home *** CD-ROM | disk | FTP | other *** search

---

/ Night Owl 9 / Night Owl CD-ROM (NOPV9) (Night Owl Publisher) (1993).ISO / 034a / vl6_088.zip / VIRUSL6.088

Wrap

Text File  |  1993-06-01  |  40KB  |  950 lines

---

1. VIRUS-L Digest   Tuesday,  1 Jun 1993    Volume 6 : Issue 88
2.  
3. Today's Topics:
4.  
5. Re: IDES '93 Conference Proceedings
6. Network Security Standards
7. info sharing
8. Human factor in infections
9. Re: Review of BootX (Amiga)
10. Re: The Anti-Viral Software of MS-DOS 6 (PC)
11. Re: CPAV updates? (PC)
12. Tremor (PC)
13. Re: Single state machines and warm reboots (PC)
14. Re: CPAV updates? (PC)
15. Re: Bug With Virstop 2.08a & DOS6 Memmaker? (PC)
16. TREMOR via Satellite (PC)
17. TREMOR Analysis (PC)
18. DOS 6 Double Space and Invisible Virus (PC)
19. Re: The Anti-Viral Software of MS-DOS 6 (PC)
20. Re: Cure against Tremor available? (PC)
21. Re: The Anti-Viral Software of MS-DOS 6 (PC)
22. Is "Untouchable" (V-ANALYST) Effective (PC)
23. Thunderbyte anti-virus utils v6.02 uploaded to SIMTEL20 and OAK (PC)
24. virus news INTERNATIONAL CONFERENCE 93
25. Activity Monitors - variations (CVP)
26.  
27. VIRUS-L is a moderated, digested mail forum for discussing computer
28. virus issues; comp.virus is a gatewayed and non-digested USENET
29. counterpart.  Discussions are not limited to any one hardware/software
30. platform - diversity is welcomed.  Contributions should be relevant,
31. concise, polite, etc.  (The complete set of posting guidelines is
32. available by FTP on cert.org or upon request.)  Please sign submissions
33. with your real name; anonymous postings will not be accepted.
34. Information on accessing anti-virus, documentation, and back-issue
35. archives is distributed periodically on the list.  A FAQ (Frequently
36. Asked Questions) document and all of the back-issues are available by
37. anonymous FTP on CERT.org (192.88.209.5).
38.  
39. Administrative mail (e.g., comments, suggestions, beer recipes)
40. should be sent to me at: krvw@AGARNE.IMS.DISA.MIL.
41.  
42. All submissions should be sent to: VIRUS-L@Lehigh.edu.
43.  
44.    Ken van Wyk
45.  
46.  
47. ----------------------------------------------------------------------
48.  
49. Date:    Thu, 27 May 93 18:06:35 +0000
50. >From:    jmr@philabs.philips.com (Joanne Mannarino)
51. Subject: Re: IDES '93 Conference Proceedings
52.  
53. bontchev@news.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
54. |> George Guillory (wk04942@worldlink.com) writes:
55. |> 
56. |> > I hate to bring this up but has anyone received the proceedings from
57. |> > the 6th International Computer Virus and Security Conference?
58. |> 
59. |> At least none of the VTC participants (there were three of us) have
60. |> received them yet. I'll second your appeal to the organizers - due to
61. |> bad organization, it was almost impossible to attend the speeches, so
62. |> I would like at least to read the submitted papers...
63.  
64. This conference was held in New York City this past March and I
65. understand that the next one is already reserved for March 1994.
66.  
67. Please be forewarned to avoid this conference.  I sent two people to
68. this last one and they felt it was the most unprofessional,
69. unorganized conference they'd ever attended -- they only went two of
70. the three days because they were waiting for it to get better but
71. realized it never would.  I wrote a letter of complaint to the
72. organization and also sent copies to IEEE and ACM which were
73. supposedly sponsors.  I don't expect to hear back from them, but
74. wanted to warn anyone who may contemplate going that it's a total
75. waste of time and money.
76.  
77. Also, from what I've heard, this wasn't just a bad year.  The
78. conference is very badly organized and seems to get worse every year.
79.  
80. - -joanne mannarino
81. - -- 
82. joanne mannarino                  philabs!jmr@uunet   or
83. philips laboratories - briarcliff           jmr@philabs.philips.com
84.  
85. ------------------------------
86.  
87. Date:    Fri, 28 May 93 08:01:42 -0400
88. >From:    MARTIN@SALIG.DEMON.CO.UK
89. Subject: Network Security Standards
90.  
91.  Can anyone point me in the direction of FTP sites that carry papers on
92.  strategy on security and anti-virus matters for networks?
93.  
94.  If so, can you please list any FTP sites other than CERT.ORG which has
95.  an anonymous FTP account.
96.  
97.  Many thanks in advance.
98.  
99.  --+
100.   Martin Overton                  |Compuserve: 100063,1161
101.   PC Technical Specialist         |Internet  : Martin@Salig.Demon.Co.Uk
102.   Tel: +44 (403) 231937           |"Beam me up,Sooty!"
103.  
104. ------------------------------
105.  
106. Date:    Mon, 31 May 93 10:00:50 -0400
107. >From:    rreymond@vnet.IBM.COM
108. Subject: info sharing
109.  
110. Hi everybody| After all that talk about the Inbar's article, I've got
111. my copy.  Now I wanna thanks here Inbar for having shared those info.
112. In fact this article was very interesting and useful for me. Why?
113. Simple: all what I know about viruses and counter measures, I've
114. learned it ON MY OWN, or at least supported by some more skilled (and
115. patient) colleagues...  D'ya understand? That stuff, that I'm sure it
116. wasn't a mistery for The Dark Side before Inbar's article, was quite a
117. mistery FOR ME. And if now I can better understand some tricks is
118. because someone (Inbar) has kindly decided to share that, insted to
119. keep for himself.  C'm on, folks, let's share...
120.  
121. .............................................Bye|
122. ..................................................Roberto
123. - -----------------------------------------------------------------------
124. *  All the above are my own opinions, not necessarily shared by IBM   *
125. ***********************************************************************
126. Roberto Reymond            IBM C.E.R.T. Italy              via Lecco 61
127. - ---------------                                    20059 Vimercate (MI)
128. RREYMOND@vnet.ibm.com                              Italy     MI VIM 491
129. .........Phone +39.39.600.6873        Fax +39.39.600.5015............
130. ***********************************************************************
131. *      " Another one bites the dust| " , Queen (The Game, 1980)       *
132. ***********************************************************************
133.  
134. ------------------------------
135.  
136. Date:    Sun, 23 May 93 10:12:01 +0200
137. >From:    Inbar_Raz@f210.n9721.z9.virnet.bad.se (Inbar Raz)
138. Subject: Human factor in infections
139.  
140. frisk@complex.is (Fridrik Skulason) wrote:
141.  
142.  
143.  >>Would I be mistaken if I assumed that those companies weren't adequately
144.  >>protected, or was it a new variant?
145.  
146.  > They *thought* they wre fully protected...unfortunately, they had not
147.  > updated
148.  > their anti-virus software for two years.
149.  
150. Then I wouldn't be mistaken to assume that :-)
151.  
152. The problem, the way I see it, is that companies that have something to lose <
153. namely, Data), don't realize that just equipping the employees (or 
154. workstations) with Anti Virus products, no matter how idiot-proof or easy to 
155. use they are, is NOT SUFFICIENTLY protective.
156.  
157. I believe that a company that cares about it's data bad enough, and that is in 
158. the risk group that I defined earlier in this thread, should actually hire a 
159. qualified person to handle the virus problem.
160.  
161. By Qualified, I don't mean 'First Degree in Computers', because people that 
162. learned their computer science only when in College, don't really know much 
163. about computer. By Qualified, I mean almost every one of this echo's 
164. participants - people that involve with viruses all the time, wether they know 
165. everything about every virus, like the hot-shots, or wether they don't, like 
166. me, but they know how to deal with Anti-Viruses, and know the general risks 
167. and how to defend against them.
168.  
169. Any comments?
170.  
171. Inbar Raz
172. Chief Data Recovery
173. - - --
174. Inbar Raz                 5 Henegev, Yavne 70600, ISRAEL. Phone: +972-8-438660
175. Chief Data Recovery, 15 Habanim, Nes-Ziona 70400, ISRAEL. Phone: +972-8-400070
176. Netmail: 2:401/100.1, 2:403/100.42, 9:9721/210 nyvirus@weizmann.weizmann.ac.il
177.  
178. - --- FMail 0.94
179.  * Origin: Inbar's Point - Home of the first UnTinyProg. (9:9721/210)
180.  
181. ------------------------------
182.  
183. Date:    Sat, 29 May 93 15:37:25 -0400
184. >From:    hkantola@cc.helsinki.fi (Heikki Kantola)
185. Subject: Re: Review of BootX (Amiga)
186.  
187. Rob Slade (roberts@decus.arc.ab.ca) wrote:
188. > Performance
189. >  
190. > Unknown at this time due to lack of a test suite.  Currently one of the most
191. > highly recommended Amiga antivirals.
192. >  
193. > Local Support
194. >  
195. > The author is reachable via Fidonet and Internet mail.
196. >  
197.  
198. However, the author has recently announced that all BootX development is
199. discontinued. But luckily there happens to other equally good (?) PD/SW
200. viruskillers for Amiga, for example: Virus Checker (currently upto
201. v6.26) and VirusZ (latest is v3.06).
202.  
203. - -- 
204. - --------------------------------------------------------------------------
205. Heikki Kantola, Computer Linguistics student at the University of Helsinki
206. E-Mail: heikki.kantola@helsinki.fi           IRC: Hezu
207. - --------------------------------------------------------------------------
208.  
209. ------------------------------
210.  
211. Date:    Thu, 27 May 93 14:37:41 -0400
212. >From:    gary@sci34hub.sci.com (Gary Heston)
213. Subject: Re: The Anti-Viral Software of MS-DOS 6 (PC)
214.  
215. frisk@complex.is (Fridrik Skulason) writes:
216.   [ about CPAV causing false alarms ]
217. >Unfortunately no...Here is for example one report I received yesterday from
218. >one of my largest users:
219.  
220. >>I have encountered interaction between DOS V6.0's VSAFE and McAfee V104 and
221. >>F-Prot 2.08a
222.  
223. > [ ... ]  I see this basically as MS/CP problem - those scanners seem to
224. >be the only ones which do not encrypt all virus signatures in memory.  This
225. >is generating too many questions for me though - and what I probably will do
226. >is to add a check for VSAFE to my program, and if it is found I will display
227. >a message like "WARNING! WARNING! - VSAFE found in memory"
228.  
229. First, I think this is an *excellent* idea. It'll help cut down on
230. inexperienced people panicing when they run into it (and there'll be a
231. *flood* of them as DOS 6.0 propagates).
232.  
233. Second, I think you also need to include a disinfect option. You'd be
234. doing the antiviral world a favor.
235.  
236. :-)
237.  
238. - -- 
239. Gary Heston    SCI Systems, Inc.  gary@sci34hub.sci.com   site admin
240. The Chairman of the Board and the CFO speak for SCI. I'm neither.
241. Hestons' First Law: I qualify virtually everything I say.
242.  
243. ------------------------------
244.  
245. Date:    Thu, 27 May 93 19:14:30 +0000
246. >From:    ee1ckb@sunlab1.bath.ac.uk (Alan Boon)
247. Subject: Re: CPAV updates? (PC)
248.  
249. In the referenced article, bontchev@rzsun2.informatik.uni-hamburg.de
250. (Vesselin Bontchev) writes:
251. >Alan Boon (ee1ckb@sunlab1.bath.ac.uk) writes:
252. >
253. >> I am currently using CP Anti-Virus v1.4 and before anyone say anything
254. >> bad about it, I like it and think it's one of the best around! Does
255. >
256. >Would be curious to know why to you think that it is so good?
257. >According to my own experience, it is actually one of the worst
258. >anti-virus programs around... Don't you like it because of the user
259. >interface, by chance? Remember that there is no record of a virus
260. >being ever stopped by a user interface... :-)
261. >
262. >> anybody knows where I can download virus signature files from so I can
263. >> update my CPAV detection capabilities? It will be lovely if anyone
264. >
265. >They are available via anonymous ftp as
266. >
267. >ftp.informatik.uni-hamburg.de:/pub/virus/progs/cpav_upd.zip
268. >
269. >According to Padgett, the updates can be used to upgrade also the
270. >MS-DOS version of MSAV - the scanner that comes with MS-DOS 6.0.
271.  
272. With Bootsafe and Vsafe running, your system is well protected provided you
273. update the signature files. It offers a comprehensive protection system
274. that no other can match. Anyway, it wasn't the user interface that
275. attracted me but the protection level it offered.
276.  
277. Alan.
278.  
279. ------------------------------
280.  
281. Date:    Fri, 28 May 93 09:27:22 -0400
282. >From:    "Dr. Martin Erdelen" <HRZ090@VM.HRZ.UNI-ESSEN.DE>
283. Subject: Tremor (PC)
284.  
285. On Wed, 12 May 93 13:45:20 MEZ
286.  I wrote:
287.  
288. >is there any new development re: disinfection of the Tremor virus? Are there
289. >antiviral programs by now which can handle this beast?
290.  
291. Thanks to all who responded. With the help of KILLT2.EXE, the Tremor
292. Killer by Pascal Pochol, I was able to disinfect the afflicted files.
293. Yes, I do know that overwriting would be better, but do my clients
294. have clean backups? Nooooo! (Incidentally, how does one make sure that
295. the backups are *really* clean? If no permanent infection watch is run
296. - - as of course should be, but also of course often is not - you are
297. apt to sooner or later replace the clean copy with an infected one,
298. aren't you?)
299.  
300. While we are at it: I can't remember to have seen in the discussion
301. any description of Tremor's payload. Is there more to it than the
302. trembling screen image? Or has it not yet been fully analysed?
303.  
304. MArtin
305.  
306.     (~  , ,
307.    (___/__/__-_
308. Dr. Martin Erdelen     EARN/BITNET: HRZ090@DE0HRZ1A.BITNET
309. - -Computing Centre-        Internet: erdelen at hrz.uni-essen.de
310. University of Essen           Tel.: +49 201 183-2998
311.  Schuetzenbahn 70              FAX: +49 201 183-3960
312.   D-4300 Essen 1            Binary: .  .-.  -..  .  .-..  .  --      (~~
313.       Germany                                                    (()~~
314. +-----------------------+    Smoke:       ())))   ((()))~~~ ())~~~
315. |      Remarkably       |               ())))) ~~~
316. |      remarkless       |        (())()~(())())
317. |         room          |     (())())
318. +-----------------------+   ((()()())))
319.  
320. ------------------------------
321.  
322. Date:    Fri, 28 May 93 15:06:55 -0400
323. >From:    "David M. Chess" <chess@watson.ibm.com>
324. Subject: Re: Single state machines and warm reboots (PC)
325.  
326. >From:    Garry J Scobie Ext 3360 <GSCOBIE@ml0.ucs.edinburgh.ac.uk>
327.  
328. >> From:    padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
329.  
330. >>      I know of no virus (and am sure will be corrected if wrong 8*) that
331. >> can survive a *real* warm reboot.
332.  
333. >Was this thread ever followed up. In Volume 5 Issue 41 1992, Vesselin
334. >noted that no virus could survive the genuine or *real* Ctrl-Alt-Del
335. >or warm re-boot. However, in Issue 44 David Chess notes:
336.  
337. >>  In short, since some viruses ARE able to survive the Ctrl-Alt-Del
338. >>    sometimes,
339. >
340. >Was this taken off-line and resolved? David, Vesselin?
341.  
342. We are all agreeing loudly with each other, as usual!   *8)
343. There are viruses which will still be there if you press
344. Control-Alt-Delete and wait for the good old DOS prompt to
345. come back.  However, the way they work is by preventing
346. a "real" warm reboot (in Padgett's sense of "real"),
347. and in many cases someone as observant as Vesselin will
348. be able to tell, by watching exactly what happens after
349. the C-A-D is pressed, that that "real" reboot did not
350. occur.   So it's true both that we know of no virus
351. that's still in memory after a "real" warm reboot, but
352. at the same time if you just press C-A-D and wait for
353. the machine to settle down again, there *are* viruses
354. that can survive that.
355.  
356. - - -- -                             /   We have a little garden,
357. David M. Chess                     /     A garden of our own,
358. High Integrity Computing Lab       /   And every day we water there
359. IBM Watson Research                /     The seeds that we have sown.
360.  
361.  
362. ------------------------------
363.  
364. Date:    Sat, 29 May 93 08:57:30 -0400
365. >From:    A.M.Zanker@newcastle.ac.uk (A.M. Zanker)
366. Subject: Re: CPAV updates? (PC)
367.  
368. bontchev@rzsun2.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
369.  
370. >Alan Boon (ee1ckb@sunlab1.bath.ac.uk) writes:
371.  
372. >> I am currently using CP Anti-Virus v1.4 and before anyone say anything
373. >> bad about it, I like it and think it's one of the best around! Does
374.  
375. >Would be curious to know why to you think that it is so good?
376. >According to my own experience, it is actually one of the worst
377. >anti-virus programs around... Don't you like it because of the user
378. >interface, by chance? Remember that there is no record of a virus
379. >being ever stopped by a user interface... :-)
380.  
381. Ha Ha! Yes, it has a nice user interface. It also detects the 50 or so
382. virii that are ever really seen outside virus testing labs etc. (according
383. to Alan Solomon). It always seems to have a fairly low rating in P. Hoffman's
384. certification tests, but then she seems to use the standard 1.4 version without
385. any of the updates. 
386.  
387. The Windows version is also rather nice and has got me out of a few scrapes.
388. Both DOS and Windows versions can also detect changes to "system" files 
389. (.exe, .com, .dll, .ov?, etc.) which seems to cover just about everything
390. one is likely to meet in everyday home use.
391.  
392. Mike
393. - -- 
394. - --
395. Mike Zanker                              |  A.M.Zanker@ncl.ac.uk
396. Department of Mathematics and Statistics |
397. University of Newcastle upon Tyne, UK    |
398.  
399.  
400. ------------------------------
401.  
402. Date:    Sun, 30 May 93 01:23:51 -0400
403. >From:    medici@dorm.rutgers.edu (Mark Medici)
404. Subject: Re: Bug With Virstop 2.08a & DOS6 Memmaker? (PC)
405.  
406. sphughes@sfsuvax1.sfsu.edu (Shaun P. Hughes) writes:
407.  
408. | RTRAVSKY@corral.uwyo.edu (Rich Travsky 3668 (307) 766-3663/3668) writes:
409. | >I have encountered an odd interaction between virstop.exe version
410. | >2.08a and dos 6's memmaker. Specifically, having virstop running 
411. | >(either in conventional or high memory) will hang the pc when using
412. | >memmaker. This means then that to run memmaker you have to comment 
413. | >it out of whichever startup file you have it in.
414.  
415. | I finally got around to dos 6.0 yesterday and had absolutely no
416. | conflict between virstop 208a and memmaker. I suspect your problem
417. | lies elsewhere. 
418.  
419.  
420. I have had experiences similar to Rich's.  If I allow DOS6's MemMaker
421. to try and determine the best way to load VIRSTOP from F-PROT 2.08a,
422. the system locks hard requiring cold-boot.  However, if I select the
423. custom MemMaker option, tell MemMaker that I want to specify which
424. files to try and load high, and exclude VIRSTOP, there is no problem.
425.  
426. Note that VIRSTOP is actually loaded into memory, it's just that I
427. don't let MemMaker try to fit it high.  After MemMaker is done, I have
428. no trouble loading VIRSTOP into UMB (providing enough space is left
429. over for it).
430.  
431. So the problem seems only to be that MemMaker's method of determining
432. VIRSTOP's size is not working -- not that VIRSTOP is incompatible with
433. DOS6's UMB/EMM386.EXE.
434.  
435. - -- 
436. _________________________________________________________________________
437. RUCS     | Mark A. Medici * Telecommunications Analyst II * User Services
438. User     | Rutgers University Computing Services, New Brunswick, NJ 08903
439. Services | [medici@gandalf.rutgers.edu]                    [908-932-2412]
440.  
441.  
442. ------------------------------
443.  
444. Date:    Mon, 31 May 93 16:17:05 -0400
445. >From:    Fischer@rz.uni-karlsruhe.de
446. Subject: TREMOR via Satellite (PC)
447.  
448. Clarification:
449.  
450. Several people sent e-mail to me asking which version of PKUNZIP or McAfee's
451. SCAN were infected! Maybe I was not precise enough.
452.  
453. 1. The virus infection did *not* happen at McAfee Associates nor at PK Ware!
454.  
455. 2. The company Channel Videodat near Cologne, Germany most probably contracted
456.    TREMOR from a shareware dealer in Duesseldorf, Germany
457.    named Software Projekt Heidel, who supplied the 104 Version of McAfee's
458.    anti-virus software and an infected copy of PKUNZIP.EXE
459.  
460. 3. The transmission is on the same channel as the TV program PRO-7, that is
461.    broadcasted in Europe.
462.  
463. I hope this clarifys the matter.
464.  
465.  
466. Christoph Fischer
467. Micro-BIT Virus Center
468. University of Karlsruhe
469. Zirkel 2
470. W-7500 KARLSRUHE 1
471. Germany
472. +49 721 376422 Phone
473. +49 721 32550  FAX
474. email: ry15@rz.uni-karlsruhe.de
475.  
476. ------------------------------
477.  
478. Date:    Mon, 31 May 93 16:28:31 -0400
479. >From:    Fischer@rz.uni-karlsruhe.de
480. Subject: TREMOR Analysis (PC)
481.  
482. TREMOR Analysis
483.  
484. The analysis of the mutation mechanism in TREMOR revealed a complexity of
485. 5.8 billion possibilies of variation of the decryption loop. Now that the full
486. tree is analysed a 100% hit rate in detecting this virus can be achieved.
487.  
488. During this analysis a delay mechanism for the payload trigger has been found.
489. This can be used to back-trace an infection strain, since the infection date
490. can be derived from the trigger code!
491.  
492. TREMOR Prevalence
493.  
494. TREMOR is now pretty much spread in Germany the Micro-BIT Virus Center gets
495. about 1-2 calls from infected sites per day. Several companies were among the
496. callers.
497.  
498. Christoph Fischer
499. Micro-BIT Virus Center
500. University of Karlsruhe
501. Zirkel 2
502. W-7500 KARLSRUHE 1
503. Germany
504. +49 721 376422 Phone
505. +49 721 32550  FAX
506. email: ry15@rz.uni-karlsruhe.de
507.  
508. ------------------------------
509.  
510. Date:    Tue, 01 Jun 93 03:35:02 -0400
511. >From:    "Roger Riordan" <riordan@tmxmelb.mhs.oz.au>
512. Subject: DOS 6 Double Space and Invisible Virus (PC)
513.  
514. We recently received a sample of "Invisible" virus.  This infects 
515. both files and MBRs.  Without really thinking we ran it on a 
516. test PC in which the hard disk was set up using DOS 6 Double 
517. Space.  After running an infected file the PC was rebooted.
518.  
519. Immediately we discovered major corruption.  The root directory 
520. appeared to be OK, but many files and directories (at various 
521. levels) were unreadable, and a number of directories were 
522. recursive.  Of about 15M on the hard disk about 4M was lost.  
523.  
524. We tried running CHKDISK.  This reported many lost clusters, and 
525. made these into about 300 files, but most of these were still 
526. unreadable. 
527.  
528. Eventually we gave up and reformatted the hard disk.  We did not 
529. install Double Space this time!
530.  
531. As far as we know at present the only deliberate damage done 
532. by the virus is to write the original MBR, followed by the virus, 
533. to the last seven sectors on the hard disk.  We were able to read 
534. this as an absolute sector using Nortons, but many clusters 
535. and even physical sectors appeared to be totally unreadable.  It 
536. is possible that the virus marked the occupied sectors as bad, 
537. and that this caused the damage, but this does not seem very 
538. probable.
539.  
540.  
541. CONCLUSION.
542.  
543. Double Space would appear to have the capability of converting an 
544. infection with an otherwise trivial virus into a major disaster.
545.  
546.  
547. Roger Riordan                 Author of the VET Anti-Viral Software.
548. riordan.cybec@tmxmelb.mhs.oz.au
549.  
550. CYBEC Pty Ltd.                                 Tel: +613 521 0655
551. PO Box 205, Hampton Vic 3188   AUSTRALIA       Fax: +613 521 0727
552.  
553.  
554. ------------------------------
555.  
556. Date:    Sat, 29 May 93 17:02:07 +0000
557. >From:    bontchev@news.informatik.uni-hamburg.de (Vesselin Bontchev)
558. Subject: Re: The Anti-Viral Software of MS-DOS 6 (PC)
559.  
560. Y. Radai (RADAI@vms.huji.ac.il) writes:
561.  
562. > I do not notice any behavior like that described above when I use McAfee's
563. > Scan V102, S&S's FindViru 6.18, or UTScan 28.  I find it only when I run
564. > F-PROT after running MSAV.  I then get the message "The xxxxxx virus search
565. > pattern has been found in memory" (where xxxxxx is "Telecom", unless VSafe is
566. > loaded in extended memory, in which case xxxxxx is "Stoned").  I therefore
567. > think that the problem lies with F-PROT rather than with MSAV or VSafe in this
568. > particular case.
569.  
570. I beg to disagree. Although I have not observed it myself, I have
571. received several reports about interaction with SCAN 104 and ghost
572. positives. It seems indeed to depend on where exactly is VSAFE loaded
573. in memory. And the cause of the problem is, of course, VSAFE and
574. nothing else - because it doesn't bother to encrypt its scan strings.
575.  
576. Regards,
577. Vesselin
578. - --
579. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
580. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
581. < PGP 2.2 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
582. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
583.  
584. ------------------------------
585.  
586. Date:    Sat, 29 May 93 16:45:47 +0000
587. >From:    bontchev@news.informatik.uni-hamburg.de (Vesselin Bontchev)
588. Subject: Re: Cure against Tremor available? (PC)
589.  
590. Robert Hoerner (Robert.Hoerner@f2170.n492.z9.virnet.bad.se) writes:
591.  
592. > F-PROT 2.08 finds it.
593.  
594. Unfortunately, neither version 2.08, nor version 2.08a of F-Prot is
595. able to find the Tremor virus -reliably-, let alone to disinfect it.
596. (By unreliable detection I mean that some infected files are detected
597. and some aren't.) As far as I understand, Frisk has solved the problem
598. and an update for F-Prot should be out RSN...
599.  
600. > I myself wrote a finder+cleaner : ANTISER.ZIP, frequestable. It desinfects 
601. > TREMOR-infected files just at the moment, they are started. No danger for re-
602. > infection anymore. Does not work on packed files !
603.  
604. If your program is freeware or shareware (and if it is good, of course
605. <grin>), and if you are interested to make it available via anonymous
606. ftp, then I could put it on our ftp site - just uuencode it and e-mail
607. it to me.
608.  
609. BTW, are you sure that your program detects the Tremor virus reliably?
610. This is extremely difficult to test, because the virus has a
611. considerable potential for polymorphism, but mutates very slowly. That
612. is, even if you generate a few thousands of replicants, you'll still
613. have only a few different mutations and a test based only on them
614. might not be good enough.
615.  
616. Regards,
617. Vesselin
618. - --
619. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
620. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
621. < PGP 2.2 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
622. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
623.  
624. ------------------------------
625.  
626. Date:    Sat, 29 May 93 16:58:59 +0000
627. >From:    bontchev@news.informatik.uni-hamburg.de (Vesselin Bontchev)
628. Subject: Re: The Anti-Viral Software of MS-DOS 6 (PC)
629.  
630. A. Padgett Peterson (padgett@tccslr.dnet.mmc.com) writes:
631.  
632. > As far as the easy disable in memory as documented widely, a tiny TSR
633. > (uses no free RAM) could disable the disabler just as easily.
634.  
635. Nope. The disabler -is- needed - as Yisrael pointed out, MSAV needs to
636. turn VSAFE off before it begins to scan the disk. If you don't allow
637. disabling of VSAFE, then you won't be able to run MSAV with VSAFE in
638. memory. A quick fix is to make the TSR ask the user whether s/he
639. really wants VSAFE to be disabled, but this is, after all, a kludge.
640.  
641. > Finally, given that the signatures are distributed separately, what is to
642. > stop an enterprising person from distributing their own signature update
643. > for use with MSAV having a much higher detection rate (for a suitable fee 
644. > of course) ?
645.  
646. I am not competent in legal matters, but I think that one must obtain
647. a permission from Central Point Software and/or from Microsoft, before
648. publishing such an update... And why would they permit their
649. competitors to publish better anti-virus software? Besides, the format
650. of the updates is not published. On the top of that, I suspect that
651. those updates have some internal limitations, which cannot be
652. circumvented without a complete re-design of the product. For
653. instance, I am 100% sure that they don't provide the means for exact
654. virus identification.
655.  
656. > Thus the question must be not "whether MSAV is the One True Answer" but
657. > "*could* it be ..." e.g. is the engine robust enough ? Certainly, Windows
658.  
659. Hm, what do you mean by "robust enough"? I've got the impression that
660. the scanning engine in CPAV/MSAV is rather far from the modern fast
661. scanning technologies...
662.  
663. > Now let's look on the positive side: MSAV is at least trivially integrated
664. > into DOS.
665.  
666. Is it? How? From what I have seen, it is just an add-on product, which
667. has nothing to do with the operating system. Heh, it even doesn't
668. check the DOS version like the other external DOS commands... :-)
669.  
670. > I haven't tried it yet but would expect it to be compatable with
671. > disk compression and Windows 32BitDiskAccess (possibly why the boot sector
672.  
673. Please try it and post the results. I have my reasons to doubt that
674. the above is true, but I might be wrong.
675.  
676. > it against necessary functions that we do not know about (yet 8*). In
677. > other words, the hard part (nice human interface & it works) is done and the 
678. > a-v people can concentrate on improving the detection rate plus the low 
679. > level add-ons.
680.  
681. Actually, even the user interface is screwed-up. The nice user
682. interface of CPAV has been restricted quite a lot in MSAV...
683.  
684. > There are some drawbacks that I know of. For instance you can take a looong
685. > coffee break while waiting for the memory scan on a 4.77 Mhz PC or XT but
686. > this is fixable or possibly no-one will care.
687.  
688. This is again a result of the usage of out-of-date scanning
689. technology. It cannot be fixed without a complete re-design of the
690. scanning engine.
691.  
692. > ps STAC also quietly announced availability of STACKER for OS/2 on p 170
693. >    of the May 24 PC-Week. Did anyone else notice ?
694.  
695. Sure, I even saw the product at the CeBIT'93 computer fair in 
696. Hannover... :-)
697.  
698. Regards,
699. Vesselin
700. - --
701. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
702. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
703. < PGP 2.2 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
704. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
705.  
706. ------------------------------
707.  
708. Date:    Tue, 25 May 93 17:44:00 +0200
709. >From:    Schwartz_Gabriel@f101.n9721.z9.virnet.bad.se (Schwartz Gabriel)
710. Subject: Is "Untouchable" (V-ANALYST) Effective (PC)
711.  
712. TO: bontchev@news.informatik.uni-hamburg.de
713. Yes you might be right about the integrity checker of V-Analyst but most of 
714. the users want to see scan results much more then integrity check.
715. Altough integrity check is a very important path of an anti-virus package it 
716. can't stand alone as the leading part.I'm lookin in the latest VSUM reports 
717. and V-Analyst doesn't look very good there,  
718.  
719. - --- FastEcho/386 B0426/Real! (Beta)
720.  * Origin: >> Rudy's Place << VirNet, Israel (9:9721/101)
721.  
722. ------------------------------
723.  
724. Date:    Sat, 29 May 93 17:50:37 -0400
725. >From:    bondt@dutiws.TWI.TUDelft.NL (Piet de Bondt)
726. Subject: Thunderbyte anti-virus utils v6.02 uploaded to SIMTEL20 and OAK (PC)
727.  
728. I have uploaded to WSMR-SIMTEL20.Army.Mil and OAK.Oakland.Edu:
729.  
730. pd1:<msdos.virus>
731. TBAV602.ZIP     Thunderbyte anti-virus utilities, v6.02
732. TBAVU602.ZIP    Thunderbyte anti-virus pgm, upgrade 6.01->6.02
733. TBAVX602.ZIP    TBAV processor specific pgms; see TBAV602.ZIP
734. VSIG9305.ZIP    Signatures for HTSCAN virus scanner
735.  
736. Greetings,
737.  
738. Piet de Bondt                            E-Mail : bondt@dutiws.twi.tudelft.nl
739.  
740.  
741. ------------------------------
742.  
743. Date:    Mon, 31 May 93 09:44:43 -0400
744. >From:    wachtel@canon.co.uk (Tom Wachtel)
745. Subject: virus news INTERNATIONAL CONFERENCE 93
746.  
747. virus news
748. INTERNATIONAL CONFERENCE
749. 93
750.  
751. 23rd June 1993
752.  
753. Sheraton Skyline
754. Heathrow
755.  
756. Virus News International is widely recognised for its excellent
757. coverage of security issues.  VNI contributors gather information
758. from around the world and are in constant contact with police forces
759. and law enforcement agencies.  Nowhere near all of this information
760. has been published in VNI - yet.
761.  
762. As the virus field comes of age, so your need for information becomes
763. more and more specialised.  Because you now have a much better
764. understanding of viruses, you are now asking more focused questions.
765. You will be given answers on which to build your defences against
766. potential security breaches.
767.  
768. What you will get at the VNI Conference is a concise intelligence
769. briefing.  When you return to your organisation, you will be in a
770. position to update your company's policies and procedures with the
771. advantage of having a clear idea of what is to come.
772.  
773.  * Why do virus authors do it?
774.  
775.  * What new approaches are virus authors likely to take?
776.  
777.  * How to prepare for the next attack
778.  
779.  * Up to the minute news of activities in the virus world
780.  
781.  
782. What the conference will give you
783.  
784. One of the most frequently asked questions is "Why do they do it?"
785. At the VNI Conference, you will hear from people who have contacted
786. virus authors and who have hacked into closed computer systems.
787. Their insights will help you understand your enemy better.
788.  
789. Knowing what new angles virus authors are likely to take is one of
790. the questions many technical people would like to know.  Vesselin
791. Bontchev of the Virus Test Center at the University of Hamburg is one
792. of the world's leading virus researchers and is better placed than
793. most to be able to provide at least some of the answers.
794.  
795. Most people assume that all anti-virus software operates in the same
796. way.  Dr. Simon Shepherd of the United Kingdom Computer Virus
797. Certification Centre, University of Bradford knows better.  He will
798. explain how a full evaluation is carried out and what you should look
799. for when deciding which products to use.
800.  
801. Dr Alan Solomon, Chairman of S & S International, will give you a
802. briefing on the activities of virus authors and others involved in
803. the dissemination of viruses.  With contacts right around the globe,
804. Dr Solomon has an unrivalled understanding of what virus authors and
805. distributors are doing.
806.  
807.  
808. Speakers
809.  
810. Sara Gordon is an independent researcher and consultant in computer
811. security.  Her insight into the minds, motives and methods of hackers
812. and virus writers provides a unique perspective, with a wealth of
813. expertise and information.  She recently interviewed the Dark Avenger.
814.  
815. Robert Schifreen is the man the House of Lords cleared of all charges
816. of hacking into Prince Philip's Prestel mailbox.  Now one of the
817. world's most respected consultants in the field of protection from
818. hacking, he will be giving you an insight into the motives of
819. hackers.
820.  
821. Vesselin Bontchev is a Research Associate at the University of
822. Hamburg, while continuing his research at the Virus Test Center there.
823.  
824. Dr Simon Shepherd is Senior Lecturer in Cryptography and Computer
825. Security at the University of Bradford, and Director of the UK
826. Computer Virus Certification Centre.  He has extensive experience in
827. the design of secure communications and computing systems.
828.  
829. Dr Alan Solomon, one of the leading figures in the anti-virus
830. research community, is co-founder and technical director of the
831. European Institute for Computer Anti-Virus Research.  He is also
832. Chairman of S & S International and of the IBM PC User Group.
833.  
834.  
835. An International Event
836.  
837. Virus News International has frequently shown that the appearance of
838. a virus in one part of the world is usually the prelude to its
839. appearance in other countries, probably including yours.  VNI has a
840. truly international following and the conference provides and
841. opportunity to discuss experienced with delegates from around the
842. globe.
843.  
844. For the benefit of international delegates, The Sheraton Skyline at
845. Heathrow has been selected as the venue for the conference.  VNI is
846. conscious that delegates must justify fees and expenses so we have
847. packed this conference into one day.  The location makes it perfectly
848. possible for delegates to fly in from Europe or other parts of the
849. UK, spend a full and fruitful day at the conference, and return home
850. without incurring any overnight expense.
851.  
852.  
853. Who should attend?
854.  
855. Senior IT staff, network managers, Information Centre managers and
856. technical staff involved in data security procedures and development
857.  
858. Date                23rd June 1993
859. Venue               The Sheraton Skyline, Heathrow
860. Fee                 L295.00 + VAT per delegate
861.  
862. Delegates' fees may be paid by Access or Visa or by cheque.  Company
863. purchase orders accepted.
864.  
865. Since the conference is scheduled for less than one month from now,
866. interested persons should contact Paul Robinson on +44-792-324-000 asap.
867. Alternatively, his email address is 70007.5406@COMPUSERVE.COM.
868.  
869. - -----------------------------------------------------------------------
870. virus news INTERNATIONAL, William Knox House, Llandarcy, Swansea.  West
871. Glamorgan, SA10 6NL, United Kingdom
872. Tel No. +44 792 324000  Fax No. +44 792 324001
873.  
874. ===================
875. - -- 
876. Tom Wachtel (wachtel@canon.co.uk)
877.  
878. ------------------------------
879.  
880. Date:    Fri, 28 May 93 15:05:12 -0400
881. >From:    "Rob Slade" <roberts@decus.arc.ab.ca>
882. Subject: Activity Monitors - variations (CVP)
883.  
884.  
885. PRTAVSA.CVP   930522
886.  
887.                   Activity Monitors - variations
888.  
889. I would like to cover, under the topic of activity monitoring
890. software, two variations on the theme.  The first variation is very
891. minor: that of operation restricting software.  Operation
892. restricting software is similar to activity monitoring software,
893. except that instead of watching for suspicious activities it
894. "automatically" prevents them.  In the past I have tended to class
895. operation restricting software as a separate type of antiviral even
896. though the difference between a "monitor" and a "restrictor" is
897. really only one of degree in the information given to the user.  The
898. reason that I have done so is that the "degree" is not a continuum,
899. and there tends to be a definite gap between those programs which
900. inform the user, and those which do not.
901.  
902. As with mainframe security "permission" systems, some of these
903. operation restricting packages allow you to restrict the activities
904. that programs can perform, sometimes on a "file by file" basis. 
905. However, the more options these programs allow, the more time they
906. will take to set up.  Again, the program must be modified each time
907. you make a valid change to the system, and, as with activity
908. monitors, some viri may be able to evade the protection by using low
909. level programming.
910.  
911. It is important, when evaluating both activity monitoring and
912. operation restricting software, to judge the extent that the
913. operator is given the option of "allowing" an operation.  It is also
914. important that the operator be informed, not only that a particular
915. program or operation should be halted, but also why.  There should
916. not be too many "false alarms" generated by the software, and it
917. would be helpful to have the option of "tuning" the software to be
918. less, or more, sensitive to a given type of activity.
919.  
920. The second variant on activity monitoring may at first seem to be
921. wildly diverse: "heuristic" scanning.  However, please note that
922. heuristic scanners attempt to do the same thing that an activity
923. monitor does, if in a slightly different way.  Instead of "waiting"
924. for a program to perform a suspicious activity, a heuristic scanner
925. examines the *code* of a program for suspicious calls (hopefully
926. before the program is even run).  Although such scanners may be
927. limited to checking for very generic sections of code in their
928. current, natal state, eventually they will require a good deal of
929. "intelligence" to justify the analytical nature implied by the name
930. "heuristic".  Heuristic scanners are currently tools best used by
931. those with some background in virus identification and prevention,
932. but they hold a promise to become very useful tools even for the
933. novice with future development.
934.  
935. copyright Robert M. Slade, 1993   PRTAVSA.CVP   930522
936.  
937. ==============                      _________________________
938. Vancouver      ROBERTS@decus.ca    |    |     |\^/|     |    | swiped
939. Institute for  Robert_Slade@sfu.ca |    |  _|\|   |/|_  |    | from
940. Research into  rslade@cue.bc.ca    |    |  >         <  |    | Alan
941. User           p1@CyberStore.ca    |    |   >_./|\._<   |    | Tai
942. Security       Canada V7K 2G6      |____|_______^_______|____|
943.  
944.  
945. ------------------------------
946.  
947. End of VIRUS-L Digest [Volume 6 Issue 88]
948. *****************************************
949.