home *** CD-ROM | disk | FTP | other *** search
/ Phoenix Rising BBS / phoenixrising.zip / phoenixrising / vir-docs / virus3.txt < prev    next >
Text File  |  1992-11-01  |  8KB  |  162 lines
  1.  
  2.   ┌───────────────────────────────┐
  3.   │  THE VIRUS INFORMER           │      FACT:  Did you know that there
  4.   │  your weekly virus newsletter │             are over 586 unique viruses,
  5.   │  by Mark E. Bishop edited by  │             over 716 variants, and over
  6.   │  Alan Bechtold                │             1302 known viruses?
  7.   └───────────────────────────────┘
  8.  
  9.  
  10.      CHAPTER 3:  'Introducing the NEW Macintosh Virus, T4A, T4B'
  11.  
  12.  
  13.    The following information is in regard to a new Macintosh virus discovered
  14.  June 30, 1992 which causes damage to Apple Macintosh computers.  The virus
  15.  is the T4-A, and T4-B.  They can alter your boot code, alter/damage your
  16.  Macintosh applications, and could possible spread into your System files.
  17.  
  18.    The information is valid and has been edited.  Contributing information
  19.  came from Gene Spafford of Purdue University and Chris Schram of the Home-
  20.  base CVIA BBS.
  21.  
  22.    Virus: T4-A, T4-B Damage: altered boot code; altered/damaged applications
  23.  Spread: possibly significant Systems affected: Apple Macintosh computers. All
  24.  types, but see text.
  25.  
  26.    A new virus has been discovered, in two slightly different strains. These
  27.  were included with the game application GoMoku, versions 2.0 and 2.1.  These
  28.  files were posted to the Usenet comp.binaries.mac newsgroup, and uploaded to
  29.  various ftp archives, including the one at sumex-aim.stanford.edu. [Note: the
  30.  game was distributed under a falsified name.
  31.  
  32.    The name used in the posting, and embedded in the game, is that of a
  33.  completely uninvolved person.  Please do not use this person's name in
  34.  reference to the virus.  The actual virus author is unknown, and probably
  35.  used this person's name as a form of harassment.
  36.  
  37.    When invoked, the virus attempts to alter the System file.  This alteration
  38.  attempt will be noticed by the SAM antivirus program (and possibly by
  39.  Gatekeeper, depending on settings).  The alert message that is displayed
  40.  indicates that "Disinfectant" is trying to make the alteration -- whether
  41.  Disinfectant is installed on the system or not. This is evidently an attempt
  42.  to fool users into approving the modification attempt, thus allowing the
  43.  virus to infect.
  44.  
  45.    The change to the System file results in alterations to the boot code under
  46.  both Systems 6 and 7.  The damage may render some systems unbootable, but
  47.  will usually result in INIT files and System extensions (respectively) not
  48.  loading.
  49.  
  50.    The virus also attempts to modify application files on the system disk.
  51.  These alterations may damage some applications by overwriting portions of the
  52.  programs with the virus code.  These damaged applications *cannot* be
  53.  repaired but must be reinstalled from distribution or backup media.
  54.  
  55.    Once installed and active, the virus does not appear to perform any other
  56.  overt damage.  At least one version of the virus may print a message when run
  57.  after a certain number of files are infected by it. This message identifies
  58.  the infection as the T4 virus.
  59.  
  60.    [Note: Although this note is unrelated to the T4 virus, we feel it
  61.  appropriate and important to remind Mac users that neither Apple System 7 nor
  62.  7.0.1 should be used UNMODIFIED because they have the "disappearing folders"
  63.  bug.  Users should be sure they have installed the (free) System Tuner 1.1.1
  64.  from Apple on these systems; versions 1.0 and 1.1 of the Tuner are outdated
  65.  or buggy and should not be used.
  66.  
  67.    Tuner 1.1.1 is available from authorized Apple dealers, from many user
  68.  groups, from commercial networks, and on several places on the Internet.
  69.  Also, System 7.0.1 is *not* the same as System 7 with the Tuner installed;
  70.  7.0.1 is a later release of System 7.  System 7.0.1 also needs the update
  71.  installed.]
  72.  
  73.    Authors of all major Macintosh anti-virus tools are planning updates to
  74.  their tools to locate and/or eliminate this virus. Some of these are listed
  75.  below.  We recommend that you obtain and run a CURRENT version of AT LEAST
  76.  ONE of these programs.
  77.  
  78.  
  79.  HERE ARE SOME MAC ANTI-VIRUS SOFTWARE PRODUCTS AND THEIR UPDATE INFO:
  80.  
  81.  
  82.     Tool: DISINFECTANT
  83.     Status: Free software (courtesy of Northwestern University and John
  84.     Norstad) Revision to be released: 2.9 Where to find: usual archive sites
  85.     and bulletin boards -- ftp.acns.nwu.edu, sumex-aim.stanford.edu,
  86.     rascal.ics.utexas.edu, AppleLink, America Online,
  87.     CompuServe, Genie, Calvacom, MacNet, Delphi,
  88.     comp.binaries.mac, when available: soon (probably by July 6)
  89.  
  90.  
  91.     Tool: GATEKEEPER
  92.     Status: Free software (courtesy of Chris Johnson)
  93.     Revision to be released: 1.2.6
  94.     Where to find: usual archive sites and bulletin boards --
  95.     microlib.cc.utexas.edu, sumex-aim.stanford.edu,
  96.     rascal.ics.utexas.edu, comp.binaries.mac
  97.     When available: soon
  98.  
  99.  
  100.     Tool: RIVAL
  101.     Status: Commercial software
  102.     Revision to be released: T4 Vaccine, Rival Refresh 1.1.9w
  103.     Where to find it: AppleLink, America Online, Internet, Compuserve.
  104.     When available: Immediately.
  105.  
  106.  
  107.     Tool: SAM (Virus Clinic and Intercept)
  108.     Status: Commercial software
  109.     Revision to be released: ???
  110.     Where to find: CompuServe, America Online, Applelink, Symantec's
  111.     Bulletin Board @ 408-973-9598
  112.     When available: immediately
  113.     Notes: User definition information: Virus Name:  T4 Resource type:  CODE
  114.     Resource ID:  Any 0 Resource size:  >= 5600 Search String:  Hex
  115.     2F2EFFD02F2EFFC43F3CA97B486E String offset:  >= 714 from end Check value
  116.     should be 'E7FA' if all fields entered correctly
  117.  
  118.  
  119.     Tool: VIREX
  120.     Status: Commercial software
  121.     Revision to be released: 3.82
  122.     Where to find: Microcom, Inc (919) 490-1277
  123.     When available: 6 July 1992
  124.     Comments: Virex 3.82 will detect the virus in any file, and repair
  125.     any file that has not been permanently damaged by the virus. All
  126.     Virex subscribers will automatically be sent an update on
  127.     diskette. All other registered users will receive a notice with
  128.     information to update prior versions to detect T4. The information
  129.     necessary to update immediately is also available on Microcom's
  130.     BBS: (919)419-1602 and on America OnLine.
  131.  
  132.  
  133.     Tool: VIRUSDETECTIVE
  134.     Status: Shareware
  135.     Revision to be released: 5.0.5
  136.     Where to find: Usual bulletin boards will announce a new search string.
  137.     Registered users will also get a mailing
  138.     with the new search string.
  139.     When available: Immediately.
  140.     Comments: search strings are: Resource CODE & Size > 3900 & Pos -1200 &
  141.     WData 3F3CA9CC*31BC4E71 ; For finding T4
  142.  
  143.  
  144.  
  145.    If you discover what you believe to be a virus on your Macintosh system,
  146.  please report it to the vendor/author of your anti-virus software package for
  147.  analysis.  Such reports make early, informed warnings like this one possible
  148.  for the rest of the Mac community.
  149.  
  150.    Also, be aware that writing and releasing computer viruses is more than a
  151.  rude and damaging act of vandalism -- it is also a violation of many state
  152.  and Federal laws in the US, and illegal in several other countries.  If you
  153.  have information concerning the author of this or any other computer virus,
  154.  please contact any of the anti-virus providers listed above.
  155.  
  156.    Several Mac virus authors have been apprehended thanks to the efforts of
  157.  the Mac user community, and some are awaiting trial for their actions.  This
  158.  is yet one more way to help protect you computers.
  159.  
  160.  - end -
  161. Downloaded From P-80 International Information Systems 304-744-2253
  162.