home *** CD-ROM | disk | FTP | other *** search
/ The World of Computer Software / World_Of_Computer_Software-02-385-Vol-1of3.iso / v / vl6-8.zip / VL6-8.TXT < prev   
Internet Message Format  |  1993-01-14  |  34KB

  1. From lehigh.edu!virus-l Thu Jan 14 10:45:31 1993 remote from uunet.ca
  2. Received: from Fidoii.CC.Lehigh.EDU ([128.180.2.4]) by mail.uunet.ca with SMTP id <10456>; Thu, 14 Jan 1993 10:45:21 -0500
  3. Received: from  (localhost) by Fidoii.CC.Lehigh.EDU with SMTP id AA12145
  4.   (5.67a/IDA-1.5 for <hombas!rudy.hehn%hombas@mail.uunet.ca>); Thu, 14 Jan 1993 10:18:03 -0500
  5. Date:    Thu, 14 Jan 1993 10:18:03 -0500
  6. Message-Id: <9301141447.AA26749@barnabas.cert.org>
  7. Comment: Virus Discussion List
  8. Originator: virus-l@lehigh.edu
  9. Errors-To: krvw@cert.org
  10. Reply-To: <virus-l@lehigh.edu>
  11. Sender: virus-l@lehigh.edu
  12. Version: 5.5 -- Copyright (c) 1991/92, Anastasios Kotsikonas
  13. From:    "Kenneth R. van Wyk" <krvw@cert.org>
  14. To:    Multiple recipients of list <virus-l@lehigh.edu>
  15. Subject: VIRUS-L Digest V6 #8
  16.  
  17. VIRUS-L Digest   Thursday, 14 Jan 1993    Volume 6 : Issue 8
  18.  
  19. Today's Topics:
  20.  
  21. Heuristic Scanners
  22. Benign "viruses" (addendum)
  23. Re: On the definition of viruses
  24. Re: A-V virus
  25. Re: Integrity Management
  26. Sale of Viri
  27. Re: On the definition of viruses
  28. Re: os2-stuff (OS/2)
  29. DOS Viruses under HPFS (OS/2)
  30. Re: Untouchable (PC)
  31. Wanted: info about Dos 5.0 virus (1578?) (PC)
  32. re: Joshi Question (PC)
  33. Re: PKZIP V2.04C (PC)
  34. Re: Vshield vs Virstop (PC)
  35. Brunswick Virus (PC)
  36. how to get rid of the Naughty Hacker-1? (PC)
  37. Problems with PCs (PC)
  38. Re: Clash between FDISK/MBR and scanners (PC)
  39. Re: Joshi Question (PC)
  40. New way of opeing files??? (PC)
  41. January LAT
  42.  
  43. VIRUS-L is a moderated, digested mail forum for discussing computer
  44. virus issues; comp.virus is a non-digested Usenet counterpart.
  45. Discussions are not limited to any one hardware/software platform -
  46. diversity is welcomed.  Contributions should be relevant, concise,
  47. polite, etc.  (The complete set of posting guidelines is available by
  48. FTP on cert.sei.cmu.edu or upon request.) Please sign submissions with
  49. your real name.  Send contributions to VIRUS-L@LEHIGH.EDU.
  50. Information on accessing anti-virus, documentation, and back-issue
  51. archives is distributed periodically on the list.  A FAQ (Frequently
  52. Asked Questions) document and all of the back-issues are available by
  53. anonymous FTP on cert.org (192.88.209.5).  Administrative mail
  54. (comments, suggestions, and so forth) should be sent to me at:
  55. <krvw@CERT.ORG>.
  56.  
  57.    Ken van Wyk
  58.  
  59. ----------------------------------------------------------------------
  60.  
  61. Date:    Mon, 11 Jan 93 16:18:49 +0000
  62. From:    antkow@sis.uucp (Chris Antkow)
  63. Subject: Heuristic Scanners
  64.  
  65.  Would someone please post information on heuristic scanning theories.
  66. I'm looking to develop my own scanner and as such want to develop some
  67. software that attempts to thwart these scanners.
  68.  
  69.  I'm new to this, so any help would be greatly appreciated.
  70.  
  71.  Also, does any know if Mark Washburn has a mailing address?
  72.  
  73.  Thanx
  74.  
  75. ------------------------------
  76.  
  77. Date:    Tue, 12 Jan 93 07:34:46 -0500
  78. From:    "Tim Hare" <SS942TH@dot1.mail.ufl.edu>
  79. Subject: Benign "viruses" (addendum)
  80.  
  81. As an addition to my earlier post about a protocol for adding benign
  82. virus or wormlike programs to a system: the protocol could (probably
  83. should) be modified to require transmittal of the program in source
  84. form only - that way the target system would always have to compile
  85. the program to install it, and a copy could be made of the source
  86. before compilation so that if something did go awry, the source would
  87. be there to examine. I mention making a copy because it would be
  88. possible for the program, if malicious, to modify the copy that was
  89. sent, but if sufficient care were taken, an automated process could
  90. make a copy that would not be able to be found by the program once
  91. compiled and running.
  92.  
  93. Tim
  94.  
  95. ------------------------------
  96.  
  97. Date:    Tue, 12 Jan 93 13:51:56 +0000
  98. From:    Albert-Lunde@nwu.edu (Albert Lunde)
  99. Subject: Re: On the definition of viruses
  100.  
  101.  fc@turing.duq.edu (Fred Cohen) writes:
  102. >
  103. >    Computer viruses do not have to be malicious, they do not have
  104. >to be Trojan horses, and they do not have to enter without the
  105. >knowledge or consent of the user.  Any definition that depends on
  106. >these properties depends on peoples' opinions, skills, and knowledge,
  107. >and are thus not "testable" in the scientific sense of the word.  (See
  108. >Popper and others for more details). [...]
  109.  
  110. Fred Cohen can point with justified pride to the mathematical theory
  111. of viruses.  At the same time, I think it is perfectly understandable
  112. that people will use more relative, subjective critera based on a
  113. perception of risk and intention. This is especially the case since
  114. one of the consequences of the mathematical theory is a proof that a
  115. general "unknown virus" detector is impossible!
  116.  
  117. Looking at Mac viruses (with which I am more familiar), the majority
  118. do not appear to have been written to do deliberate harm.  However,
  119. they all also contain bugs and undesirable side-effects which cause
  120. them to be harmful.  It is the pragmatic difficulties of writing
  121. self-replicating code which remains both functional and controlled in
  122. unknown environments that makes me (and others) skeptical of the
  123. usefulness of "benevolent" viruses. (And I am *not* speaking of backup
  124. programs.)
  125.  
  126. The information necessary to write a virus is available to any
  127. compentent programmer -- it does not take a genius.  At the same time
  128. most anti-virus workers are concerned with broadcasting the details of
  129. viruses. I would not attribute this to a desire for censorship but to
  130. the pragmatic observation that "copy-cat" viruses are a serious
  131. problem and that it may be a good idea not to lower the threshold of
  132. effort needed to create a virus.
  133.  
  134. Until mathematical theory provides a means for apprehending the
  135. writers of viruses, some folk will have to get their hands dirty...
  136.  ;) ;)
  137.  
  138. - -- 
  139.     Albert Lunde                      Albert-Lunde@nwu.edu
  140.  
  141. ------------------------------
  142.  
  143. Date:    Tue, 12 Jan 93 11:49:29 -0500
  144. From:    fc@turing.duq.edu (Fred Cohen)
  145. Subject: Re: A-V virus
  146.  
  147. Ron Whittle writes:
  148.  
  149. >On Tue, 22 Dec 92, Suzana wrote:
  150. >
  151. >S> Suppose that we have an A-V product which in regular intervals or
  152. >S> randomly send a virus in system. Virus (fast infector) infects only
  153. >S> programs which checksum doesn't correspond to previously calculated
  154. >S> values. ...
  155. >
  156. >This looks interesting, but you might run into performance problems
  157. >as the 'good virus' looks for non-infected programs.  Also, if you
  158. >had a stealth virus that was already active in memory, when your
  159. >virus infects a file, it might overwrite part of the program code (or
  160. >the stealth virus, depending on infection method), causing you to
  161. >lose the program.
  162. >
  163. >Wouldn't this program be easier as a TSR?  That way it wouldn't have
  164. >to infect the files, and only needs to check programs that you
  165. >actually execute.
  166.  
  167. Interesting question - which is more efficient? This is exactly the
  168. reason we should prefer viruses in some applications and not in others. 
  169. By bringing up this issue, are you implying that if viruses do it better
  170. we should use them?
  171.  
  172. >
  173. >S> There is slight similarity in this
  174. >S> idea with reaction of human immunity system. Anyone has ethical
  175. >S> problem with her/his own immunity system ?
  176. >
  177. >Actually, yes.  Since my immunity system makes periodic attempts to
  178. >kill me, in the name of protecting me, I do have a problem with it. 
  179. >You see, I am one of those unfortunate people who are allergic to
  180. >bees.  Each time I am stung, my immune system makes a faster and
  181. >harsher response, and one day this will kill me if I do not get
  182. >medical help.  Is it possible that the A-V virus might (accidentally)
  183. >act in the same way?
  184.  
  185. That's right - any time we design an automated system, there are risks
  186. that the automation may do something undesired.  This is true of all
  187. automation - viral or otherwise - so it's not a valid reason for ruling
  188. out viruses as a useful technology.  Rather, we must consider the risks
  189. against the gains on a case by case basis.
  190.  
  191.     How should we react to your allergy? Should we remove your
  192. immune system because it can kill you? That's the position you take if
  193. you say we should not have a viral immune system if it has the potential
  194. of killing the host.  Should we kill all bees to protect you? This would
  195. kill certain flowers, which in turn could impact other elements of the
  196. environment, and eventually, it might kill everyone! Should we allow you
  197. to die some day to protect the rest of the world's population? Or
  198. perhaps - we should do research to figure out how to make your immune
  199. system better! That's what the people who advocate viral immune systems
  200. in computers propose - and frankly, it sounds better to me than a lot of
  201. (but not all) the alternatives I can think of for virus defense. 
  202.  
  203. Y. Radai and V Bontichev discuss keys and checksums:
  204.  
  205.     I think that an alternative to off-line checksums is access
  206. control. This has worked in IT for several years, and defeats all of the
  207. other attacks against the crypto-checksum I am aware of.  Obviously, we
  208. can bypass the access controls in a normal DOS environment, but that
  209. doesn't invalidate the concept.
  210.  
  211. Tim Hare writes:
  212.  
  213. >Perhaps I am a bit naive, not being a virus researcher, but could the
  214. >problems related to benign virus-like (i.e. self-replicating) programs
  215. >be solved by implementing a protocol to control the installation of
  216. >self replicating programs?
  217.  
  218. Yes - Tim - this works quite well.  A similar system has been operating
  219. effectively for several years without a problem.  Perhaps you are a
  220. better virus researcher than many of the others we hear from - you aren't
  221. as context bound.
  222.  
  223. Arthur L. Rubin writes about my definition of viruses:
  224.  
  225. >Actually, that definition isn't useful.  If the "environment" includes
  226. >a user typing "copy", then any file is a virus.
  227.  
  228.     I disagree strongly.  You are right that under my definition, if
  229. the environment is such that all programs are always copied, then all
  230. sequences of symbols are viruses.  I published this result in 1985 in
  231. some detail, and showed a Turing machine example where all sequences are
  232. viruses.  You are not right that just because one user copies one
  233. program one time, it makes the copied program a virus.  The reason is
  234. that the copied program won't necessarily copy itself when you run the
  235. copy.  That is the reason we have the `ad infinitum' at the end of the
  236. linguistic version of the definition.  To qualify as a virus, given a
  237. proper environment, the program must ALWAYS reproduce. 
  238.  
  239.     This brings up the issue of `partial viruses' which only
  240. replicate under particular conditions.  In brief, the conditions may be
  241. considered part of the environment, and thus in certain environments,
  242. the program is a virus, and in others it is not.  But this is not
  243. unusual at all, since all sequences are viruses in some environments,
  244. and no sequence is a virus in some environments.  A virus under DOS is
  245. not necessarily a virus under Unix, and a virus that requires a Windows
  246. environment isn't a virus in systems that don't include the Windows
  247. environment.  That's why we need different virus scanners for Unix than
  248. for DOS.  It is also one reason that general purpose virus detection is
  249. undecidable: we have to consider a potentially infinite number of
  250. different languages that can interpret information, not just the binary
  251. form used by the hardware. 
  252.  
  253.     A side effect of the definition is that in order to discuss
  254. viruses, we also must discuss environments.  For example, the
  255. Christma.Exec virus spread largely because of a corporate culture where
  256. people send their friends fancy Christmas cards via computer mail.  If
  257. it weren't for the culture, the program might not have replicated.  The
  258. same is true of the Internet virus.  The environment that allowed this
  259. virus to spread included a debugging option that allowed unlimited
  260. privileges without any authentication.  If the environment did not
  261. include that circumstance, the Internet virus would not have replicated,
  262. and it would therefore not have been a virus.  That's why we talk about
  263. DOS viruses as opposed to MAC viruses, Windows viruses, etc.
  264.  
  265. __________________________________________________________________________
  266.     Protection Experts - Your Experts in Information Protection
  267. 8:30AM-2PM Eastern                    2PM-7:30PM Eastern
  268. 412-422-4134                              907-344-5164
  269.          24 Hour FAX Service 412-422-4135 OR 907-344-3069
  270. __________________________________________________________________________
  271.  
  272. ------------------------------
  273.  
  274. Date:    12 Jan 93 18:23:36 +0000
  275. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  276. Subject: Re: Integrity Management
  277.  
  278. RADAI@vms.huji.ac.il (Y. Radai) writes:
  279.  
  280. > Well, I think that comes from using a particular (table-driven) *im-
  281. > plementation* of CRC, and is not an essential feature of CRC as it
  282. > is defined. 
  283.  
  284. Yes, but you can define some kind of initial value for any
  285. implementation of the algorithm... For instance, you could prepend
  286. N-bit key to the file before computing CRC-N. Not secure, I know. See
  287. below.
  288.  
  289. > Also, while I agree that in this implementation
  290. > INITIAL_VALUE could be considered as a seed, I doubt that varying this
  291. > value adds any security, since CRC can be made key-dependent in a
  292. > very natural way (by varying the generator) and since, in a certain
  293. > sense, it is then provably secure (subject to certain reasonable
  294. > assumptions).
  295.  
  296. It doesn't add any security - this is BTW exactly what I stated in my
  297. initial message - that for CRC-type algorithms it is not enough to use
  298. a different seed - you need to change the generator each time.
  299.  
  300. BTW, it would be interesting to see an analysis of the table-driven
  301. checksum algorithm presented by Padgett Peterson and Ross Greenberg...
  302.  
  303. > But why is it necessary to do something with keyless algorithms at
  304. > all?  There is an alternative to varying a seed (or artificially
  305. > introducing a key) in a keyless algorithm, and that is to use an
  306. > algorithm which is key-dependent by its very design (such as the MAA
  307. > of ISO 8731-2 or ANSI X9.9, if one wants a cryptographic algorithm).
  308.  
  309. Yes, of course, I agree that one way to fix the keyless algorithms is
  310. to use key-dependent algoritms... :-) I was just talking about what to
  311. do, if you want to use a keyless algorithm... ANSI X9.9 is derived
  312. from DES, right? I just thought that MD4 is fater than DES and still
  313. cryptographically strong, so one could use it, if s/he wants to use a
  314. cryptographically strong algorithm at all...
  315.  
  316. Regards,
  317. Vesselin
  318. - -- 
  319. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  320. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  321. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  322. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  323.  
  324. ------------------------------
  325.  
  326. Date:    13 Jan 93 07:52:48 +0000
  327. From:    alby@access.digex.com (Albatross)
  328. Subject: Sale of Viri
  329.  
  330.       Is there any law in the USA the prohibits the Sale of Virus
  331. software to the Public? Or any type of distrubution of such software
  332. with the sole intent to create business revenew?
  333.  
  334. ------------------------------
  335.  
  336. Date:    13 Jan 93 10:53:23 +0000
  337. From:    duck@nuustak.csir.co.za (Paul Ducklin)
  338. Subject: Re: On the definition of viruses
  339.  
  340. Fred Cohen spake:
  341.  
  342. >>    The mathematical definition first published in 1985 is
  343. >>testable, and appears to properly differentiate viruses from
  344. >>non-viruses.  Perhaps someone else wishes to do a better job, but
  345. >>let's not make definitions that are senseless.
  346.  
  347. Now, now. There are many examples of definitions that would be
  348. "senseless" to Fred Cohen, but probably work really well for most of
  349. the rest of the world. In South Africa, for instance, there exists a
  350. fundamental road law which may be paraphrased as "Drive on the left".
  351. Er, although this depends on which window of the car you look out of
  352. [and the law does *not* specify], it's very much a sensible, working
  353. definition of how to orient your car when driving. OK, the definition
  354. would be unviable in the USA, but you can't have everything...
  355.  
  356. >>    So what is a computer virus? In simple terms, it is a sequence
  357. >>of instructions that, when interpreted in an appropriate environment,
  358. >>"replicates" in that at least one relica also "replicates", etc., ad
  359. >>infinitum.
  360.  
  361. Arthur Rubin replied:
  362.  
  363. >Actually, that definition isn't useful.  If the "environment" includes
  364. >a user typing "copy", then any file is a virus.  (Word Perfect, on the
  365. >other hand, qualifies as a Trojan Horse under almost any definitions,
  366. >because it busily modifies files without being asked.  MOST of those
  367. >files are in the WP directory, but....)
  368.  
  369. ..and hit the nail on the head. See Alan Solomon's article in a
  370. recent Computers and Security in which he "overloads" Fred Cohen's
  371. definition by defining a Real Virus [usefully], and then by specifying
  372. that the word "virus" will be used to denote "Real Virus". All is
  373. *not* lost.
  374.  
  375. Paul Ducklin
  376.  
  377. - -- 
  378. - --..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--
  379. Paul Ducklin                                       duck@nuustak.csir.co.za
  380.  
  381.   CSIR Computer Virus Research Lab * Box 395 * Pretoria * 0001 S Africa
  382.  
  383. ------------------------------
  384.  
  385. Date:    Mon, 11 Jan 93 15:57:59 -0500
  386. From:    "David M. Chess" <chess@watson.ibm.com>
  387. Subject: Re: os2-stuff (OS/2)
  388.  
  389. >From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  390.  
  391. >could infect them by mistake. How are the DLL and DRV files loaded in
  392. >OS/2? If they are not loaded using any INT 21h/AX=4Bxxh function, then
  393. >it is rather unlikely that any of the currently known viruses will
  394. >infect them...
  395.  
  396. No, no OS/2 call does an INT 21 at all; that's one of the main
  397. reasons that no DOS virus runs in native OS/2.  Operating system
  398. calls in OS/2 are done using Protect Mode constructs like call
  399. gates (I forget the details again!), not using INTs.       DC
  400.  
  401.  
  402. ------------------------------
  403.  
  404. Date:    Wed, 13 Jan 93 15:18:04 +0000
  405. From:    antkow@sis.uucp (Chris Antkow)
  406. Subject: DOS Viruses under HPFS (OS/2)
  407.  
  408.  Being a virus researcher myself, I find it sometimes suicidal to test
  409. out and disassemble new stealth and polymorphic class viruses on my
  410. DOS based PC. I'm deathly paranoid that it's going to escape on one of
  411. my floppies and infect the rest of my house... Even though I know my
  412. ASM a bit better than the average Joe, who knows what might happen.
  413.  
  414.  As a result, I'm looking to find an environment suitable for testing
  415. viruses. I was considering OS/2, however I do have one question.
  416.  
  417.  If you are testing a virus in a DOS window and it "goes off" so to
  418. speak (If it has a destructive nature...), will it trash the entire
  419. system, or just mess up the DOS window (Theory states that it should
  420. only mess up the DOS window... But can someone vouch for this?)
  421.  
  422.  I've been using Flushot + to "monitor" the progress of viruses under
  423. testing, however, I'm finding alot more viruses now that are hostile
  424. to AV programs.
  425.  
  426.  Any input would be greatly appreciated...
  427.  
  428.     Chris
  429.  
  430.     antkow@eclipse.sheridanc.on.ca
  431.  
  432. ------------------------------
  433.  
  434. Date:    Mon, 11 Jan 93 09:00:54 -0500
  435. From:    Y. Radai <RADAI@vms.huji.ac.il>
  436. Subject: Re: Untouchable (PC)
  437.  
  438.   Bill Lambdin writes:
  439. > YR>   UTSCAN has the ability to examine archives and compressed executa-
  440. > YR> bles (recursively), includes one of the better MtE detectors ...
  441. >
  442. > Untouchable does well at scanning archives, abd files compressed with
  443. > PKlite, LZEXE, Diet, and maybe others.
  444. >
  445. > However; I performed some tests with PKlite 1.15 recently. McAfee's Scan
  446. > was able to detect the virus inside the file compressed with PKlite 1.15.
  447. > Untouchable wasn't able to scan inside the file.
  448.  
  449. This was due to a bug in UTScan.  I'm told it will be fixed in Version
  450. 27.
  451.  
  452. > YR> I was referring to Ver. 26 of UTScan.
  453. >
  454. > I am using version 25.10 of UTScan.
  455. > When was 26 released?
  456.  
  457. UTScan (like the rest of the Untouchable package) is, as you probably
  458. know, developed in Israel.  Israeli subscribers automatically get
  459. updates at the beginning of each even-numbered month, so we have had
  460. Ver. 26 for over a month now.  I have no idea when updates reach the
  461. U.S. market, but I presume there's a delay of a week or more.
  462.   Btw, starting from Ver. 27 (or maybe 28), the version number will no
  463. longer reflect the date of the scan patterns.  This will be reflected
  464. in updates to a file called VIR-INFO (which replaces the file BRM.VRB)
  465. [hope I got that right].
  466.  
  467.                                      Y. Radai
  468.                                      Hebrew Univ. of Jerusalem, Israel
  469.                                      RADAI@HUJIVMS.BITNET
  470.                                      RADAI@VMS.HUJI.AC.IL
  471.  
  472. ------------------------------
  473.  
  474. Date:    11 Jan 93 20:44:05 +0000
  475. From:    lvandyke@balboa.eng.uci.edu (Lee Van Dyke)
  476. Subject: Wanted: info about Dos 5.0 virus (1578?) (PC)
  477.  
  478. I have just been informed of a virus in command.com (47,845 4-9-91) of
  479. Dos 5.0. Can anyone give me info on this?
  480.  
  481. Lee
  482.  
  483. - --
  484. Lee Van Dyke
  485.       lvandyke@balboa.eng.uci.edu,
  486. UUCP: infotec!Infotec.COM!lee@sunkist.West.Sun.COM
  487.  
  488. ------------------------------
  489.  
  490. Date:    Mon, 11 Jan 93 16:22:02 -0500
  491. From:    "David M. Chess" <chess@watson.ibm.com>
  492. Subject: re: Joshi Question (PC)
  493.  
  494. >From:    rind@enterprise.bih (David Rind)
  495.  
  496. >Does Joshi trap attempts at warm reboots?
  497.  
  498. Yep!  When it sees a three-key reboot, it attempts to simulate a
  499. reboot, while remaining in memory.  The simulation isn't always
  500. sucsessful, and this is therefore yet another way that the Joshi can
  501. cause systems to behave differently/badly.
  502.  
  503. - - -- -
  504. David M. Chess                     /    Invest for the Nanotech Era:
  505. High Integrity Computing Lab      /             Buy Atoms!
  506. IBM Watson Research
  507.  
  508. ------------------------------
  509.  
  510. Date:    Tue, 12 Jan 93 00:15:20 +0000
  511. From:    btf57346@uxa.cso.uiuc.edu (Byron "Bohr" Faber)
  512. Subject: Re: PKZIP V2.04C (PC)
  513.  
  514. pd@nwavbbs.demon.co.uk (Peter Duffield) writes:
  515.  
  516. >I picked the following post up in comp.archives.msdos.announce and thought
  517. >it may be of interest to this group...
  518. >- --------------------------------- cut here -----------------------------
  519. >From: PKWare.Inc@mixcom.mixcom.com (PKWare.Inc)
  520. >Subject: PKZIP 2.04c RELEASED (NO VIRUS)
  521. >Reply-To: PKWare.Inc@mixcom.com
  522. >Date: Thu, 7 Jan 1993 09:38:18 GMT
  523.  
  524. >        PKZIP 2.04c is now released and on the PKWARE BBS (414-354-8670)
  525.  
  526. >        Some reports have come in the certain version of Norton Anti-Virus
  527. >        are reporting PKZIP 2.04 to have the Maltese Amoeba virus.
  528.  
  529. >        THESE REPORTS ARE FALSE! If the version of Norton is upgraded to
  530. >        a newer version the false reports cease.
  531.  
  532. >        The correct files size,date and time should be:
  533.  
  534. >        PKZ204C.EXE     188818  12-28-92        2:04
  535. >                        SIZE    DATE            TIME
  536.  
  537. >        If you have any further questions, please feel free to contact
  538. >        me here at pkware.inc@mixcom.com
  539.  
  540. >        Mark Gresbach
  541. >        PKWARE, Inc.
  542. >- --
  543. >PKWARE.Inc@mixcom.com      Voice (414)354-8699   Authors of PKZIP, PKLITE
  544. >9025 N. Deerwood Dr.         BBS (414)354-8670   PKZFIND, PKZOOM, and the
  545. >Brown Deer, WI 53223 USA     FAX (414)354-8559   Data Compression Library
  546.  
  547. Just a note: With all the talk going around that pkzip204c is NOT
  548. infected with a virus, I'm not suprised somebody has really infected a
  549. copy and uped it.
  550.  
  551. You might be able to fool a few to many people.  I think that the "anti-
  552. virus" community should be carefull of what they are telling people.
  553.  
  554. Byron
  555. - -- 
  556. Please Note:  Some Quantum Physics Theories Suggest that When the Reader   
  557.               Is Not Directly Observing This Message, It May Cease to Exist
  558.               or Will Exist Only in a Vague and Undetermined State.
  559. Internet:  btf57346@uxa.cso.uiuc.edu  & btf57346@sumter.cso.uiuc.edu
  560.  
  561. ------------------------------
  562.  
  563. Date:    Tue, 12 Jan 93 11:08:17 -0600
  564. From:    ST29701@vm.cc.latech.edu
  565. Subject: Re: Vshield vs Virstop (PC)
  566.  
  567. VSHIELD with the /CF option to check for a file validation information
  568. will not catch a file infecting virus like INTRUDER (very generic)
  569. untill after it has infected.  I would have hoped it could chatch it
  570. while the infection was trying to occure.
  571.  
  572. ------------------------------
  573.  
  574. Date:    Tue, 12 Jan 93 16:06:51 +0000
  575. From:    Dirk.Dussart@cs.kuleuven.ac.be (Dirk Dussart)
  576. Subject: Brunswick Virus (PC)
  577.  
  578. Hi Netlanders,
  579.  
  580. I'm posting this for a friend of mine of hasn't got net access.  My
  581. friend is let's say a regular user and has recently found a virus on
  582. his hard disk of his IBMPC.  With the use of a virus-detector he found
  583. out that it was the BRUNSWICK VIRUS.  Does anybody know about a good
  584. viruskiller which can deal with this virus ?
  585.  
  586. Dirk Dussart.
  587.  
  588. Newyear's wish: A "computer" virusfree net !!!!
  589.             Why do viruses exist anyway ? Can't we computer users
  590.                 or programmers stop anoying eachother
  591.              with those stupid virus programs. 
  592.  
  593. ------------------------------
  594.  
  595. Date:    Tue, 12 Jan 93 16:32:48 -0500
  596. From:    cournoye@ere.umontreal.ca (Cournoyer Louis-Georges)
  597. Subject: how to get rid of the Naughty Hacker-1? (PC)
  598.  
  599. Norton anti-virus as reported the presence in my computer's memory of
  600. the virus Naughty Hacker-1. The Nav program says to boot with a disk
  601. which has the same system, which in this case is ms-dos 3.3. That i
  602. have done...
  603.  
  604. however, doing so, the nav program is not able to recognize the virus...
  605.  
  606. What should i do?
  607.  
  608. Another funny thing is happening: if i take the ainsi.sys out of my
  609. config.sys file, the nav isn't able to find the virus...
  610.  
  611. I would really appreciate if someone could help me concerning this
  612. virus..  what can he do to my computer? how can i get rid of it?...
  613.  
  614. Thank you in advance...
  615.  
  616.                          cournoye@mistral.ere.umontreal.ca
  617.  
  618. PS excuse my english writing, it is not my habitual language.
  619.  
  620. ------------------------------
  621.  
  622. Date:    Wed, 13 Jan 93 07:41:24 +0000
  623. From:    pmm34393@uxa.cso.uiuc.edu (Dr. Vincent Vaugn)
  624. Subject: Problems with PCs (PC)
  625.  
  626. I am having massive virus problems, and I hope someone here might be
  627. able to help me out. After having some problems with my computer:
  628. sharing violations on the hard drive, and overflow errors, I decided
  629. to do a virus check. I got Scan v.99, but found that every time I
  630. downloaded it and tried to run it, I got a "damaged file" error. I
  631. tried my roommates computer, and was able to download scan and run it
  632. with no problems. I assumed I had some sort of virus, so I read the
  633. scan info and tried to run scan off of a write-protected disk. Sure
  634. enough, a disk access was attempted and I hit fail to try and continue
  635. running scan. This seemed to work, but scan did not find any viruses
  636. in memory or on my hard drive. I was screwing around on my roomates
  637. computer and was transferring some of his files to one of my disks. I
  638. ran scan again, and THIS time it told me that I had the "filler" virus
  639. in memory and to run Clean on my roommates HD. However, I did not have
  640. Clean, so I re-booted off a clean floppy that he had and I ran Scan
  641. again. However, this time no problems were found. Yet, I started
  642. getting the same errors on his computer that I had on mine. I got
  643. Clean, but I did not have any success trying to get rid of the virus:
  644. Scan won't find anything anymore and Clean is damaged even when I boot
  645. off a clean floppy that has no autoexec or config.sys. I think both
  646. our computers are infected, but I can't find a trace of the virus. We
  647. both run stacker--does this make a difference? If anyone could provide
  648. me with any info regarding the "filler" virus or of any better virus
  649. killers out there I would greatly appreciate it -- I spent 3 hours
  650. tonight screwing around on 2 computers and have had NO success.
  651. Thanks, and please reply by e-mail if possible....  --
  652.  
  653. Send e-mail to: pmm34393@uxa.cso.uiuc.edu
  654.  
  655. ------------------------------
  656.  
  657. Date:    13 Jan 93 10:28:54 +0000
  658. From:    duck@nuustak.csir.co.za (Paul Ducklin)
  659. Subject: Re: Clash between FDISK/MBR and scanners (PC)
  660.  
  661. Thus spake padgett@tccslr.dnet.mmc.com (A. Padgett Peterson):
  662.  
  663. >ps It is my understanding (David ?) that OS/2 uses selection through a 
  664. >   replacement of the DBR (OBR ?) *not* the MBR and requires a more complex
  665. >   approach e.g. You boot. If the wrong OS comes up, you instruct a program
  666. >   to replace the DBR with the correct one then you boot again. Hopefully
  667. >   this time the correct OS comes up. Only IBM...
  668.  
  669. I think the idea in OS/2 is to allow the *same partition* to be
  670. bootable into OS/2 or DOS. Clearly, changing the MBR won't help. I
  671. have some code which lets me do the same kind of
  672. same-partition-various-OSes with MS-DOS 3.30 and DR-DOS 6.0, which I
  673. like to swap between. Rewriting the DBR is required...
  674.  
  675. Paul Ducklin
  676.  
  677. - -- 
  678. - --..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--
  679. Paul Ducklin                                       duck@nuustak.csir.co.za
  680.  
  681.   CSIR Computer Virus Research Lab * Box 395 * Pretoria * 0001 S Africa
  682.  
  683. ------------------------------
  684.  
  685. Date:    13 Jan 93 10:25:12 +0000
  686. From:    duck@nuustak.csir.co.za (Paul Ducklin)
  687. Subject: Re: Joshi Question (PC)
  688.  
  689. Thus spake bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev):
  690.  
  691. >This has created the myth that some viruses are able to survive a warm
  692. >reboot. They cannot, or at least they cannot do this unnoticeably on
  693. >most computers, but nevertheless you are always advised to cold-boot
  694. >when you suspect a virus in memory...
  695.  
  696. A further excellent reason for using the Big Red Switch is to be found
  697. in a virus such as Anticad -- here, the virus has certain phases of
  698. operation in which a warm boot will trigger the virus' destructive
  699. code.
  700.  
  701. The thing to remember is that Crtl-Alt-Del is merely a trappable
  702. trigger for a "warm boot" [ie: one in which no memory check is
  703. performed]. Any program can take over C-A-D as a hotkey for itself
  704. [eg: SmartDrive, I gather, which does so to ensure it flushes its
  705. write cache before allowing the reboot..], so *any* keyboard-based
  706. reboot trigger should be assumed dangerous when you suspect a virus in
  707. memory. Hit the button instead..
  708.  
  709. Paul Ducklin
  710.  
  711. - -- 
  712. - --..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--
  713. Paul Ducklin                                       duck@nuustak.csir.co.za
  714.  
  715.   CSIR Computer Virus Research Lab * Box 395 * Pretoria * 0001 S Africa
  716.  
  717. ------------------------------
  718.  
  719. Date:    Wed, 13 Jan 93 15:23:24 +0000
  720. From:    antkow@sis.uucp (Chris Antkow)
  721. Subject: New way of opeing files??? (PC)
  722.  
  723.  Apparently, there is a new way of opening files which some AV
  724. Utilities don't catch. I've heard that the NuKE group is starting to
  725. use function AX,6C00h/INT 21h to open files... Can anyone confirm the
  726. use of this function and are there any AV programs that trap this
  727. function?
  728.  
  729.     Chris
  730.     antkow@eclipse.sheridanc.on.ca
  731.  
  732. ------------------------------
  733.  
  734. Date:    12 Jan 93 14:20:00 +0000
  735. From:    bill.lambdin%acc1bbs@ssr.com (Bill Lambdin)
  736. Subject: January LAT
  737.  
  738. Here is the January release of LAT (Lambdin's Accuracy Tests).
  739.  
  740. Bill
  741. - --------------------------------------------------------------------------
  742.                                   LAT 9301
  743.  
  744.  Product                    Total  Detected  Ratio   Flags
  745.  +--------------------------------------------------------+
  746.  | Virus Net 2.06B         | 715   | 709    | 99.2% | C   |
  747.  | F-Prot 2.06a            | 715   | 708    | 99.0% | S   |
  748.  | VIRx 2.6                | 715   | 705    | 98.6% | S   |
  749.  |                         |       |        |       |     |
  750.  | Scan 99                 | 715   | 697    | 97.5% | S   |
  751.  | Integrity Master 1.31d  | 693   | 665    | 96.0% | DGS |
  752.  | UT Scan 1.13            | 693   | 662    | 95.5% | CDG |
  753.  |                         |       |        |       |     |
  754.  | PC Scan                 | 715   | 660    | 92.3% |     |
  755.  | WIN-Rx 1.0              | 715   | 586    | 81.9% | S   |
  756.  | Virucide 2.37           | 693   | 529    | 76.3% | CD  |
  757.  +--------------------------------------------------------+
  758.  
  759.       C- Commercial software
  760.  
  761.       D- This product does not scan for boot sector viruses
  762.          inside droppers. I tried to be fair.
  763.  
  764.       G- Generic Virus detector. The other utilities with
  765.          this product may detect viruses that this scanner
  766.          misses, so don't judge this product too harshly
  767.          because the scanner isn't as effective as you would
  768.          like.
  769.  
  770.       S- Share Ware or Free Ware procuct.
  771.  
  772.  I removed I.M.S.I Virus Cure 2.24, CPAV 1.1, and Thunder
  773.  Byte Anti-virus from my tests because new releases are
  774.  available, and haven't received updates yet.
  775.  
  776.  I had hoped to test Search & Destroy From Fifth Generation
  777.  Systems, but I haven't received it yet.
  778.  
  779.  ========================================================================
  780.       I have tested the following generic products, and
  781.       recommend them.
  782.  
  783.       Victor Charlie (Bangkok Security Associates)
  784.       PC-Rx (Trend Micro Devices)
  785.       Untouchable (Fifth Generation Systems)
  786.       Integrity Master (Stiller Research)
  787.       PC-cillin (Trend Micro Devices)
  788.  ========================================================================
  789.       I would like to thank most of these companies for
  790.       providing me with evaluation copies of their
  791.       software to test.
  792.  ========================================================================
  793.       These tests were performed on a 33 MHZ 486
  794.  
  795.                         Bill Lambdin
  796.                         P.O. Box 577
  797.                         East Bernstadt, Ky. 40729
  798.  
  799. [Moderator's note: Bill, would you please post a summary of your test
  800. procedures and reasons for recommending or not recommending particular
  801. products?]
  802.  
  803. - ---
  804.  * WinQwk 2.0 a#383 * PLASTIQUE activates Sep 20 - Dec 31
  805.  
  806. ------------------------------
  807.  
  808. End of VIRUS-L Digest [Volume 6 Issue 8]
  809. ****************************************
  810.  
  811.