home *** CD-ROM | disk | FTP | other *** search

---

/ Phoenix Rising BBS / phoenixrising.zip / phoenixrising / vir-docs / v05i011.txt

< prev

next >

Wrap

Internet Message Format  |  1992-09-27  |  26KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V5 #11
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Wednesday, 22 Jan 1992    Volume 5 : Issue 11
9.  
10. Today's Topics:
11.  
12. Re: Looking for info on "Friday the 13th" virus (PC)
13. Keypress and Keypress II (PC)
14. Re: Making DIR of a contaminated floppy (PC)
15. Re: NCSA has tested Antivirus Programs (PC)
16. Novell viruses (PC)
17. Re: 1575/1591 Virus (PC)
18. WDEF (mac)
19. PC Virus Checker for Unix (PC) (UNIX)
20. Re: New Antivirus Organization Announced
21. Re: New to the forum - question
22. Re: New Antivirus Organization Announced
23. Sigs
24. Polymorphic viruses
25. new program from Padgett Peterson available (PC)
26. Iraqi Computer Virus story Defended !
27. Mail Problem (McAfee)
28.  
29. VIRUS-L is a moderated, digested mail forum for discussing computer
30. virus issues; comp.virus is a non-digested Usenet counterpart.
31. Discussions are not limited to any one hardware/software platform -
32. diversity is welcomed.  Contributions should be relevant, concise,
33. polite, etc.  (The complete set of posting guidelines is available by
34. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
35. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
36. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
37. Information on accessing anti-virus, documentation, and back-issue
38. archives is distributed periodically on the list.  Administrative mail
39. (comments, suggestions, and so forth) should be sent to me at:
40. krvw@CERT.SEI.CMU.EDU.
41.  
42.    Ken van Wyk
43.  
44. ----------------------------------------------------------------------
45.  
46. Date:    Fri, 17 Jan 92 06:13:36 +0000
47. From:    forbes@cbnewsf.cb.att.com (scott.forbes)
48. Subject: Re: Looking for info on "Friday the 13th" virus (PC)
49.  
50. bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
51. >Yes, but the original poster said that his disk was formatted on
52. >13-Dec-1991. This excludes the Jerusalems and the South Africans, and
53. >also Datacrime. If I remember correctly, Monxla, Leningrad, and Omega
54. >do not format the disk... Or am I wrong? Does any of it at least
55. >overwrite it? Maybe this has been misinterpretted as formatting... And
56. >I can't remember what Relzfu does when it activates... :-(
57.  
58. My apologies for ambiguity in the original post.  I wrote, "The hard
59. drive received a low-level format," by which I meant that, as a method
60. of curing and removing the virus, all recoverable files were removed,
61. the hard drive was formatted, and the files were restored from master
62. disks.
63.  
64. As to damage caused by the virus, I'm afraid I can't be certain: An
65. eager but very misguided person got to the computer before I did, and
66. attempted to make repairs by copying several files *onto* the damaged
67. drive...
68.  
69. The only things I know for certain are that the disk was made
70. unbootable, and that later attempts to repair the drive (using Norton
71. Utilities) showed a damaged File Allocation Table.
72.  
73. Hope this helps.  Any/all info would be appreciated.
74.  
75. - -- Scott Forbes
76.  
77. ------------------------------
78.  
79. Date:    Fri, 17 Jan 92 03:35:31 -0500
80. From:    <CSRCC%CUNYVM.BITNET@mitvma.mit.edu>
81. Subject: Keypress and Keypress II (PC)
82.  
83. Hi everyone.
84.             Does anyone have a product thet can clean an infected
85. program from Keypress, Keypress II and Tirku ???
86.  
87.  /Colin St Rose
88.        Internet: CSRCC@CUNYVM.CUNY.EDU
89.               Bitnet: CSRCC@CUNYVM
90.                    Compuserve: 75730.2121@COMPUSERVE.COM
91.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
92.  
93. ------------------------------
94.  
95. Date:    17 Jan 92 10:29:12 +0000
96. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
97. Subject: Re: Making DIR of a contaminated floppy (PC)
98.  
99. UBAESQ01@EBCESCA1.BITNET (Josep Fortiana Gregori) writes:
100.  
101. >      1. Boot from a clean write-protected floppy
102. >      2. SCAN C:\ /m /chkhi
103. >         >> No viruses found
104. >      3. SCAN B:\
105. >         >> Found Anti-Tel Virus A-Vir! in boot sector
106. >      4. DIR B:
107. >      5. SCAN C:\ /m /chkhi
108. >         >> Found Anti-Tel Virus A-Vir!
109. >            active in memory
110.  
111. >     My conjecture is that the boot sector is read in one of the
112. >     DOS buffers, so that the virus is present in memory as data,
113. >     not code (so it is not active).
114. >     Is that correct?
115.  
116. Yes, your conjecture is correct. It's not a virus, it's a ghost false
117. positive in memory. Possible fixes are:
118.  
119. 1) Run CHKDSK (on a non-infected disk) each time after SCAN detects a
120. virus or you copy an infected file/diskette. CHKDSK will flush the DOS
121. buffers, and the stupid ghost will disappear.
122.  
123. 2) After 2., always run SCAN with the /nomem switch. After all, you
124. have already checked your memory (including the upper memory, which is
125. completely useless, since no known virus is using it and SCAN can
126. detect only known viruses), so you -know- that the memory is not
127. infected.
128.  
129. 3) Pester McAfee Associates to write a better memory detection
130. routine. It can be done (there are several scanners like HTScan,
131. TbScan, F-Prot, which already do it) in such a way, that these stupid
132. ghost false positives do not occur. I am doing this since quite a long
133. time, let's hope that if more users do it, SCAN's memory checking will
134. be finally improved.
135.  
136. Hope the above helps.
137.  
138. Regards,
139. Vesselin
140. - -- 
141. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
142. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
143. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
144.  
145. ------------------------------
146.  
147. Date:    17 Jan 92 10:41:15 +0000
148. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
149. Subject: Re: NCSA has tested Antivirus Programs (PC)
150.  
151. frisk@complex.is (Fridrik Skulason) writes:
152.  
153. >    They wanted to program to be able to disinfect itself in memory,
154. >    disable the virus, if it was active in memory, and continue as if
155. >    nothing had happened...something which I consider too dangerous.
156.  
157. Even worse - I claim that the above is IMPOSSIBLE in all cases. There
158. are currently several products, which claim to add a
159. "self-disinfecting" envelope to other programs: I have only McAfee's
160. FShield, but have heard about at least three more - The Untouchable,
161. something from Central Point Software, and a product under
162. development, which I discuss with someone from Bogota, Colombia (if I
163. remember correctly, else - sorry)
164.  
165. Neither of the products is able to do the above against all possible
166. viruses, even if we limit the viruses to use only the currently known
167. techniques. In fact, I'm almost certain, that even some of the
168. currently existing viruses will be able to circumvent all of the
169. products mentioned...
170.  
171. It just cannot be done!
172.  
173. > Actually - quite a few of the "American" anti-virus program are actually
174. > American at all...quite a few of them are just repackaged programs from
175. > elsewhere...Israel for example.
176.  
177. Yeah, if you mean CPAV and the Untouchable... But, I have observed the
178. same thing as the original poster - the European anti-virus programs,
179. at least the scanners, seem to be supperior to the American ones, at
180. least those we have here at the VTC.
181.  
182. When compared with Dr. Solomon's Anti-Virus ToolKit and your product,
183. only McAfee's scan was able to compete, and only if I compared the
184. capabilities to detect whether an object (file or boot sector) is
185. infected or not. Even VirX (the free version) didn't score that
186. much... (More exactly, SCAN was somewhere between AVTK and F-Prot.)
187. However, I tested only the detection capability, since this is the
188. most important, IMHO, property. If one considers anything else -
189. speed, user interface, flexibility, exactness of the reports,
190. documentation, ability to remove viruses, ability to detect unknown
191. variants of the known viruses, then even SCAN is left far behind...
192.  
193. American anti-virus producers, where are you? The challenge is here to
194. take... Just don't ferget that the task is not easy and involves a
195. huge amount of research efforts...
196.  
197. Regards,
198. Vesselin
199. - -- 
200. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
201. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
202. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
203.  
204. ------------------------------
205.  
206. Date:    17 Jan 92 12:49:01 -0500
207. From:    Doug Eckert <75140.1550@CompuServe.COM>
208. Subject: Novell viruses (PC)
209.  
210. Greetings, All;
211.  
212. I'm interested in obtaining a (believable) list that says which
213. viruses infect and/or spread through Novell local area networks,
214. and what effects they cause (error messages and the like). I've
215. followed information about the GP1 ("Get Password 1") about as
216. far as seems worthwhile (it doesn't work).
217.  
218. Below I'll share with you what some testing I was involved in
219. early last year showed. My feeling is there needs to be more
220. trustworthy information available on this subject. If NOVELL has
221. any such listing, last time I checked they weren't sharing.
222.  
223. We were testing Central Point Anti-Virus version 1.0, at the time
224. of the below. The results were shared with Central Point. And
225. while they are heartening for those of us who depend upon LANs
226. every day, the sample is obviously too small for any general
227. smugness about the imperviousness of Novell Trustee Rights.
228.  
229.            VIRUS / LOCAL AREA NETWORK TESTING
230.  
231. SUMMARY
232. Only two of the five viruses tested, 1701 and Invader, proved
233. capable of cirumventing the file attributes set by the Novell
234. FLAG.EXE command. Repeated attempts with all 5 viruses to infect
235. files protected by Novell Trustee Rights (for example, IBM DOS
236. 3.30 files in F:\PUBLIC\IBM_PC\V3.30 when logged in as a non-
237. supervisory user without trustee rights to those subdirectories)
238. were unsuccessful. Upon execution, Jerusalem-B consistently
239. either prevented or broke the connection to the LAN.
240.  
241. SETUP
242. A test local area network (LAN) using Novell NetWare 2.15, 3COM
243. ethernet adapters, coaxial cable, IBM DOS 3.30, 2 IBM PS/2 Model
244. 50's, 2 AST '286's, and one IBM PS/2 Model 80 as a file server
245. was set up. Three types of network shells were used: ODI, NET3
246. version 3.01 rev. E, and NET3 version 2.15.
247.  
248. Attempts were made to infect test .COM and .EXE files stored
249. under F:\USERS\<username> and C:\TESTEXEC, using the following
250. viruses:
251.        (1) Jerusalem-B (aka. "Friday the 13th")
252.        (2) 1701 (aka. "1701/1704")
253.        (3) 4096 (aka. "100 Years", "Frodo", "Stealth")
254.        (4) Invader (aka. "Anticad-2", "Plastique")
255.        (5) Whale (aka. "Motherfish")
256.  
257. All of these viruses except 1701 were obtained from an anti-
258. virus software vendor. Two versions of Whale were tested. 1701
259. was obtained from an infected site in Michigan.
260.  
261. Test network files NE.COM and FASTGIF.COM were flagged as read-
262. only using Novell's FLAG.EXE program. The file BROWSE.COM was
263. "wrapped" on both the network and the local (C:) drive, using
264. Central Point Anti-Virus's (CPAV) immunization coding, which
265. added 779 bytes to the file size (1737 new size minus the 958
266. original size).
267.  
268. RESULTS
269. While successful at infecting C:\TESTEXEC files, repeated efforts
270. to get Jerusalem-B, 4096 and Whale to infect network files - to
271. which the user had all rights - were unsuccessful.
272.  
273. Jerusalem-B continually interfered with the LAN connection.
274. Several attempts to login to the network after becoming infected
275. were unsuccessful. Attempts to become infected after logging in
276. to the network consistently resulted in network adapter card
277. error messages that required re-booting to escape. These results
278. were consistent across all three driver sets and both PC types.
279.  
280. Novell technical support indicated there have been reports that
281. certain network adapters, among them those by 3COM, are
282. incompatible with Jerusalem-B.
283.  
284. 4096 evidenced no conflict with the network connection and
285. infected C:\TESTEXEC executables, but - strangely - NOT the same
286. files in F:\USERS\<username> when changed to that directory
287. immediately afterwards. The file BROWSE.COM, previously "wrapped"
288. (immunized) by CPAV, was protected from infection by 4096.
289.  
290. Whale also evidenced no conflict with the network connection.
291. Attempts to infect network files with the Whale virus were also
292. unsuccessful. Immediately subsequent calls of the same executable
293. files on drive C: infected those files with Whale.
294.  
295. Previous CPAV immunization did NOT protect the file BROWSE.COM
296. from infection by the Whale virus. The CPAV reconstruction
297. feature for this immunized file was also not triggered by future
298. calls of BROWSE.COM. Cleaning of BROWSE.COM by the menu-driven
299. CPAV program left 8 extra bytes which caused execution of
300. BROWSE.COM to hang the computer.
301.  
302. Regards,
303.  
304. Eck
305.  
306. ------------------------------
307.  
308. Date:    Sat, 18 Jan 92 13:04:19 +0000
309. From:    Fridrik Skulason <frisk@complex.is>
310. Subject: Re: 1575/1591 Virus (PC)
311.  
312. In Message 15 Jan 92 11:20:06 GMT,
313.   bontchev@fbihh.informatik.uni-hamburg.de (Vesselin writes:
314.  
315. >There are 6-7 variants of this virus, but they are essentially the
316. >same.
317.  
318. Eh, no...Alan Solomon discovered he was wrong - he included one variable
319. byte in his checksumming range.  There seem to be at most two variants.
320.  
321. - -frisk
322.  
323. ------------------------------
324.  
325. Date:    Fri, 17 Jan 92 20:20:36 +0000
326. From:    brown20@obelix.gaul.csd.uwo.ca (Dennis Brown)
327. Subject: WDEF (mac)
328.  
329. This is a request for information concering the virus WDEF.  It seems that I
330. have contracted this virus and I am now trying to get rid of it.  
331.  
332. Here's the facts:Mac Plus
333.          External HD
334.  
335. About a week ago, while doing a routing copy of some files, I created a
336. folder that is empty and is unremoveable.  Shortly after this, about 3/4 of
337. the icons on my desktop dissappeared.  The missing files are still
338. accessable to some programs (eg: the system that disappeared, still boots
339. the drive when started up, and the cdev boomering can access files that it
340. knows the path to even if it is one of the files that dissapeared).  I am
341. told that this virus is searched for by the newest version of SAM, but are ther
342. e
343. any other programs out there that will find WDEF?
344.  
345. Any help would be greatly appreciated.
346.  
347.     Dennis Brown                                brown20@gaul.csd.uwo.ca
348.  
349. ------------------------------
350.  
351. Date:    Fri, 17 Jan 92 13:11:39 +0000
352. From:    dylan@ibmpcug.co.uk (Matthew Farwell)
353. Subject: PC Virus Checker for Unix (PC) (UNIX)
354.  
355. I've been wondering for a while whether there are actually any PC
356. Virus checkers which work under Unix.  I'm wondering this because we
357. have a fairly large download area, which contains a lot of DOS/OS/2
358. stuff, and it might be an idea to just run through the lot with a
359. checker once in a while.  It's a bit of a pain taking them all to a
360. DOS machine & then bringing them all back again.
361.  
362. Anyone got any ideas?
363.  
364. Dylan.
365. - -- 
366. Opinions above are mine, unless discovered to be wrong.
367.  
368. ------------------------------
369.  
370. Date:    17 Jan 92 10:58:53 +0000
371. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
372. Subject: Re: New Antivirus Organization Announced
373.  
374. bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
375.  
376. > >     Virus Busters Join Hands  --  The Antivirus Methods Congress, a
377. > >     newly formed organization to combat computer viruses, was announced
378. > >     last week with the goal of bringing users, vendors and researchers
379. > >     together to tackle virus attacks on networks in the private and
380. > >     government sectors.
381.  
382. > >     Dick Lefkon, associate professor at New York University and chair-
383. > >     man of the new group, said the organization already has 50 members,
384. > >     including representatives from Martin Marietta Corp., the
385. > >     insurance industry, the state of Arizona's legal department,
386. > >     Northern Telecom, Inc. and universities in Hamburg, Germany, and
387. > >     Iceland.
388.  
389. > Well, to be honest, I have never heard about that. But, I can speak
390. > only about myself; I'll ask Prof. Brunnstein whether he knows
391. > something on the subject (he is the head of the Virus Test Center at
392. > the Hamburg University) and will inform you.
393.  
394. Well, I did. It seems that these are pretty hot news - since the last
395. Saturday. This organization has been indeed established, and we are
396. indeed members of it. It will be in the States something similar to
397. what EICAR is in Europe. More news should appear on the 5th
398. International Virus & Security conference on March 11-13, in New York.
399.  
400. BTW, Padgett Peterson should also know about that... Padgett?
401.  
402. A more detailed message with explanations was promised by Prof.
403. Brunnstein. In fact, I alread got the message, and Ken should have a
404. copy of it too. Ken, if my boss forgets to CC a copy to Virus-L, could
405. you please forward it here? Thanks.
406.  
407. Regards,
408. Vesselin
409. - -- 
410. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
411. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
412. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
413.  
414. ------------------------------
415.  
416. Date:    17 Jan 92 11:07:24 +0000
417. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
418. Subject: Re: New to the forum - question
419.  
420. geoffb@coos.dartmouth.edu (Geoff Bronner) writes:
421.  
422. > This is something that varies from site to site, I'm sure.  Dartmouth
423. > is a site that is very prone to viruses, we have many inexperienced
424. > mac users on the campus who have the ability to share files all the
425. > time. Viruses get here very quickly on visitors disks or via ftp and
426.  
427. Well, it depends what you mean by "very prone"... :-)
428.  
429. > I would say that the avergage user here who is running Disinfectant
430. > INIT (most do) sees viri very rarely. A couple times a year maybe.
431.  
432. Well, isn't it more plausible to suppose that people, who do NOT run
433. any virus detection software, see the viruses much less, since they
434. are unable to detect them?... :-)
435.  
436. > Since I run a cluster and support dozens of macs and ibms directly I
437. > see them more often. Even so, things are better. 3 or 4 years ago I
438. > could expect to see an infected disk or hard disk every day.  After
439. > several years of spreading inits like Disinfectant INIT and Gatekeeper
440. > Aid around I see an infected disk maybe once a week. Usually on the
441.  
442. Just out of interest, here at the VTC, we get averagely one to two
443. requests for help per week, from all over the Germany. I don't know,
444. maybe for some people this means that the computers in Germany are
445. "very prone" to viruses... To me it means that there are almost no
446. viruses here... When I was in Bulgaria, an average of 20 phone calls
447. per DAY, and only from Sofia, was something usual.... :-)
448.  
449. Regards,
450. Vesselin
451. - -- 
452. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
453. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
454. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
455.  
456. ------------------------------
457.  
458. Date:    17 Jan 92 13:02:12 +0000
459. From:    douglas@rhi.hi.is (Douglas Brotchie)
460. Subject: Re: New Antivirus Organization Announced
461.  
462. RTRAVSKY@corral.uwyo.edu (Rich Travsky 3668 (307) 766-3663/3668) writes:
463.  
464. >The following is from the Dec 30,1991/Jan 6,1992 issue of Network World.
465.  
466. >    Virus Busters Join Hands  --  The Antivirus Methods Congress, a
467. >    newly formed organization to combat computer viruses, was announced
468. >    last week  [...]
469.  
470. >    Dick Lefkon, associate professor at New York University and chair-
471. >    man of the new group, said the organization already has 50 members,
472. >    including representatives from Martin Marietta Corp., the
473. >    insurance industry, the state of Arizona's legal department,
474. >    Northern Telecom, Inc. and universities in Hamburg, Germany, and
475. >    Iceland.
476.         ^^^^^^^
477.  Not to my knowledge.
478.  
479.  Douglas A. Brotchie
480.  Director of Computing Services
481.  University of Iceland
482.  
483. ------------------------------
484.  
485. Date:    Sat, 18 Jan 92 16:54:32 +0000
486. From:    willimsa@unix1.tcd.ie (alastair gavi williams)
487. Subject: Sigs
488.  
489.     So, what's a signature virus?  Does it require the file to be
490. written to an acc before it will infect it?
491.     Thanks
492.                A  G Williams
493.         willimsa@unic1.tcd.ie
494.  
495. ------------------------------
496.  
497. Date:    Sat, 18 Jan 92 23:42:10 +0700
498. From:    frisk@complex.is (Fridrik Skulason)
499. Subject: Polymorphic viruses
500.  
501. Terms such as "Viruses using variable encryption with a variable
502. decryption routine" are rather cumbersome, but no accurate single word
503. has been found for those viruses, of which V2P6, Whale, Maltese
504. Amoeba, Russian Mutant and PC-Flu 2 are examples.
505.  
506. Until now.
507.  
508. It is hereby proposed that the term "polymorphic" be used fore this
509. class of viruses, but this term originated in one of the marathon
510. 5-hour telephone conversations I had with Alan Solomon on the subject
511. of virus naming.
512.  
513. - -frisk
514.  
515. ------------------------------
516.  
517. Date:    Sun, 19 Jan 92 16:44:00 -0500
518. From:    HAYES@urvax.urich.edu
519. Subject: new program from Padgett Peterson available (PC)
520.  
521. Hello.
522. Just received and made available for FTP processing a new utility from
523. A. Padgett Peterson.
524.     CHK.ZIP        Integrity checker.  Can be used to detect the Michel-
525.             Angelo virus.
526.  
527. Best, Claude Bersano-Hayes.    <hayes@urvax.urich.edu>
528.  
529. ------------------------------
530.  
531. Date:    Sun, 19 Jan 92 22:05:00 -0500
532. From:    "David Bridge" <DAVID@SIMSC.BITNET>
533. Subject: Iraqi Computer Virus story Defended !
534.  
535. from "The Washington Post" Washington, DC USA
536. Tuesday, January 14, 1992.  Page A7.
537.  
538. COMPUTER VIRUS REPORT IS SIMILAR TO SPOOF
539. Magazine Rechecking Story That U.S. Disabled Iraqi Network
540. Associated Press
541.  
542.   A newsmagazine report that U.S. intelligence agents planted a
543. disabling "virus" in an Iraqi military computer network before the
544. Persian Gulf War is strikingly similar to an article published last
545. year as an April Fool's joke.
546.   The main author of the U.S. News and Report article, Brain Duffy,
547. said yesterday [= Jan. 13], "I have no doubt" that U.S. intelligence
548. agents carried out such an operation, but he said the similarities
549. with the spoof article were "obviously troubling."
550.   Duffy said the magazine was rechecking the sources who told it about
551. the operation to determine whether details from the spoof article
552. could have "leached into our report."
553.   In an article in its Jan. 20 issue, U.S. News said it had learned
554. from unidentified U.S. officials that intelligence agents placed the
555. virus in a computer printer being smuggled to Baghdad through Amman,
556. Jordan.
557.   It said the printer, described as French-made, spread the virus to
558. an Iraqi mainframe computer that the magazine said was critical to
559. Iraq's air defense system.
560.   The magazine reported that the trick apparently worked, but it
561. provided no details.
562.   The main elements of the U.S. News virus story are similar to an
563. article published in the April 1, 1991, edition of InfoWorld, a
564. computer industry publication based at San Mateo, Calif.  The article
565. was not explicitly labeled as fiction but the last paragraph made
566. clear that it was written as an April Fool's joke.
567.   Duffy said he had not heard of the InfoWorld spoof.  In response to
568. an inquiry by the Associated Press, he said a U.S. News reporter in
569. Tokyo got the "initial tip" on the computer virus story, which the
570. reporter then confirmed through "a very senior official" in the U.S.
571. Air Force.  Duffy said he personally confirmed the story through a
572. senior official in the Air Force and a senior intelligence official.
573.   Some private computer experts said it seemed highly unlikely that a
574. virus could be transferred to a mainframe computer from a printer.  "A
575. printer is a receiving device.  Data does not transmit from the
576. printer to the computer," said Winn Schwartaw, executive director of
577. the International Partnership Against Computer Terrorism.
578. =====================================================================
579. from "The Washington Post" Washington, DC USA
580. Saturday, January 18, 1992.  Page A4.
581.  
582. COMPUTER VIRUS STORY DEFENDED
583. Associated Press
584.  
585.   U.S. News & World Report said Thursday [= Jan. 16] it is sticking by
586. its story that U.S. intelligence agents tried to disable an Iraqi air
587. defense network with a computer virus several weeks before the start
588. of the Persian Gulf War.
589.   The magazine said it had confirmed that the attempt was made, as
590. reported in its Jan. 20 issue and later questioned, but had not been
591. able to determine whether it was successful.  The original story,
592. published Monday [= Jan. 13], quoted two senior U.S. officials as
593. saying that the virus "seems to have worked as planned."
594.   Questions arose about the story after it was learned that the
595. computer industry publication InfoWorld spelled out a strikingly
596. similar scenario in a column that ran as an April Fool's joke last
597. year.
598.  
599. ------------------------------
600.  
601. Date:    Fri, 17 Jan 92 02:12:28 +0000
602. From:    mcafee@netcom.netcom.com (McAfee Associates)
603. Subject: Mail Problem (McAfee)
604.  
605. Hello all,
606.  
607. Sorry for wasting bandwidth over this, but:
608.  
609. I have accidentally lost part of my workspace for the week of Jan 6th
610. to Jan 13th.  If anyone from Europe sent mail to mcafee@netcom.com and
611.  
612. Downloaded From P-80 International Information Systems 304-744-2253
613.