home *** CD-ROM | disk | FTP | other *** search
/ Shareware Overload / ShartewareOverload.cdr / utils / antivir1.zip / VIRUSCC.TXT < prev    next >
Text File  |  1987-12-13  |  3KB  |  54 lines

  1. RISKS-LIST: RISKS-FORUM Digest  Monday, 30 November 1987  Volume 5 : Issue 67
  2.  
  3.         FORUM ON RISKS TO THE PUBLIC IN COMPUTERS AND RELATED SYSTEMS 
  4.    ACM Committee on Computers and Public Policy, Peter G. Neumann, moderator
  5.  
  6. ******BE AWARE OF THE FOLLOWING IF YOU EXCHANGE DISKS WITH OTHER PEOPLE*****
  7.  
  8. Date: Wed, 25 Nov 87 11:15 EDT
  9. From: Jeffrey James Bryan Carpenter <JJC%Vms.Cis.Pittsburgh.Edu@VB.CC.CMU.EDU>
  10. Subject: Computer Virus
  11. To: risks@csl.sri.com
  12.  
  13.   From: IN%"MD4F@CMUCCVMA"  "User Services List (ADVISE-L)" 23-NOV-1987 09:33
  14.   To:   Jeff Carpenter <256521@vms.cis.pittsburgh.edu>
  15.   Subj: Virus warning!
  16.   Date: Mon, 23 Nov 87 08:05:57 EST
  17.   From: "Kenneth R. van Wyk" <@vms.cis.pittsburgh.edu:LUKEN@LEHIIBM1.BITNET>
  18.        
  19.   Last week, some of our student consultants discovered a virus program
  20.   that's been spreading rapidly throughout Lehigh University.  I thought
  21.   I'd take a few minutes and warn as many of you as possible about this
  22.   program since it has the chance of spreading much farther than just our
  23.   University.  We have no idea where the virus started, but some users have
  24.   told me that other universities have recently had similar probems.
  25.        
  26.   The virus: the virus itself is contained in the stack space of COMMAND.COM.
  27.   When a pc is booted from an infected disk, all a user need do to spread
  28.   the virus is to access another disk via TYPE, COPY, DIR, etc.  If the
  29.   other disk contains COMMAND.COM, the virus code is copied to the other
  30.   disk.  Then, a counter is incremented on the parent.  When this counter
  31.   reaches a value of 4, any and every disk in the PC is erased thoroughly.
  32.   The boot tracks are nulled, as are the FAT tables, etc.  All Norton's
  33.   horses couldn't put it back together again...  :-)  This affects both floppy
  34.   and hard disks.  Meanwhile, the four children that were created go on
  35.   to tell four friends, and then they tell four friends, and so on, and so on.
  36.        
  37.   Detection: while this virus appears to be very well written, the author
  38.   did leave behind a couple footprints.  First, the write date of the
  39.   command.com changes.  Second, if there's a write protect tab on an
  40.   uninfected disk, you will get a WRITE PROTECT ERROR...  So, boot up from
  41.   a suspected virus'd disk and access a write protected disk - if an
  42.   error comes up, then you're sure.  Note that the length of command.com
  43.   does not get altered.
  44.        
  45.   I urge anyone who comes in contact with publicly accessible (sp?) disks
  46.   to periodically check their own disks.  Also, exercise safe computing -
  47.   always wear a write protect tab.  :-)
  48.        
  49.   This is not a joke.  A large percentage of our public site disks has
  50.   been gonged by this virus in the last couple days.
  51.        
  52.   Kenneth R. van Wyk, User Services Senior Consultant, 
  53.   Lehigh University Computing Center   (215)-758-4988
  54.