home *** CD-ROM | disk | FTP | other *** search

---

/ Night Owl 9 / Night Owl CD-ROM (NOPV9) (Night Owl Publisher) (1993).ISO / 051a / vl6_056.zip / VL6-056.TXT

Wrap

Internet Message Format  |  1993-04-06  |  26KB

---

1. From lehigh.edu!virus-l  Mon Apr  5 05:05:53 1993 remote from vhc
2. Received: by vhc.se (1.65/waf)
3.     via UUCP; Mon, 05 Apr 93 18:01:13 GMT
4.     for mikael
5. Received: from fidoii.CC.Lehigh.EDU by mail.swip.net (5.65c8-/1.2)
6.     id AA01636; Mon, 5 Apr 1993 15:38:50 +0200
7. Received: from  (localhost) by Fidoii.CC.Lehigh.EDU with SMTP id AA34585
8.   (5.67a/IDA-1.5 for <mikael@vhc.se>); Mon, 5 Apr 1993 09:05:53 -0400
9. Date: Mon, 5 Apr 1993 09:05:53 -0400
10. Message-Id: <9304051213.AA19903@first.org>
11. Comment: Virus Discussion List
12. Originator: virus-l@lehigh.edu
13. Errors-To: krvw@first.org
14. Reply-To: <virus-l@lehigh.edu>
15. Sender: virus-l@lehigh.edu
16. Version: 5.5 -- Copyright (c) 1991/92, Anastasios Kotsikonas
17. From: "Kenneth R. van Wyk" <krvw@first.org>
18. To: Multiple recipients of list <virus-l@lehigh.edu>
19. Subject: VIRUS-L Digest V6 #56
20.  
21. VIRUS-L Digest   Monday,  5 Apr 1993    Volume 6 : Issue 56
22.  
23. Today's Topics:
24.  
25. Michelangelo (PC)
26. CLEAN Recovery? (PC)
27. Port Writes (PC)
28. Lao Duong (PC)
29. Optimum Strategy for Virus Checking (PC)
30. Re: Booting password (PC)
31. Superstor and McAfee (PC)
32. Bug in FixUtil4 (PC)
33. Zenith boot selection (PC)
34. Re: What is the Genb or Form Virus??? (PC)
35. Re: Problems with DOS 6.0 Microsoft Anti-Virus (PC)
36. VI-SPY VS Central Point AntiVirus (PC)
37. Re: Scanners and exe/com file compressors? (PC)
38. Re:Scanners and exe/com files (PC)
39. Virus signature determination. (PC)
40. Catch from DIR? (PC)
41. Scan 99 % PKlite 1.15 (PC)
42. Untouchable (PC)
43. Untouchable (PC)
44. Which CRC/scanner to use. (PC)
45.  
46. VIRUS-L is a moderated, digested mail forum for discussing computer
47. virus issues; comp.virus is a non-digested Usenet counterpart.
48. Discussions are not limited to any one hardware/software platform -
49. diversity is welcomed.  Contributions should be relevant, concise,
50. polite, etc.  (The complete set of posting guidelines is available by
51. FTP on cert.org or upon request.) Please sign submissions with your
52. real name.  Send contributions to VIRUS-L@LEHIGH.EDU.  Information on
53. accessing anti-virus, documentation, and back-issue archives is
54. distributed periodically on the list.  A FAQ (Frequently Asked
55. Questions) document and all of the back-issues are available by
56. anonymous FTP on cert.org (192.88.209.5).  Administrative mail
57. (comments, suggestions, and so forth) should be sent to me at:
58. <krvw@FIRST.ORG>.
59.  
60.    Ken van Wyk, krvw@first.org
61.  
62. ----------------------------------------------------------------------
63.  
64. Date:    Mon, 29 Mar 93 08:51:07 +0100
65. From:    Malte_Eppert@f6051.n491.z9.virnet.bad.se (Malte Eppert)
66. Subject: Michelangelo (PC)
67.  
68. Hello Paul & Frisk!
69.  
70.  > Well, not every Michelangelo story has a sad ending. I did a
71.  > data recovery a week or two ago for a guy who'd been hit -- he had a
72.  > 200MB drive, and as M takes only a 9MB "bite" out of the drive, what
73.  > was left turned out to be pretty useful.
74.  
75. 9MB? You musta been very quick in powering the PC down :-). Ah, joking. Okay, 
76. it may be possible to recover _something_ in some instances, if Mich didn't 
77. touch one copy of the FAT or your files weren't too fragmented. You need a big 
78. bucket of luck to recover "all you want" :-)
79.  
80.  > Yeah, they chose the wrong switch; then "Oops, sorry", and
81.  > switched back on again. "Funny, this machine won't boot".
82.  
83. Funny :-) :-(
84.  
85. cu!
86. eppi
87.  
88. - --- GEcho 1.00
89.  * Origin: No Point for Viruses - Eppi's Point (9:491/6051)
90.  
91. ------------------------------
92.  
93. Date:    Mon, 29 Mar 93 08:58:08 +0100
94. From:    Malte_Eppert@f6051.n491.z9.virnet.bad.se (Malte Eppert)
95. Subject: CLEAN Recovery? (PC)
96.  
97. Hi Chris!
98.  
99.  >  My question is, is there any way of rebuilding a "CLEANed"
100.  > partition table???
101.  
102. Yes - get a virus-free DOS 5 boot disk containing FDISK and a sector editor, 
103. boot from it and issue "FDISK /MBR". If this does not help at all, it means 
104. your partition table entries have gone, too. In that case take the sector 
105. editor, look for the DOS bootsectors on your hard disk (if you ever saw an 
106. intact DOS boot record, you know how it looks like) and insert the right 
107. parameters into the new-built MBR's partition entries. A little difficult, but 
108. works.
109.  
110.  > what does IMHO stand for...
111.  
112. In my humble opinion, IMHO stands for... ehem :-)
113.  
114. cu!
115. eppi
116.  
117. - --- GEcho 1.00
118.  * Origin: No Point for Viruses - Eppi's Point (9:491/6051)
119.  
120. ------------------------------
121.  
122. Date:    Mon, 29 Mar 93 09:43:16 +0100
123. From:    Inbar_Raz@f210.n9721.z9.virnet.bad.se (Inbar Raz)
124. Subject: Port Writes (PC)
125.  
126. Hello everyone.
127.  
128. A couple of days ago, I first succeeded in compiling and running a routine to 
129. access disk using port writes only, therefore avoiding any interrupt 
130. whatsoever.
131.  
132. Needless to say, this piece of code is not going anywhere.
133.  
134. However, this raised a question.
135.  
136. Is there any EXISTING control program to inhibit such access? If a virus were 
137. to use port writes, no anti-virus shield would be able to stop it.
138.  
139. Inbar Raz
140. - - --
141. Inbar Raz                  5 Henegev, Yavne 70600 ISRAEL. Phone: +972-8-438660
142. Netmail: 2:401/100.1, 2:403/100.42, 9:9721/210 nyvirus@weizmann.weizmann.ac.il
143.  
144. - --- FMail 0.92
145.  * Origin: Inbar's Point - Home of the UnTinyProg. (9:9721/210)
146.  
147. ------------------------------
148.  
149. Date:    Fri, 02 Apr 93 01:56:19 -0500
150. From:    "Roger Riordan" <riordan@tmxmelb.mhs.oz.au>
151. Subject: Lao Duong (PC)
152.  
153. A.APPLEYARD@fs1.mt.umist.ac.uk writes
154. >  (1) What is the exact proper spelling of 'Loa Duong'? I have met 
155. >3 spellings so far.
156.  
157. Who knows?  We use Laodoung, which was the name of the sample file 
158. we received.
159.  
160. >  (2) We had Loa Duong in a PC III (running DOS 3.10) in Manchester 
161. >University (England), and I suspect that either it or the only 
162. >antiviral that we use (VET) or both between them deleted some 
163. >files. Who issues VET? Who will have information about it? 
164.  
165. We do, and the Manchester Computer Centre has the information about 
166. it.
167.  
168. >Please someone send me fullest information about what Loa Duong 
169. >does. The version of VET that we had, found it but could not remove 
170. >it. 
171.  
172. According to Alan Solomons VENCYCL it "Plays music, or beeps."  It 
173. does not appear to have any warhead, so it is unlikely that eithe 
174. it, or VET, caused the files to be lost.
175.  
176. >In the end we resorted to the ultimate weapon: wiping and re-
177. >initializing the hard disk.
178.  
179. This is almost never necessary, and will usually cause far more 
180. trouble than waiting till you can get proper advice.
181.  
182. If VET had been installed on the PC it would have been able to put 
183. back the saved copy of the DOS boot sector, but as this virus 
184. infects the DOS boot sector it can readily be removed with the 
185. command "SYS C:"
186.  
187. Roger Riordan                 Author of the VET Anti-Viral Software.
188. riordan.cybec@tmxmelb.mhs.oz.au
189.  
190. CYBEC Pty Ltd.                                 Tel: +613 521 0655
191. PO Box 205, Hampton Vic 3188   AUSTRALIA       Fax: +613 521 0727
192.  
193.  
194.  
195. ------------------------------
196.  
197. Date:    Fri, 02 Apr 93 01:56:26 -0500
198. From:    "Roger Riordan" <riordan@tmxmelb.mhs.oz.au>
199. Subject: Optimum Strategy for Virus Checking (PC)
200.  
201. markb@grv.grace.cri.nz (Malcolm Shore) writes
202.  
203. >I have been considering the integrity requirements of PC systems and
204. >applications, and thinking about the problem of full system scanning
205. >and user resistance because of the time involved.
206. >
207. >This leads me to ask members of the list more experienced than I
208. >in these matters the following question:
209. >
210. >Can risk analysis techniques be applied to the problem of viruses,
211. >ie do we have the base data needed to assess the risk of attack by
212. >various viruses and apply only the required countermeasures?.  Do we
213. >have the methodology?
214. >
215. >For instance, if such an analysis reveals that only (say) the STONED
216. >and MICHAELANGELO viruses pose a threat in excess of acceptable risk
217. >then boot sector protection will provide an acceptable countermeasure
218. >without the overheads of full system scanning.   Do I speak heresy?
219.  
220. In their enthusiasm to protect themselves from every possible risk 
221. systems administrators often specify security measures which render 
222. users PCs almost inaccessible.  The inevitable result is that the 
223. users find some way of disabling the security measures, and so they 
224. end up having no protection whatsoever.
225.  
226. When we were designing our program VET we started from the 
227. assumption that if it added more than about 20 seconds to the normal 
228. startup time it would be disabled, so we set out to provide an 
229. adequate degree of security without exceeding this limit.  The 
230. measures we adopted are:
231.  
232.   1.  We made VET as fast as possible.
233.  
234.   2.  During Installation we take copies of both boot sectors, so 
235.       that any change can be detected.
236.       
237.   3.  We record the top of memory, so the user will be warned if 
238.       a virus goes resident here.
239.       
240.   4.  We check memory for known viruses, and then fill unused memory 
241.       with a diagnostic code, so that if a new virus should hide in 
242.       memory without protecting itself the PC will lock up, after 
243.       warning that unused memory has been executed.
244.       
245.   5.  We calculate signatures for our program files, after adding 
246.       the information relating to the users PC, and for COMMAND.COM 
247.       (or equivalent).  The signatures are embedded in the program 
248.       files, and these are then encrypted, and new signatures 
249.       are calculated and recorded.
250.       
251.   5.  By default VET will check the first 50 executable files it 
252.       finds.  Most program viruses will spread rapidly, so this will 
253.       detect nearly all infections the next time the PC is booted.
254.  
255. Using the default options VET takes about 16 seconds to check an XT, 
256. and 4 to check a modern 486, but it will identify nearly all viruses 
257. that are remotely common, recover files and hard disks infected with 
258. most common viruses, and warn of most infections with new viruses.  
259.  
260. The author of the locally written Gingerbread virus went to 
261. inordinate lengths to hide it, but if it infected a PC with VET 
262. installed the user would be warned in the normal boot that the top 
263. of memory had been changed.  After a clean boot VET would also warn 
264. that the MBR and the VET file were corrupted. 
265.  
266.  
267.  
268. Roger Riordan                 Author of the VET Anti-Viral Software.
269. riordan.cybec@tmxmelb.mhs.oz.au
270.  
271. CYBEC Pty Ltd.                                 Tel: +613 521 0655
272. PO Box 205, Hampton Vic 3188   AUSTRALIA       Fax: +613 521 0727
273.  
274.  
275.  
276. ------------------------------
277.  
278. Date:    Fri, 02 Apr 93 11:05:39 -0500
279. From:    Fabio <FESQUIVE@ucrvm2.bitnet>
280. Subject: Re: Booting password (PC)
281.  
282. Can't you go into the setup program?  I had the same problem with
283. a DTK 486DX 50Mhz computer:  I could not execute the setup utilities,
284. because it allways asked me for the setup password.
285.  
286. What I did follows:  I wrote my own setup program (CMOSEDIT.EXE) which
287. allows me to modify any register in the CMOS.  Particularly, I changed
288. the hard disk type number to other number and then booted up again.
289.  
290. The DTK BIOS POST routine tried to recognize the new hard disk type
291. parameters, checking them against the real HD installed.  Of course,
292. the comparison failed and the POST suggested to get into the setup
293.  
294. Voila... No setup password were asked.  Try it, you can use any CMOS
295. modifier utility; there are several on InterNet (Mark Aitchison has
296. written CMOS.EXE version 2.99 which is very good.  FTP for it in
297. cantva.canterbury.acs.nz under the PC directory, file CMOS299.ZIP,
298. login as anonymous).
299.  
300. Good luck
301.                                      ,,,
302.                                     (O o)
303.  * * * * * * * * * * * * * * * *oOO* (_) *OOo* * * * * * * * * * * * * *
304. *                          *          U                                 *
305. * Fabio Esquivel Chacon    *    Computerize God - It's the new religion *
306. * fesquive@ucrvm2.bitnet   *  Program the Brain - Not the heartbeat     *
307. *      University of * * * *  Virtual existence / Superhuman mind       *
308. *         Costa Rica *    The ultimate creation / Destroyer of mankind  *
309. *    "My girlfriend, * Termination of our youth / For we do not compute *
310. * ____/|  music and  *                                                  *
311. * \'o O'  computers  *           "Computer God" - Dehumanizer           *
312. * =(_._)= drive  me  *         Ronnie James Dio - Black Sabbath (1992)  *
313. *    U    crazy..."  *                                                  *
314.  * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
315.  
316.  
317. ------------------------------
318.  
319. Date:    02 Apr 93 17:26:27 +0000
320. From:    psgrbbc@prism.gatech.edu (Brian Cooper)
321. Subject: Superstor and McAfee (PC)
322.  
323.  
324.  I'm posting this question for a friend.  He has had some problems using
325.  McAfee and Superstor.  He scanned the files on his Superstor disk, and
326.  McAfee reported no viruses.  However, he could not access the Superstor disk;
327.  he could only access the regular disk with the Superstor temporary files.
328.  Luckily, when he rebooted, all was fine-- he could access his Superstor
329.  disk and all files were in tact.
330.  
331.  Are there any problems with using Superstor and McAfee?  What may have
332.  caused his inability to access the Superstor disk?
333.  
334.  Thanks,
335.  Brian Cooper
336.  psgrbbc@prism.gatech.edu
337.   
338.  
339. ------------------------------
340.  
341. Date:    Fri, 02 Apr 93 12:53:27 -0500
342. From:    padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
343. Subject: Bug in FixUtil4 (PC)
344.  
345. I have discovered a bug in FixMBR.EXE v2.7 and 2.7b included in the
346. FixUtil4.zip file that may trigger an "Sector Mismatch..." error on
347. some partition tables. This bug does not exist in the 1.x versions
348. in FixUtil3. I will put together a fix that will be posted as FixUtl4c.zip
349. and contain FixMBR v 2.8. 
350.  
351. Again, this will only occur on certain oddly partitioned PCs in which
352. the active MS-DOS partition is not the first entry in the table.
353.  
354.                         Chagrined,
355.                             Padgett
356.  
357.  
358. ------------------------------
359.  
360. Date:    Fri, 02 Apr 93 13:19:41 -0500
361. From:    padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
362. Subject: Zenith boot selection (PC)
363.  
364. >From:    cftdl@ux1.cts.eiu.edu (Terry Lundgren)
365. >Subject: Zenith Hard Disk Boot (PC)
366.  
367. >Our computer lab seems to be under constant virus attack,
368. >especially from boot sector viruses.  We have Zenith 386's and
369. >they allow through the setup procedure accessible by Ctrl/Alt/Ins
370. >to make the system boot from the hard disk.  I tried it and it
371. >made no difference then what was in the A drive (empty,
372. >>unformatted, formatted no system, etc.).  The startup obviously
373. >did check the drives, but I don't think the boot sector is being
374. >used.
375.  
376. The problem is that the Zenith looks at the hard disk entry first.
377. If the type is NONE (as when a hard card or any disk requiring its own
378. controller) is in use, it will ALWAYS boot from A: reguardless of the
379. boot select setting. If this is the case, first check to see if you
380. can turn the controller BIOS off and use the Zenith BIOS instead (seen
381. frequently when upgrades from 159s to 248s and 386s occured & the
382. old disk and controller were kept.
383.  
384. >Will changing the setup to boot from the hard disk stop boot
385. >sector infections?  (Of course it could be changed, but it might
386. >significantly slow down the spread if it works.)  
387.  
388. IMHO this is true. A MBR or BSI could still occur with a dropper or if
389. an insider "helped" but most of the currently "common" viruses of
390. this type will be stopped.
391.  
392.                     Warmly,
393.                         Padgett
394.  
395.  
396. ------------------------------
397.  
398. Date:    02 Apr 93 20:03:24 +0000
399. From:    cjkuo@symantec.com (Jimmy Kuo)
400. Subject: Re: What is the Genb or Form Virus??? (PC)
401.  
402. crk5@vm2.cis.pitt.edu writes:
403. >Yesterday one of our machines contracted the Genb virus at boot up.  When I
404. >cleaned it off it said that is was the Form virus.  I suppose one is a
405. >variant of the other.  I have not been able to find any information on
406. >either of these viruses and what they do, or how dangerous they are.
407.  
408. GENB is McAfee's designation for a generic boot sector infector.  So it is 
409. not a specific virus.  If it later said Form, then you have Form.
410.  
411. Jimmy Kuo                cjkuo@symantec.com
412. Norton AntiVirus Research
413.  
414. ------------------------------
415.  
416. Date:    Fri, 02 Apr 93 21:18:48 +0000
417. From:    007 <sbonds@jarthur.Claremont.EDU>
418. Subject: Re: Problems with DOS 6.0 Microsoft Anti-Virus (PC)
419.  
420. acrosby@uafhp..uark.edu (Albert Crosby) writes:
421.  
422. [Observations of MSAV's feebleness omitted]
423.  
424. >Personally, I think Frisk and McAfee can rest assured.  I, for one, CANNOT
425. >take this offering from Microsoft seriously, and will reccomend other
426. >anti-virus solutions to my network users and clients.
427.  
428. Well, what did you expect?  The startup line shows that the copyright is
429. held by Central Point Software, and just about everyone who has read this
430. list for long knows what the conventional wisdom regarding CPAV is... <grin>
431.  
432. Just to see if the CW was right, I tested MSAV on my rather small collection
433. of 350 viruses.  F-prot 2.07 caught 345 of these, SCAN 102 caught 343, and
434. MSAV caught 308.  Quite a difference!  Microsoft oughta be ashamed...
435.  
436.   -- 007
437. - -- 
438.  000   000  7777 | sbonds@jarthur.claremont.edu
439. 0   0 0   0   7  |----------------------------------------------------------- 
440. 0   0 0   0  7   | Childhood is short...            [Calvin & Hobbes]
441.  000   000   7   | ...but immaturity is forever.
442.  
443. ------------------------------
444.  
445. Date:    02 Apr 93 21:59:15 +0000
446. From:    minchin@rumba.seas.upenn.edu (Min-Chin Hsiao)
447. Subject: VI-SPY VS Central Point AntiVirus (PC)
448.  
449. Hi netters,
450.  
451.     This is not an comparison between the two scanners.  I ran into some 
452. problems while running Vi-Spy version 10 while scanning my hard disk.  
453.  
454.     Vi-Spy consistently pick the Central Point Antivirus files like 
455. vsafe.com or Vsafe.sys saying that Flip virus is found.  I think I have used a
456. Virus scanner from Taiwan Eten group which report the same thing.
457.  
458.     Just wondering if anyone has this problem?  Is it just coincidence that
459. Flip's signature was found in CPAV files?
460.  
461.                 
462.                         Min-Chin Hsiao
463.                         minchin@eniac.seas.upenn.edu
464.  
465. ------------------------------
466.  
467. Date:    Fri, 02 Apr 93 21:52:34 +0000
468. From:    phil@wearbay.demon.co.uk (Philip Coull)
469. Subject: Re: Scanners and exe/com file compressors? (PC)
470.  
471. frisk@complex.is (Fridrik Skulason) writes:
472.  
473. >It cannot be expanded by PKLITE, that is...expanding it with a special
474. >program is not a problem at all.
475.  
476. I think what you're saying here is that pklite can't expand it, but its pretty
477. easy to write one that does!(?)  If that is the case there seems to be little
478. point in using PKLITE Pro!
479.  
480. As an aside, and without giving away any "trade secrets".  Can you use the
481. compressed programs built-in ability to uncompress itself, or do you have
482. to write a de-compressor totally from scratch??
483.  
484. - ---------------------------------------------------------------
485. Philip Coull G3XVY   phil@wearbay.demon.co.uk     CI$ 76046,332
486.  
487. ------------------------------
488.  
489. Date:    02 Apr 93 22:38:00 +0000
490. From:    shakib.otaqui@almac.co.uk (Shakib Otaqui)
491. Subject: Re:Scanners and exe/com files (PC)
492.  
493.  
494. PA>   To answer your question, yes scanners (at least McAfee) do unpack/decompr
495. ess
496.   >   programs. I have tested it with PKLite (shareware), I PKLited an infected
497.  
498.   >   program and Scan v100 found it with no problem,I do not know about the  
499.   >   professional version of PKLite, but, there is a BUT, If the
500.   >   PKLite header were to be trashed...then Scan would not know to decompress
501.   >   the program. It would then miss completely te virus. You would have then 
502. what
503.   >   I call a Stealth Bomber delivery system, when the virus would begin to sp
504. read,
505.   >   it would then become scannable but you would not be able to find the sour
506. ce.
507.  
508.  
509.   You're so right.  Some idiot recently posted on the Fido-Net
510.   Batchpower echo the debug script for what was described as a tiny
511.   disk cache program.  At least two users have reported that the
512.   program trashed their drives, even though it had been scanned.
513.  
514.   Investigation showed that the file was compressed with PKLite
515.   1.15, and that a hex editor was used to replace the PKLite
516.   signature with null characters.  This apparently defeated SCAN,
517.   which treated it as an ordinary file.  After uncompressing the
518.   file with PKLite, one user said SCAN apparently identified it as a
519.   virus, though I suspect it's more likely to be a trojan.
520.  
521.   I've saved both the debug script and the related messages in case
522.   anyone is interested (offer only open to bona fide virus
523.   reserachers whose names I recognise).
524.  
525.  * PQ 2.15 189 * Lose that ugly FAT: download a trojan today!
526.               
527.  
528. ------------------------------
529.  
530. Date:    Wed, 31 Mar 93 09:14:01 +0100
531. From:    Malte_Eppert@f6051.n491.z9.virnet.bad.se (Malte Eppert)
532. Subject: Virus signature determination. (PC)
533.  
534. Hi Frisk!
535.  
536.  >    2) For each polymorphic virus you disassemble it, and find a
537.  > piece of
538.  >       the code which is found in all samples of the virus (you
539.  > want to
540. [...]
541.  
542.  >    3) For the difficult, polymorphic ones, which can not be
543.  > found with a
544.  >       search string, you write a detection procedure.
545.  
546. I always use the term 'polymorphic' in a different way to 'encrypting'. What 
547. you describe under 2) is an encrypting virus, what you mention under 3) is a 
548. polymorphic one.
549.  
550. Isn't the term 'polymorphic' specifically reserved for viruses who
551. have their encoder changed along with every copy by exchanging instructions 
552. etc. in a way that there can be no signature extracted?
553.  
554. cu!
555. eppi
556.  
557. - --- GEcho 1.00
558.  * Origin: No Point for Viruses - Eppi's Point (9:491/6051)
559.  
560. ------------------------------
561.  
562. Date:    Wed, 31 Mar 93 09:19:02 +0100
563. From:    Malte_Eppert@f6051.n491.z9.virnet.bad.se (Malte Eppert)
564. Subject: Catch from DIR? (PC)
565.  
566. Hi Frisk!
567.  
568.  > There is, however, one way to run a program from a diskette by
569.  > just doing a DIR,
570.  
571. Ugh... if this isn't too special, can you or someone else post how this could 
572. be possible? I just know about an ANSI bomb which will execute a file from 
573. disk if you hit the 'hot key' next time. Do you mean this?
574.  
575. cu!
576. eppi
577.  
578. - --- GEcho 1.00
579.  * Origin: No Point for Viruses - Eppi's Point (9:491/6051)
580.  
581. ------------------------------
582.  
583. Date:    Fri, 02 Apr 93 22:31:36 -0500
584. From:    bill.lambdin@frenchc.eskimo.com (Bill Lambdin)
585. Subject: Scan 99 % PKlite 1.15 (PC)
586.  
587. From:    1070056@SAPHIR.ULAVAL.CA (PATRICK A. MORIN)
588.  
589. programs. I have tested it with PKLite (shareware), I PKLited an infected 
590. program and Scan v100 found it with no problem,I do not know about the  
591. professional version of PKLite, but, there is a BUT, If the
592. PKLite header were to be trashed...then Scan would not know to decompress
593. - --------------------------------------------------------------------------
594.  
595. I did a similar test with Scan99, and PKlite 1.15.
596.  
597. Scan 99 detected both copies of the virus. After I trashed the PKlite 
598. header with Nolite from a back issue of 40 HEX.
599.  
600. After trashing the PKlite header, Scan 99 wasn't able to detect the 
601. compressed virus.
602.  
603. Bill
604.  
605. - ---
606.  * WinQwk 2.0 a#383 * 903 activates any day in March
607.  
608.  
609. ------------------------------
610.  
611. Date:    Fri, 02 Apr 93 22:31:39 -0500
612. From:    bill.lambdin@frenchc.eskimo.com (Bill Lambdin)
613. Subject: Untouchable (PC)
614.  
615. Date:    Wed, 31 Mar 93 10:49:06 +0000
616. From:    chermesh@chen.bgu.ac.il (Ran Chermesh)
617. Subject: Is "Untouchable" (V-analist-3) effective? (PC)
618.  
619.  Our department considers buying an anti virus package. High in the list
620. is an Israeli product, sold in Israel under the name V-analyst-3 and in 
621. the US as Untouchable. The feature of most interest to us is the way this 
622. package claims to deal with future viruses. Since this feature can't be 
623. tested experimentally, 
624. - --------------------------------------------------------------------------
625. I have tested Untouchable against viruses that the scanner couldn't 
626. detect.
627.  
628. Untouchable can detect these new viruses by integrity checking. and was 
629. able to restore most of the infected files.
630.  
631. Untouchable does this by integrity checking.
632.  
633. Bill
634.  
635. - ---
636.  * WinQwk 2.0 a#383 * 1554 activates Oct 1 - Dec 31
637.  
638.  
639. ------------------------------
640.  
641. Date:    Fri, 02 Apr 93 22:31:52 -0500
642. From:    bill.lambdin@frenchc.eskimo.com (Bill Lambdin)
643. Subject: Untouchable (PC)
644.  
645. Date:    Tue, 30 Mar 93 23:46:33 +0000
646. From:    scotth@cs.umr.edu (Scott Hayes)
647. Subject: virus checking in the CMOS? (PC)
648.  
649. Also, (this may be related), how do UNTOUCHABLE and other non-scanner
650. anti-virus programs work?
651. - --------------------------------------------------------------------------
652.  
653. I have tested Untouchable, and recommend it.
654.  
655. With it's use of scanning, resident virus detector, and integrity 
656. checking, it can detect the presence of new or unknown viruses.
657.  
658. Bill
659.  
660. - ---
661.  * WinQwk 2.0 a#383 * SATURDAY THE 14TH activates Saturday 14th
662.  
663.  
664. ------------------------------
665.  
666. Date:    Sat, 03 Apr 93 16:34:52 +0000
667. From:    btf57346@uxa.cso.uiuc.edu (Byron Faber)
668. Subject: Which CRC/scanner to use. (PC)
669.  
670. I currently use f-prot/virstop/ and Integrity master on my machine.
671. (a 386/40 pc).  I was curios if anyone could give me their opinions
672. as to which scanner would be the best to use.  I have been in a 
673. high risk group for computer viruses and have found that Integrity 
674. master's crc checks and f-prot's heuristic scans have done pretty well.
675.  
676. If anyone has opinions on my setup, or could suggest any other
677. alternatives please mail me.
678.  
679. Byron Faber
680. - -- 
681. Free Software Exchange:  Support it!!!!   (pgp2.1, questionable code, etc).
682. Using PGP2.1 on request.  Ask for a file list or information on the exchange.
683. Internet:  btf57346@uxa.cso.uiuc.edu  & btf57346@sumter.cso.uiuc.edu
684.  
685. ------------------------------
686.  
687. End of VIRUS-L Digest [Volume 6 Issue 56]
688. *****************************************
689.  
690.  
691.