home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_083.txt

< prev

next >

Wrap

Internet Message Format  |  1996-09-04  |  20KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V4 #83
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Wednesday, 15 May 1991    Volume 4 : Issue 83
9.  
10. Today's Topics:
11.  
12. re: The Shape of the World (PC)
13. New VIRx Release (PC)
14. What's so bad about self-extracting archives?
15. Tequila virus (PC)
16. Re: SCAN hangs while checking Window's SOL.EXE file (PC)
17. Re: CLEAN77 for a network? (PC)
18. SCAN version 77 compressed? (PC)
19. Re: SCAN hangs while checking Window's SOL.EXE file (PC)
20. Re: Trojan version of VIRUSCAN version 78 (PC)
21. PC Virus Index(PC)
22. Self-extracting archives
23. "protection" from research viruses
24. New Name For FPROT (PC)
25.  
26. VIRUS-L is a moderated, digested mail forum for discussing computer
27. virus issues; comp.virus is a non-digested Usenet counterpart.
28. Discussions are not limited to any one hardware/software platform -
29. diversity is welcomed.  Contributions should be relevant, concise,
30. polite, etc.  Please sign submissions with your real name.  Send
31. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
32. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
33. anti-virus, documentation, and back-issue archives is distributed
34. periodically on the list.  Administrative mail (comments, suggestions,
35. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
36.  
37.    Ken van Wyk
38.  
39. ----------------------------------------------------------------------
40.  
41. Date:    Tue, 14 May 91 14:59:00
42. From:    microsoft!c-rossgr@uunet.uu.net
43. Subject: re: The Shape of the World (PC)
44.  
45. >From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
46. >
47. > Must we? [play the numbers game in scanners]  Or rather, given that
48. >  we must at the moment, must we always?
49.  
50. Remember that we can't even get the user community (the folks who
51. spend their hard earned money to buy my products!) to make backups to
52. protect themselves.  They seem to prefer that somebody do that
53. protection for them.  Obviously if an ad indicates that Product A
54. protects against 400 viruses -- and it might even be true -- that's
55. going to offer 25% (or 33%) more protection than one that scans for
56. "only" 300 viruses.
57.  
58. Do you think the public is going to respond favorably to a condom that
59. protects against the AIDS virus 99% of the time as compared to one
60. that protects against it 99.9% of the time -- even when your odds of
61. getting "hit" with the AIDS virus are pretty slim to begin with.
62.  
63. Maximal Protection! That's what the market seems to clamour for.
64.  
65. And the marketing dudes I work with closely at Microcom tell me what
66. we can lose a site license because of and where our strong points are:
67. I recall one site license potential that was lost on our not catching
68. the Whale Virus in an early cut of our code.  You know how difficult
69. it is to get the Whale Virus to infect something without crashing your
70. system, right?  Well, the site license didn't and that cost a
71. bunch-o-bucks.
72.  
73. Now, of course, we catch the Whale Virus.  The next time a site
74. license asks we can put on our best Grey Poupon voice and say "Of
75. course. Of course."
76.  
77. >Is there any hope that the anti-virus community might band together
78. >(for a moment, at least!) and decide that the numbers game shall be
79. >played ONLY with viruses that have appeared in reliably-confirmed
80. >real-world incidents?
81.  
82. Speaking on my own behalf, I hope so.  Speaking on behalf of Microcom
83. (which I can't do in any case), marketing has to stay competitive.
84. So, when one of our competitors says "Yes, but do you want to risk
85. even the slightest chance of getting infected with this virus if it
86. escapes into the wild.", my marketing can respond "Ha! We already
87. protect you against that nasty virus!".
88.  
89. >  I'm not sure; the hope that we might is part of
90. >why I asked those questions.  It would mean restraining ourselves in
91. >advertising and in talking to the press, getting publications like the
92. >Virus Bulletin (and others less respectable) to stop using 300+
93. >viruses, including losers like the Anti-Pascals, in their evaluations,
94. >and so on.
95.  
96. As long as the advertising works (and is used by the competition) it
97. would be suicide to drop out of the numbers game -- see my new release
98. blurb below for an example of why we must continually play the damned
99. game.  Yes, I picked up a bunch-o new strings for this cut of the
100. code.  More important to me, though, are the minor enhancements that
101. make the code easier to use.
102.  
103. >It might be marketingly impossible, of course.  On the other hand, is
104. >it possible that eventually people making buying decisions will get
105. >tired of "We Detect 100 More Viruses Than Our Competitors!!!" sorts of
106. >claims, and be more impressed by "We Detect Every Virus Known To Have
107. >Caused A Real Infection, and We're <faster, cheaper, easier to use,
108. >etc>"?
109.  
110. Hear, hear!  I would love to be able to impress that upon people
111. rather than the numbers game.  The first people to convince would be
112. in MIS, though: now how do you convince them that your second point is
113. more important than the numbers games?
114.  
115. Until then, I have to provide the marketing dudes at Microcom with
116. ammunition for winning on both points you make.
117.  
118. Ross
119.  
120. ------------------------------
121.  
122. Date:    Tue, 14 May 91 15:03:18
123. From:    microsoft!c-rossgr@uunet.uu.net
124. Subject: New VIRx Release (PC)
125.  
126. I'm pleased to announce a new release of the *FREE* scanner we put
127. out as a demo of Virex-PC.  This scanner is completly useable for
128. scanning against viruses: it is not crippled in any way.  The only
129. difference between it and Virex-PC's scanner (one part of the Virex-PC
130. package) is in the disinfectors included in the commercially available
131. product.
132.  
133. Here's the "WHATS.NEW" file.
134.  
135.                    What's New In VIRx Version 1.4
136.                    ==============================
137. Date: 5/11/91
138.  
139.    1. VIRx now scans memory above 640K through 1 Meg if the -X command line
140.    option is selected.  This feature is added for detection of viruses like
141.    E.D.V. that search high memory for writable RAM, and for protection
142.    against possible infected device drivers that have been loaded high.
143.    Note:  Many programs use that area of memory for special disk caching
144.    and this has been noted to have caused some problems with incorrect
145.    results for some machines.
146.  
147.    2. If a batch mode is selected, the resulting screens will now time out
148.    if you do not hit a key and the scan will continue.  This makes the batch
149.    mode fully useable for unattended operation.
150.  
151.    3. When this software becomes outdated, it will warn the user that scanning
152.    with outdated software can result in new viruses being missed. Then the
153.    user can elect to continue the scan anyway. Previous versions of VIRx
154.    would cease to function on the cut-off date; this is no longer the case,
155.    although you are advised to update your software before that date arrives.
156.    We consider VIRx 1.4 to be outdated by October, 1991, although we recommend
157.    obtaining each monthly update of VIRx in any case.
158.  
159.    4. VIRx 1.4 detects over 50 newly discovered viruses, bringing the total to
160.    over 400. This was accomplished without slowing down the scanner.
161.  
162.    5. VIRx 1.4 can now take multiple targets on the command line, allowing
163.    an entire set of file systems to be scanned:
164.       VIRx C:\ D: E:\thisdir F:\thatdir\thisfile
165.    scans the entire C: disk, the current directory on the D: drive and its
166.    children, the specified directory on the E: drive and its children and
167.    the specified file on the F: drive.  Any options you select on the command
168.    line are valid for each target you specify.
169.  
170.    6.  Both decompression routines, LZEXE and PKLITE, were optimized for
171.    speed of decompression and memory model independence.  String selection
172.    of compressed file hits take about 50% as long as did VIRx 1.2.
173.  
174.  
175. Problems Corrected from v1.2 :
176.  
177.    1. Problem with scanning certain Novell Network server volumes has been
178.    corrected.
179.  
180.    2. Execute-only files on Novell Networks are handled properly now on
181.    screen as well as in the log.
182.  
183.    3. There was a bug when write-protected files were scanned and discovered
184.    to contain a virus. Fixed.
185.  
186.    4. False positive on Marc Perkel's MARXMENU menu compiler Marxcomp.exe,
187.    version 2.27, for the KAMAKAZI virus has been corrected. Our apologies
188.    to Marc.
189.  
190.    3. PKLite from PKWare uses a special compression method on unusually highly
191.    compressible files that version 1.2 of VIRx did not decompress properly
192.    every time. This has been corrected, and VIRx 1.4 fully supports all
193.    compression methods used by PKLite as of version 1.05, still including
194.    the -e switch available in PKLite Professional.
195.  
196. ------------------------------
197.  
198. Date:    Tue, 14 May 91 14:42:00 -0600
199. From:    Keith Petersen <w8sdz@WSMR-SIMTEL20.ARMY.MIL>
200. Subject: What's so bad about self-extracting archives?
201.  
202. > Only one problem: How do I find out what format the thing was
203. > archived in in the first place, when all I'm confronted with is a .EXE
204. > file?
205.  
206. This program will list the directory and archive type of any
207. self-extracting MS-DOS archive.
208.  
209. WSMR-SIMTEL20.ARMY.MIL [192.88.110.20]
210.  
211. Directory PD1:<MSDOS.ARC-LBR>
212.  Filename   Type Length   Date    Description
213. ==============================================
214. FV135.ZIP     B    8128  910319  View dirs of ARC/DWC/LBR/LZH/PAK/ZIP/ZOO/SFXs
215.  
216. Keith
217. - - - -
218. Keith Petersen
219. Maintainer of SIMTEL20's MSDOS, MISC and CP/M archives  -  [192.88.110.20]
220. Internet: w8sdz@WSMR-SIMTEL20.Army.Mil    or    w8sdz@vela.acs.oakland.edu
221. Uucp: uunet!wsmr-simtel20.army.mil!w8sdz             BITNET: w8sdz@OAKLAND
222.  
223. ------------------------------
224.  
225. Date:    14 May 91 16:56:37 -0400
226. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
227. Subject: Tequila virus (PC)
228.  
229. Has this been around for awhile?  Just in the last week or so, I've
230. heard of it from a couple of different, widely separated, places in
231. Europe, and I hadn't heard of it before.  Does anyone have a good
232. description written up?  I'm well into analyzing it, but it's always
233. nice to have someone else's notes to check myself against.  Just how
234. widespread does it seem?  Does anyone know of it "getting lucky"
235. (shipping with a commercial package, or anything on that order)?  DC
236.  
237. ------------------------------
238.  
239. Date:    Tue, 14 May 91 16:41:00 -0500
240. From:    "Sant." <SSIRCAR@ecs.umass.edu>
241. Subject: Re: SCAN hangs while checking Window's SOL.EXE file (PC)
242.  
243. icking@gmdzi.uucp (Werner Icking) writes:
244. > As far as I have seen, the problem does not depend on the version of SCAN.
245. > It depends on running SCAN under Windows in conjunction with SHARE.
246. > It seems to me that Windows opens a lot of files and the error occurs if
247. > SCAN attempts to open one of these files, too.
248. > 
249. > The problem disappeared on my PC since I replaced loading SHARE by using
250. > NOSHARE (Simtel or mirror-sites: <MSDOS.SYSUTL>NOSHARE.ZIP)
251.  
252. But I'm running SCAN while I boot up.  My system is a 8meg 386-33 w/CACHE and
253. DOS 3.3, so I don't use SHARE.
254. - -- 
255. +------------------------------------------------------------------------------
256. +
257. | Santanu Sircar                               BITNET:   ssircar@umaecs.bitnet 
258. |
259. | University of Massachusetts/Amherst          INTERNET: ssircar@ecs.umass.edu 
260. |
261. +------------------------------------------------------------------------------
262. +
263.  
264. ------------------------------
265.  
266. Date:    Tue, 14 May 91 16:20:00 -0500
267. From:    ONLY 30 MORE CREDIT HOURS AND I'M GONE <ORAND@kuhub.cc.ukans.edu>
268. Subject: Re: CLEAN77 for a network? (PC)
269.  
270. boone@athena.cs.uga.edu (Roggie Boone) writes:
271. > I am installing a Local Area Network in our department that will be
272. > running Novell Netware 386.  I am thinking about using the McAffee
273. > Netscan77 virus detection program.  I am curious if there is a network
274. > version of CLEAN77, or can CLEAN77 remove viruses from a network such
275. > as described above?  Any info would be appreciated.
276.  
277.     CLEAN77 works well for networks.  I use it for our Netware 2.15
278. here at the University of Kansas.  There is a complementary program
279. called NETSCAN77 that will scan the server for viruses.  Once a virus
280. has been detected, you use CLEAN77 to cure it.
281.  
282.     McAffee and Associates is a very helpful company.  I recently
283. discovered a virus that NETSCAN will not detect on EXE files and
284. called them and told them about it.  They were very helpful and will
285. be putting out a solution to this problem in a couple of weeks.
286.  
287.     Brady...
288.     ORAND@kuhub.cc.ukans.edu
289.  
290. ------------------------------
291.  
292. Date:    Tue, 14 May 91 16:24:26 -0700
293. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
294. Subject: SCAN version 77 compressed? (PC)
295.  
296. I have received copies of SCAN version 77, some with the authentic
297. verification still intact.  All show the same file size and validation
298. codes, and match that in the documentation.  I have checked it out
299. with other virus scanners.  (All right, I'm paranoid.  In this
300. business, what else is new?)
301.  
302. SCAN 75 was about 80K, but 77 is 59K.  Aryeh has said that Virucide is
303. compressed.  Is SCAN now compressed as well?
304.  
305. (I would have asked Aryeh, but her return-path doesn't work for me.)
306.  
307. =============
308. Vancouver          p1@arkham.wimsey.bc.ca   | "If you do buy a
309. Institute for      Robert_Slade@mtsg.sfu.ca |  computer, don't
310. Research into      (SUZY) INtegrity         |  turn it on."
311. User               Canada V7K 2G6           | Richards' 2nd Law
312. Security                                    | of Data Security
313.  
314. ------------------------------
315.  
316. Date:    Wed, 15 May 91 00:40:37 +0000
317. From:    mcafee@netcom.COM (McAfee Associates)
318. Subject: Re: SCAN hangs while checking Window's SOL.EXE file (PC)
319.  
320. SSIRCAR@ecs.umass.edu (Sant.) writes:
321. >Has anyone had problems with SCANV77?  When I scan my hard drive, the
322. >program hangs on one particular file, SOL.EXE, Window's solitaire
323. >program.  I don't have problems with running the game and SCAN doesn't
324. >have problems with any other file.  In order to continue, I have to
325. >press 'F' to accept the failure.  Does anyone know why this is
326. >happening?
327.  
328. It sounds like you are exiting to DOS from Windows to run SCAN, and
329. have a file running under Windows.  You can either exit Windows and
330. then run SCAN, or shut down the Solitaire program and then run SCAN.
331. Alternatively, you can run SCAN with the /UNATTEND option which will
332. install a critical error handler that will allow SCAN to automatically
333. select "Fail" when it comes across a file in use.  I would recommend
334. that if you use the /UNATTEND option, you also use the /REPORT option
335. so that you will have a record of any files that were skipped.
336.  
337. Aryeh Goretsky
338. McAfee Associates Technical Support
339.  
340. ------------------------------
341.  
342. Date:    Wed, 15 May 91 13:19:00 +1200
343. From:    "Mark Aitchison, U of Canty; Physics" <PHYS169@csc.canterbury.ac.nz>
344. Subject: Re: Trojan version of VIRUSCAN version 78 (PC)
345.  
346. aryehg%darkside.com@apple.com (Aryeh Goretsky) writes:
347. > We have received a trojan horse version of VIRUSCAN...
348. > 
349. > Running PKUNZIP on the file reveals the following:
350. > 
351. >  . Authentic files Verified!   # TJB859   Zip Source: McAFEE ASSOCIATES
352. > 
353. > While the Authentic Files Verified Message appears, the Serial Number is
354. > NOT correct.  McAfee Associate's Serial Number is NWM405.
355.  
356. This worries me. Could somebody explain what good the PKUNZIP
357. authentication system should be, as it obviously isn't providing
358. enough warning here. (Who would know, and think of looking at, the
359. serial number? Probably few people).
360.  
361. Mark Aitchison, Physics, University of Canterbury, New Zealand.
362.  
363. ------------------------------
364.  
365. Date:    Wed, 15 May 91 11:43:30 +0000
366. From:    Ian Leitch - ITU LSHTM - (071) 927 2260 <uqak940@mvs.ulcc.ac.uk>
367. Subject: PC Virus Index(PC)
368.  
369. In response to the many queries which now appear on Virus-L asking for
370. specific information about particular viruses, I have uploaded the PC
371. Virus Index to the MIBSRV "official" anti-viral archives.
372.  
373. The PC Virus Index (PCVI) is developed and maintained by Bryan Clough
374. (of Clough and Partners) with whose permission it is being made
375. available. PCVI is a text-linked database about PC viruses which is
376. delivered through an 'intelligent' front-end.  It provides an ever
377. developing knowledge base about viruses as they emerge. Updated
378. versions are issued about monthly.
379.  
380. Search keys (including virus name or alias, family attribution, code
381. size, type and other characteristics) can be used to construct a
382. profile about any specified virus. The reports generated selectively
383. include:
384.  
385.  -  a summary description of the effects of infection
386.  -  disinfection methods
387.  -  the efficacy of some popular anti-viral software
388.  -  a detailed report on the characteristics of the virus(es)
389.  
390. The user interface is presently being re-designed to give greater
391. flexibility for the introduction of new features. Constructive comment
392. about the utility of PCVI or the direction of its future development
393. are always welcome.
394.  
395. Ian Leitch
396. London School of Hygiene and Tropical Medicine
397. JANET: uqak940@uk.ac.ulcc.mvs
398.  
399. ------------------------------
400.  
401. Date:    Wed, 15 May 91 11:47:10 -0500
402. From:    "A. Andrew Brennan" <BRENNAAA@DUVM.BITNET>
403. Subject: Self-extracting archives
404.  
405.      I'm not entirely sure, but with some (.ZIP) sfx archives, can't
406.    you specify "-v" to get the list w/o extracting and "xxx.xxx" to
407.    extract only one file?  I think that I have used this technique
408.    with PKZ110.EXE - I only wanted the ZIP and UNZIP executables.
409.  
410.      Not entirely sure though - I haven't checked this yet.
411.  
412.      A. Andrew Brennan
413.  
414. {you don't know me from Adam - but he didn't have a belly button ... }
415.  
416. ------------------------------
417.  
418. Date:    Wed, 15 May 91 09:02:56
419. From:    <smith_s@gc.bitnet> (Steven W. Smith)
420. Subject: "protection" from research viruses
421.  
422. >From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
423. >Subject: re: The Shape of the World (PC)
424. >>
425. >>This loud cry for protection against research-only viruses is quite
426. >>quite bothersome -- the numbers game we have to play (as a vendor) in
427. >>order to counter "my scanner can beat up your scanner" type of games
428. >>is sorta foolish -- yet we must play the game.
429. >
430. >Must we?  Or rather, given that we must at the moment, must we always?
431. >Is there any hope that the anti-virus community might band together
432. >(for a moment, at least!) and decide that the numbers game shall be
433. >played ONLY with viruses that have appeared in reliably-confirmed
434. >real-world incidents?  ...
435.  
436.   For now, if it's really bothering you, I've got what seems a
437. reasonable solution: use Frisk's F-Prot (or any other package you like
438. that has an external list of nasties) and edit the SIGN.TXT file to
439. remove those signatures that you deem ridiculous.
440.   Simple, no?  Granted, it's no solution to the authors of antiviral
441. software, but from the user perspective it works.
442.   _,_/|
443.   \o.O;   Steven W. Smith, Programmer/Analyst
444.  =(___)=  Glendale Community College, Glendale Az. USA
445.     U     SMITH_S@GC.BITNET
446. *poof* My opinions are now your opinions, so you'd better get used to it!
447.  
448. ------------------------------
449.  
450. Date:    Wed, 15 May 91 10:53:14 -0600
451. From:    rtravsky@CORRAL.UWyo.Edu (Richard W Travsky)
452. Subject: New Name For FPROT (PC)
453.  
454. "Argus"...  I like it.  Gee, I hope it doesn't mean an increase in the
455. price ;)
456.  
457. Richard Travsky
458. Division of Information Technology     RTRAVSKY @ CORRAL.UWYO.EDU
459. University of Wyoming                  (307) 766 - 3663 / 3668
460.  
461. ------------------------------
462.  
463. End of VIRUS-L Digest [Volume 4 Issue 83]
464. *****************************************
465.