always use more than one virus checker, whenever possible).
466.  
467. 3)  Why can't you load VSHIELD.EXE high, or can you?  Will it still work?
468.  
469. Many thanks for your guidance!
470.  
471. Jim Hendee
472. Data Manager
473. Ocean Chemistry Division
474. National Oceanic and
475.   Atmospheric Administration
476. Atlantic Oceanographic and
477.   Meteorological Laboratories
478.  
479. ========================
480. No "official" opinions here, just my own.
481.  
482. ------------------------------
483.  
484. Date:    Thu, 16 Jan 92 22:07:49 +0200
485. From:    Tapio Keih{nen <tapio@nic.funet.fi>
486. Subject: Re: Looking for info on "Friday the 13th" virus (PC)
487.  
488. >also Datacrime. If I remember correctly, Monxla, Leningrad, and Omega
489. >do not format the disk... Or am I wrong? Does any of it at least
490. >overwrite it? Maybe this has been misinterpretted as formatting... And
491. >I can't remember what Relzfu does when it activates... :-(
492.  
493. Omega overwrites first sectors of hard disk when infected file is
494. executed on Friday the 13th. Relfzu displays a message saying
495.  
496. VirX 3/90
497.  
498. on Friday the 13th and then hangs the computer.
499.  
500. - --
501.   Tapio Keih{nen   | Mesihein{nkatu 2 B 6 | 33340 Tampere | Finland
502. - ------------------========tapio@nic.funet.fi========---------------
503.                 "You've got some stairs to heaven, you may be right
504.                           I only know in my world, I hate the light
505.                                 I speed at night!" -R.J. Dio, 1984-
506.  
507. ------------------------------
508.  
509. Date:    17 Jan 92 10:23:04 +0000
510. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
511. Subject: Re: Form virus infected Dos 5.0 diskettes (PC)
512.  
513. root@itnsg1.cineca.it (Valter Cavecchia) writes:
514.  
515. > were running Dos 5.0. We tried to remove the virus using M-DISK but
516. > found that Dos 5.0 is not yet supported.  Is there a new version of
517. > M-DISK available?  Is there any other way to clean up the diskettes
518. > (without formatting :-)) ?
519.  
520. No need for that. Just run DOS 5.0 FDISK with the (undocumented) /MBR
521. option, and you'll get the same results as with M-DISK and even
522. better.
523.  
524. Regards,
525. Vesselin
526. - -- 
527. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
528. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
529. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
530.  
531. ------------------------------
532.  
533. Date:    15 Jan 92 17:24:54 +0000
534. From:    paulf@ci.deere.com (Paul A. Fisher)
535. Subject: Virus detectors for Unix? (UNIX)
536.  
537. Are there any virus detectors for unix?  The PC's in our company are
538. very carefully watched, but our corporate security department wants to
539. make sure we are covered for Unix as well.
540.  
541. In case it matters we are running Suns, IBM R/S-6000's, and a few 
542. DECstations.
543.  
544. Any suggestions or pointers would be greatly appreciated.
545.  
546. - --
547. Paul A. Fisher                    paulf@ci.deere.com
548. Deere Tech Services               ...uunet!deere!paulf
549. John Deere Road                   (309) 765-4547
550. Moline, Illinois 61265
551.  
552. ------------------------------
553.  
554. Date:    Thu, 16 Jan 92 14:47:00 -0700
555. From:    "Rich Travsky" <RTRAVSKY@corral.uwyo.edu>
556. Subject: Gulf War Virus & "Softwar"
557.  
558. Regarding the Gulf War virus: Anyone remember the book "Softwar", by
559. Thierry Breton and Denis Beneich? Came out in 1984. Been a while since
560. I read it, goes something like this: The U.S. allows the Soviets to
561. buy a super-computer. The chips were, uh, slightly modified. Or
562. something like that. You can guess the rest. Fair reading as I recall.
563.  
564. Too bad the Gulf War version seems to an April Fool's story. (We
565. coulda had a sequel to the book!)
566.  
567. +-----------------+     Richard Travsky
568. |                 |     Division of Information Technology
569. |                 |     University of Wyoming
570. |                 |
571. |                 |     RTRAVSKY @ CORRAL.UWYO.EDU
572. |           U W   |     (307) 766 - 3663 / 3668
573. |            *    |     "Wyoming is the capital of Denver." - a tourist
574. +-----------------+     "One of those square states." - another tourist
575. Home state of Dick Cheney,  Secretary of Defense of these here UNITED STATES!
576.  
577. ------------------------------
578.  
579. Date:    Tue, 14 Jan 92 05:48:41 +0100
580. From:    jeroenp@rulfc1.LeidenUniv.nl (Jeroen W. Pluimers)
581. Subject: VS920109.ZIP - Virus signatures for HTSCAN/TBSCAN - 920109 (PC)
582.  
583. (Reposted by Keith Petersen)
584.  
585. I have uploaded to SIMTEL20:
586.  
587. pd1:<msdos.trojan-pro>
588. VS920109.ZIP    Virus signatures for HTSCAN/TBSCAN - 920109
589.  
590. It replaces the existing VS911114.ZIP in the same directory.
591.  
592.     o _   _  _   _   _             voice:  +31-2522-20908 (18:00-24:00 UTC)
593.    / (_' |  (_) (_' | |            snail:  P.S.O.
594. __/                                        attn. Jeroen W. Pluimers
595.                                            P.O. Box 266
596. jeroenp@rulfc1.LeidenUniv.nl               2170 AG Sassenheim
597. jeroen_pluimers@f521.n281.z2.fidonet.org   The Netherlands
598.  
599. ------------------------------
600.  
601. Date:    Wed, 15 Jan 92 22:39:28 -0800
602. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
603. Subject: Reviews and request (PC + Amiga)
604.  
605. per recent requests for reviews, the following is my current list (in 
606. order):
607. EliaShim's ViruSafe
608. Worldwide's Vaccine
609. Solomon AntiVirus Toolkit
610. Sophos Vaccine
611. Fifth Generation's Untouchable
612.  
613. (Of course, any more rumours like this past week, and this could be 
614. delayed a long time.)
615.  
616. Now, a request.  We haven't heard much from the Amiga people lately.  Can 
617. I get some feedback on the top Amiga antiviral shareware of recent date?
618.  
619. ==============
620. Vancouver      p1@arkham.wimsey.bc.ca   | "A ship in a harbour
621. Institute for  Robert_Slade@sfu.ca      |  is safe, but that is
622. Research into  CyberStore Dpac 85301030 |  not what ships are
623. User           rslade@cue.bc.ca         |  built for."
624. Security       Canada V7K 2G6           |           John Parks
625.  
626. ------------------------------
627.  
628. Date:    Wed, 15 Jan 92 22:41:58 -0800
629. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
630. Subject: "Desert Storm" viral myths
631.  
632. This was pretty much forced on me by the press.  There have also been a 
633. lot of messages on the topic in alt.folklore.computers.
634.  
635. DEFMTH7.CVP   920115
636.  
637.                       "Desert Storm" viral myths
638.  
639. The recent spate of reports of a virus which shut down Iraq's air
640. defence system during "Desert Shield/Storm" seems to have started with
641. the series "Triumph Without Victory: The Unreported History of the
642. Persian Gulf War" by U. S. News and World Report.  The articles are
643. being rerun in many papers (as well, apparently, as CNN and ABC
644. Nightline), and the article on the virus run in my local paper is
645. specifically credited to USN&WR.  The bare bones of the article are that
646. a French printer was to be smuggled into Iraq through Jordan, that US
647. agents intercepted the printer, replaced a microchip in the printer with
648. one reprogrammed by the NSA, that a virus on the reprogrammed chip
649. invaded the air defence network to which the printer was connected and
650. erased information on display screens when "windows" were opened for
651. additional information on aircraft.
652.  
653. The first question is: could a chip in a printer send a virus?  Doesn't
654. a printer just accept data?
655.  
656. Both parallel/Centronics and serial RS-232 ports are bidirectional. 
657. (Cabling is not always, and I well remember having to deal, in the early
658. days of PCs, with serial ports which had been used as printer ports, and
659. could not be used as modem ports because the "return" pin had been
660. sheared off, a common  practice to "fix" balky printers.)  However, the
661. "information" which comes back over the line is concerned strictly with
662. whether or not the printer is ready to accept more data.  It is never
663. accepted as a program by the "host".
664.  
665. The case of "network" printers, is somewhat more complex.  There are two
666. possible cases: network printer servers and "network printers (such as
667. the Mac Laserwriters): and they are quite distinct.  The print server
668. (on, say, DECnet) is actually a networked computer acting as a print
669. server; accepting files from other network sources and spooling them to
670. a printer. True, this computer/printer combo is often referred to simply
671. as a printer,  but it would not, in any case, be able to submit programs
672. to other hosts on  the net.  The Mac case is substantially different,
673. since the Mac laser printers are attached as "peers".  Mac Laserwriters,
674. at least, do have the ability to submit programs to other computers on
675. the network, and one Mac virus uses the Laserwriter as a vector. 
676. However, it is unlikely that the Iraqi air defence system was Mac based,
677. and few other systems see printers as peers.
678.  
679. Second question: if it *was* possible to send some kind of program from
680. the printer to the computer system/network, was it a virus?
681.  
682. Given the scenario, of a new printer coming into an existing system, any
683. damaging program would pretty much have had to have been a virus.  In a
684. situation like that, the first thing to do when the system malfunctions
685. after a new piece of equipment has been added is to take out the new
686. part.  Unless the "chip" could send out a program which could survive,
687. in the network or system, by itself, the removal of the printer would
688. solve the problem.
689.  
690. Third question:  could a virus, installed on a chip, and entered into
691. the air defence computer system, have done what it was credited with?
692.  
693. Coming from the popular press, "chip" could mean pretty much anything,
694. so my initial reaction that the program couldn't be large enough to do
695. much damage means little.  However, the programming task involved would
696. be substantial.  The program would first have to run on the
697. printer/server/peripheral, in order to get itself transferred to the
698. host.  The article mentions that a peripheral was used in order to
699. circumvent normal security measures, but all systems have internal
700. security measures as well in order to prevent a printer from "bringing
701. down" the net.  The program would have to be able to run/compile or be
702. interpreted on the host, and would thus have to know what the host was,
703. and how it was configured.  The program would then have to know exactly
704. what the air defence software was, and how it was set up to display the
705. information.  It would also have to be sophisticated enough in avoiding
706. detection that it could masquerade as a "bug" in the software, and
707. persistent enough that it could avoid elimination by the reloading of
708. software which would immediately take place in such a situation.
709.  
710. The Infoworld AF/91 prank article has been mentioned as the "source" for
711. the USN&WR virus article.  There was, however,  another article, quite
712. seriously presented in a French military aerospace magazine in February
713. (which possibly prompted the Infoworld joke.)  This earlier article
714. stated that a virus had been developed which would prevent Exocet
715. missiles, which the French had sold to Iraq, from impacting on French
716. ships in the area.  The author used a mix of technobabble and unrelated
717. facts, somehow inferring from the downloading of weather data at the
718. last minute before launch, the programmability of targets on certain
719. missiles and the radio destruct sequences used in testing that such a
720. "virus" was possible.
721.  
722. It has also been rumoured, and by sources who should know, that the US
723. military has sent out an RFP on the use of computer viri as
724. Downloaded From P-80 International Information Systems 304-744-2253
725.