home *** CD-ROM | disk | FTP | other *** search

---

/ The World of Computer Software / World_Of_Computer_Software-02-385-Vol-1of3.iso / v / vl6-8.zip / VL6-8.TXT

< prev

Wrap

Internet Message Format  |  1993-01-14  |  34KB

---

1. From lehigh.edu!virus-l Thu Jan 14 10:45:31 1993 remote from uunet.ca
2. Received: from Fidoii.CC.Lehigh.EDU ([128.180.2.4]) by mail.uunet.ca with SMTP id <10456>; Thu, 14 Jan 1993 10:45:21 -0500
3. Received: from  (localhost) by Fidoii.CC.Lehigh.EDU with SMTP id AA12145
4.   (5.67a/IDA-1.5 for <hombas!rudy.hehn%hombas@mail.uunet.ca>); Thu, 14 Jan 1993 10:18:03 -0500
5. Date:    Thu, 14 Jan 1993 10:18:03 -0500
6. Message-Id: <9301141447.AA26749@barnabas.cert.org>
7. Comment: Virus Discussion List
8. Originator: virus-l@lehigh.edu
9. Errors-To: krvw@cert.org
10. Reply-To: <virus-l@lehigh.edu>
11. Sender: virus-l@lehigh.edu
12. Version: 5.5 -- Copyright (c) 1991/92, Anastasios Kotsikonas
13. From:    "Kenneth R. van Wyk" <krvw@cert.org>
14. To:    Multiple recipients of list <virus-l@lehigh.edu>
15. Subject: VIRUS-L Digest V6 #8
16.  
17. VIRUS-L Digest   Thursday, 14 Jan 1993    Volume 6 : Issue 8
18.  
19. Today's Topics:
20.  
21. Heuristic Scanners
22. Benign "viruses" (addendum)
23. Re: On the definition of viruses
24. Re: A-V virus
25. Re: Integrity Management
26. Sale of Viri
27. Re: On the definition of viruses
28. Re: os2-stuff (OS/2)
29. DOS Viruses under HPFS (OS/2)
30. Re: Untouchable (PC)
31. Wanted: info about Dos 5.0 virus (1578?) (PC)
32. re: Joshi Question (PC)
33. Re: PKZIP V2.04C (PC)
34. Re: Vshield vs Virstop (PC)
35. Brunswick Virus (PC)
36. how to get rid of the Naughty Hacker-1? (PC)
37. Problems with PCs (PC)
38. Re: Clash between FDISK/MBR and scanners (PC)
39. Re: Joshi Question (PC)
40. New way of opeing files??? (PC)
41. January LAT
42.  
43. VIRUS-L is a moderated, digested mail forum for discussing computer
44. virus issues; comp.virus is a non-digested Usenet counterpart.
45. Discussions are not limited to any one hardware/software platform -
46. diversity is welcomed.  Contributions should be relevant, concise,
47. polite, etc.  (The complete set of posting guidelines is available by
48. FTP on cert.sei.cmu.edu or upon request.) Please sign submissions with
49. your real name.  Send contributions to VIRUS-L@LEHIGH.EDU.
50. Information on accessing anti-virus, documentation, and back-issue
51. archives is distributed periodically on the list.  A FAQ (Frequently
52. Asked Questions) document and all of the back-issues are available by
53. anonymous FTP on cert.org (192.88.209.5).  Administrative mail
54. (comments, suggestions, and so forth) should be sent to me at:
55. <krvw@CERT.ORG>.
56.  
57.    Ken van Wyk
58.  
59. ----------------------------------------------------------------------
60.  
61. Date:    Mon, 11 Jan 93 16:18:49 +0000
62. From:    antkow@sis.uucp (Chris Antkow)
63. Subject: Heuristic Scanners
64.  
65.  Would someone please post information on heuristic scanning theories.
66. I'm looking to develop my own scanner and as such want to develop some
67. software that attempts to thwart these scanners.
68.  
69.  I'm new to this, so any help would be greatly appreciated.
70.  
71.  Also, does any know if Mark Washburn has a mailing address?
72.  
73.  Thanx
74.  
75. ------------------------------
76.  
77. Date:    Tue, 12 Jan 93 07:34:46 -0500
78. From:    "Tim Hare" <SS942TH@dot1.mail.ufl.edu>
79. Subject: Benign "viruses" (addendum)
80.  
81. As an addition to my earlier post about a protocol for adding benign
82. virus or wormlike programs to a system: the protocol could (probably
83. should) be modified to require transmittal of the program in source
84. form only - that way the target system would always have to compile
85. the program to install it, and a copy could be made of the source
86. before compilation so that if something did go awry, the source would
87. be there to examine. I mention making a copy because it would be
88. possible for the program, if malicious, to modify the copy that was
89. sent, but if sufficient care were taken, an automated process could
90. make a copy that would not be able to be found by the program once
91. compiled and running.
92.  
93. Tim
94.  
95. ------------------------------
96.  
97. Date:    Tue, 12 Jan 93 13:51:56 +0000
98. From:    Albert-Lunde@nwu.edu (Albert Lunde)
99. Subject: Re: On the definition of viruses
100.  
101.  fc@turing.duq.edu (Fred Cohen) writes:
102. >
103. >    Computer viruses do not have to be malicious, they do not have
104. >to be Trojan horses, and they do not have to enter without the
105. >knowledge or consent of the user.  Any definition that depends on
106. >these properties depends on peoples' opinions, skills, and knowledge,
107. >and are thus not "testable" in the scientific sense of the word.  (See
108. >Popper and others for more details). [...]
109.  
110. Fred Cohen can point with justified pride to the mathematical theory
111. of viruses.  At the same time, I think it is perfectly understandable
112. that people will use more relative, subjective critera based on a
113. perception of risk and intention. This is especially the case since
114. one of the consequences of the mathematical theory is a proof that a
115. general "unknown virus" detector is impossible!
116.  
117. Looking at Mac viruses (with which I am more familiar), the majority
118. do not appear to have been written to do deliberate harm.  However,
119. they all also contain bugs and undesirable side-effects which cause
120. them to be harmful.  It is the pragmatic difficulties of writing
121. self-replicating code which remains both functional and controlled in
122. unknown environments that makes me (and others) skeptical of the
123. usefulness of "benevolent" viruses. (And I am *not* speaking of backup
124. programs.)
125.  
126. The information necessary to write a virus is available to any
127. compentent programmer -- it does not take a genius.  At the same time
128. most anti-virus workers are concerned with broadcasting the details of
129. viruses. I would not attribute this to a desire for censorship but to
130. the pragmatic observation that "copy-cat" viruses are a serious
131. problem and that it may be a good idea not to lower the threshold of
132. effort needed to create a virus.
133.  
134. Until mathematical theory provides a means for apprehending the
135. writers of viruses, some folk will have to get their hands dirty...
136.  ;) ;)
137.  
138. - -- 
139.     Albert Lunde                      Albert-Lunde@nwu.edu
140.  
141. ------------------------------
142.  
143. Date:    Tue, 12 Jan 93 11:49:29 -0500
144. From:    fc@turing.duq.edu (Fred Cohen)
145. Subject: Re: A-V virus
146.  
147. Ron Whittle writes:
148.  
149. >On Tue, 22 Dec 92, Suzana wrote:
150. >
151. >S> Suppose that we have an A-V product which in regular intervals or
152. >S> randomly send a virus in system. Virus (fast infector) infects only
153. >S> programs which checksum doesn't correspond to previously calculated
154. >S> values. ...
155. >
156. >This looks interesting, but you might run into performance problems
157. >as the 'good virus' looks for non-infected programs.  Also, if you
158. >had a stealth virus that was already active in memory, when your
159. >virus infects a file, it might overwrite part of the program code (or
160. >the stealth virus, depending on infection method), causing you to
161. >lose the program.
162. >
163. >Wouldn't this program be easier as a TSR?  That way it wouldn't have
164. >to infect the files, and only needs to check programs that you
165. >actually execute.
166.  
167. Interesting question - which is more efficient? This is exactly the
168. reason we should prefer viruses in some applications and not in others. 
169. By bringing up this issue, are you implying that if viruses do it better
170. we should use them?
171.  
172. >
173. >S> There is slight similarity in this
174. >S> idea with reaction of human immunity system. Anyone has ethical
175. >S> problem with her/his own immunity system ?
176. >
177. >Actually, yes.  Since my immunity system makes periodic attempts to
178. >kill me, in the name of protecting me, I do have a problem with it. 
179. >You see, I am one of those unfortunate people who are allergic to
180. >bees.  Each time I am stung, my immune system makes a faster and
181. >harsher response, and one day this will kill me if I do not get
182. >medical help.  Is it possible that the A-V virus might (accidentally)
183. >act in the same way?
184.  
185. That's right - any time we design an automated system, there are risks
186. that the automation may do something undesired.  This is true of all
187. automation - viral or otherwise - so it's not a valid reason for ruling
188. out viruses as a useful technology.  Rather, we must consider the risks
189. against the gains on a case by case basis.
190.  
191.     How should we react to your allergy? Should we remove your
192. immune system because it can kill you? That's the position you take if
193. you say we should not have a viral immune system if it has the potential
194. of killing the host.  Should we kill all bees to protect you? This would
195. kill certain flowers, which in turn could impact other elements of the
196. environment, and eventually, it might kill everyone! Should we allow you
197. to die some day to protect the rest of the world's population? Or
198. perhaps - we should do research to figure out how to make your immune
199. system better! That's what the people who advocate viral immune systems
200. in computers propose - and frankly, it sounds better to me than a lot of
201. (but not all) the alternatives I can think of for virus defense. 
202.  
203. Y. Radai and V Bontichev discuss keys and checksums:
204.  
205.     I think that an alternative to off-line checksums is access
206. control. This has worked in IT for several years, and defeats all of the
207. other attacks against the crypto-checksum I am aware of.  Obviously, we
208. can bypass the access controls in a normal DOS environment, but that
209. doesn't invalidate the concept.
210.  
211. Tim Hare writes:
212.  
213. >Perhaps I am a bit naive, not being a virus researcher, but could the
214. >problems related to benign virus-like (i.e. self-replicating) programs
215. >be solved by implementing a protocol to control the installation of
216. >self replicating programs?
217.  
218. Yes - Tim - this works quite well.  A similar system has been operating
219. effectively for several years without a problem.  Perhaps you are a
220. better virus researcher than many of the others we hear from - you aren't
221. as context bound.
222.  
223. Arthur L. Rubin writes about my definition of viruses:
224.  
225. >Actually, that definition isn't useful.  If the "environment" includes
226. >a user typing "copy", then any file is a virus.
227.  
228.     I disagree strongly.  You are right that under my definition, if
229. the environment is such that all programs are always copied, then all
230. sequences of symbols are viruses.  I published this result in 1985 in
231. some detail, and showed a Turing machine example where all sequences are
232. viruses.  You are not right that just because one user copies one
233. program one time, it makes the copied program a virus.  The reason is
234. that the copied program won't necessarily copy itself when you run the
235. copy.  That is the reason we have the `ad infinitum' at the end of the
236. linguistic version of the definition.  To qualify as a virus, given a
237. proper environment, the program must ALWAYS reproduce. 
238.  
239.     This brings up the issue of `partial viruses' which only
240. replicate under particular conditions.  In brief, the conditions may be
241. considered part of the environment, and thus in certain environments,
242. the program is a virus, and in others it is not.  But this is not
243. unusual at all, since all sequences are viruses in some environments,
244. and no sequence is a virus in some environments.  A virus under DOS is
245. not necessarily a virus under Unix, and a virus that requires a Windows
246. environment isn't a virus in systems that don't include the Windows
247. environment.  That's why we need different virus scanners for Unix than
248. for DOS.  It is also one reason that general purpose virus detection is
249. undecidable: we have to consider a potentially infinite number of
250. different languages that can interpret information, not just the binary
251. form used by the hardware. 
252.  
253.     A side effect of the definition is that in order to discuss
254. viruses, we also must discuss environments.  For example, the
255. Christma.Exec virus spread largely because of a corporate culture where
256. people send their friends fancy Christmas cards via computer mail.  If
257. it weren't for the culture, the program might not have replicated.  The
258. same is true of the Internet virus.  The environment that allowed this
259. virus to spread included a debugging option that allowed unlimited
260. privileges without any authentication.  If the environment did not
261. include that circumstance, the Internet virus would not have replicated,
262. and it would therefore not have been a virus.  That's why we talk about
263. DOS viruses as opposed to MAC viruses, Windows viruses, etc.
264.  
265. __________________________________________________________________________
266.     Protection Experts - Your Experts in Information Protection
267. 8:30AM-2PM Eastern                    2PM-7:30PM Eastern
268. 412-422-4134                              907-344-5164
269.          24 Hour FAX Service 412-422-4135 OR 907-344-3069
270. __________________________________________________________________________
271.  
272. ------------------------------
273.  
274. Date:    12 Jan 93 18:23:36 +0000
275. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
276. Subject: Re: Integrity Management
277.  
278. RADAI@vms.huji.ac.il (Y. Radai) writes:
279.  
280. > Well, I think that comes from using a particular (table-driven) *im-
281. > plementation* of CRC, and is not an essential feature of CRC as it
282. > is defined. 
283.  
284. Yes, but you can define some kind of initial value for any
285. implementation of the algorithm... For instance, you could prepend
286. N-bit key to the file before computing CRC-N. Not secure, I know. See
287. below.
288.  
289. > Also, while I agree that in this implementation
290. > INITIAL_VALUE could be considered as a seed, I doubt that varying this
291. > value adds any security, since CRC can be made key-dependent in a
292. > very natural way (by varying the generator) and since, in a certain
293. > sense, it is then provably secure (subject to certain reasonable
294. > assumptions).
295.  
296. It doesn't add any security - this is BTW exactly what I stated in my
297. initial message - that for CRC-type algorithms it is not enough to use
298. a different seed - you need to change the generator each time.
299.  
300. BTW, it would be interesting to see an analysis of the table-driven
301. checksum algorithm presented by Padgett Peterson and Ross Greenberg...
302.  
303. > But why is it necessary to do something with keyless algorithms at
304. > all?  There is an alternative to varying a seed (or artificially
305. > introducing a key) in a keyless algorithm, and that is to use an
306. > algorithm which is key-dependent by its very design (such as the MAA
307. > of ISO 8731-2 or ANSI X9.9, if one wants a cryptographic algorithm).
308.  
309. Yes, of course, I agree that one way to fix the keyless algorithms is
310. to use key-dependent algoritms... :-) I was just talking about what to
311. do, if you want to use a keyless algorithm... ANSI X9.9 is derived
312. from DES, right? I just thought that MD4 is fater than DES and still
313. cryptographically strong, so one could use it, if s/he wants to use a
314. cryptographically strong algorithm at all...
315.  
316. Regards,
317. Vesselin
318. - -- 
319. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
320. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
321. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
322. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
323.  
324. ------------------------------
325.  
326. Date:    13 Jan 93 07:52:48 +0000
327. From:    alby@access.digex.com (Albatross)
328. Subject: Sale of Viri
329.  
330.       Is there any law in the USA the prohibits the Sale of Virus
331. software to the Public? Or any type of distrubution of such software
332. with the sole intent to create business revenew?
333.  
334. ------------------------------
335.  
336. Date:    13 Jan 93 10:53:23 +0000
337. From:    duck@nuustak.csir.co.za (Paul Ducklin)
338. Subject: Re: On the definition of viruses
339.  
340. Fred Cohen spake:
341.  
342. >>    The mathematical definition first published in 1985 is
343. >>testable, and appears to properly differentiate viruses from
344. >>non-viruses.  Perhaps someone else wishes to do a better job, but
345. >>let's not make definitions that are senseless.
346.  
347. Now, now. There are many examples of definitions that would be
348. "senseless" to Fred Cohen, but probably work really well for most of
349. the rest of the world. In South Africa, for instance, there exists a
350. fundamental road law which may be paraphrased as "Drive on the left".
351. Er, although this depends on which window of the car you look out of
352. [and the law does *not* specify], it's very much a sensible, working
353. definition of how to orient your car when driving. OK, the definition
354. would be unviable in the USA, but you can't have everything...
355.  
356. >>    So what is a computer virus? In simple terms, it is a sequence
357. >>of instructions that, when interpreted in an appropriate environment,
358. >>"replicates" in that at least one relica also "replicates", etc., ad
359. >>infinitum.
360.  
361. Arthur Rubin replied:
362.  
363. >Actually, that definition isn't useful.  If the "environment" includes
364. >a user typing "copy", then any file is a virus.  (Word Perfect, on the
365. >other hand, qualifies as a Trojan Horse under almost any definitions,
366. >because it busily modifies files without being asked.  MOST of those
367. >files are in the WP directory, but....)
368.  
369. ..and hit the nail on the head. See Alan Solomon's article in a
370. recent Computers and Security in which he "overloads" Fred Cohen's
371. definition by defining a Real Virus [usefully], and then by specifying
372. that the word "virus" will be used to denote "Real Virus". All is
373. *not* lost.
374.  
375. Paul Ducklin
376.  
377. - -- 
378. - --..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--
379. Paul Ducklin                                       duck@nuustak.csir.co.za
380.  
381.   CSIR Computer Virus Research Lab * Box 395 * Pretoria * 0001 S Africa
382.  
383. ------------------------------
384.  
385. Date:    Mon, 11 Jan 93 15:57:59 -0500
386. From:    "David M. Chess" <chess@watson.ibm.com>
387. Subject: Re: os2-stuff (OS/2)
388.  
389. >From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
390.  
391. >could infect them by mistake. How are the DLL and DRV files loaded in
392. >OS/2? If they are not loaded using any INT 21h/AX=4Bxxh function, then
393. >it is rather unlikely that any of the currently known viruses will
394. >infect them...
395.  
396. No, no OS/2 call does an INT 21 at all; that's one of the main
397. reasons that no DOS virus runs in native OS/2.  Operating system
398. calls in OS/2 are done using Protect Mode constructs like call
399. gates (I forget the details again!), not using INTs.       DC
400.  
401.  
402. ------------------------------
403.  
404. Date:    Wed, 13 Jan 93 15:18:04 +0000
405. From:    antkow@sis.uucp (Chris Antkow)
406. Subject: DOS Viruses under HPFS (OS/2)
407.  
408.  Being a virus researcher myself, I find it sometimes suicidal to test
409. out and disassemble new stealth and polymorphic class viruses on my
410. DOS based PC. I'm deathly paranoid that it's going to escape on one of
411. my floppies and infect the rest of my house... Even though I know my
412. ASM a bit better than the average Joe, who knows what might happen.
413.  
414.  As a result, I'm looking to find an environment suitable for testing
415. viruses. I was considering OS/2, however I do have one question.
416.  
417.  If you are testing a virus in a DOS window and it "goes off" so to
418. speak (If it has a destructive nature...), will it trash the entire
419. system, or just mess up the DOS window (Theory states that it should
420. only mess up the DOS window... But can someone vouch for this?)
421.  
422.  I've been using Flushot + to "monitor" the progress of viruses under
423. testing, however, I'm finding alot more viruses now that are hostile
424. to AV programs.
425.  
426.  Any input would be greatly appreciated...
427.  
428.     Chris
429.  
430.     antkow@eclipse.sheridanc.on.ca
431.  
432. ------------------------------
433.  
434. Date:    Mon, 11 Jan 93 09:00:54 -0500
435. From:    Y. Radai <RADAI@vms.huji.ac.il>
436. Subject: Re: Untouchable (PC)
437.  
438.   Bill Lambdin writes:
439. > YR>   UTSCAN has the ability to examine archives and compressed executa-
440. > YR> bles (recursively), includes one of the better MtE detectors ...
441. >
442. > Untouchable does well at scanning archives, abd files compressed with
443. > PKlite, LZEXE, Diet, and maybe others.
444. >
445. > However; I performed some tests with PKlite 1.15 recently. McAfee's Scan
446. > was able to detect the virus inside the file compressed with PKlite 1.15.
447. > Untouchable wasn't able to scan inside the file.
448.  
449. This was due to a bug in UTScan.  I'm told it will be fixed in Version
450. 27.
451.  
452. > YR> I was referring to Ver. 26 of UTScan.
453. >
454. > I am using version 25.10 of UTScan.
455. > When was 26 released?
456.  
457. UTScan (like the rest of the Untouchable package) is, as you probably
458. know, developed in Israel.  Israeli subscribers automatically get
459. updates at the beginning of each even-numbered month, so we have had
460. Ver. 26 for over a month now.  I have no idea when updates reach the
461. U.S. market, but I presume there's a delay of a week or more.
462.   Btw, starting from Ver. 27 (or maybe 28), the version number will no
463. longer reflect the date of the scan patterns.  This will be reflected
464. in updates to a file called VIR-INFO (which replaces the file BRM.VRB)
465. [hope I got that right].
466.  
467.                                      Y. Radai
468.                                      Hebrew Univ. of Jerusalem, Israel
469.                                      RADAI@HUJIVMS.BITNET
470.                                      RADAI@VMS.HUJI.AC.IL
471.  
472. ------------------------------
473.  
474. Date:    11 Jan 93 20:44:05 +0000
475. From:    lvandyke@balboa.eng.uci.edu (Lee Van Dyke)
476. Subject: Wanted: info about Dos 5.0 virus (1578?) (PC)
477.  
478. I have just been informed of a virus in command.com (47,845 4-9-91) of
479. Dos 5.0. Can anyone give me info on this?
480.  
481. Lee
482.  
483. - --
484. Lee Van Dyke
485.       lvandyke@balboa.eng.uci.edu,
486. UUCP: infotec!Infotec.COM!lee@sunkist.West.Sun.COM
487.  
488. ------------------------------
489.  
490. Date:    Mon, 11 Jan 93 16:22:02 -0500
491. From:    "David M. Chess" <chess@watson.ibm.com>
492. Subject: re: Joshi Question (PC)
493.  
494. >From:    rind@enterprise.bih (David Rind)
495.  
496. >Does Joshi trap attempts at warm reboots?
497.  
498. Yep!  When it sees a three-key reboot, it attempts to simulate a
499. reboot, while remaining in memory.  The simulation isn't always
500. sucsessful, and this is therefore yet another way that the Joshi can
501. cause systems to behave differently/badly.
502.  
503. - - -- -
504. David M. Chess                     /    Invest for the Nanotech Era:
505. High Integrity Computing Lab      /             Buy Atoms!
506. IBM Watson Research
507.  
508. ------------------------------
509.  
510. Date:    Tue, 12 Jan 93 00:15:20 +0000
511. From:    btf57346@uxa.cso.uiuc.edu (Byron "Bohr" Faber)
512. Subject: Re: PKZIP V2.04C (PC)
513.  
514. pd@nwavbbs.demon.co.uk (Peter Duffield) writes:
515.  
516. >I picked the following post up in comp.archives.msdos.announce and thought
517. >it may be of interest to this group...
518. >- --------------------------------- cut here -----------------------------
519. >From: PKWare.Inc@mixcom.mixcom.com (PKWare.Inc)
520. >Subject: PKZIP 2.04c RELEASED (NO VIRUS)
521. >Reply-To: PKWare.Inc@mixcom.com
522. >Date: Thu, 7 Jan 1993 09:38:18 GMT
523.  
524. >        PKZIP 2.04c is now released and on the PKWARE BBS (414-354-8670)
525.  
526. >        Some reports have come in the certain version of Norton Anti-Virus
527. >        are reporting PKZIP 2.04 to have the Maltese Amoeba virus.
528.  
529. >        THESE REPORTS ARE FALSE! If the version of Norton is upgraded to
530. >        a newer version the false reports cease.
531.  
532. >        The correct files size,date and time should be:
533.  
534. >        PKZ204C.EXE     188818  12-28-92        2:04
535. >                        SIZE    DATE            TIME
536.  
537. >        If you have any further questions, please feel free to contact
538. >        me here at pkware.inc@mixcom.com
539.  
540. >        Mark Gresbach
541. >        PKWARE, Inc.
542. >- --
543. >PKWARE.Inc@mixcom.com      Voice (414)354-8699   Authors of PKZIP, PKLITE
544. >9025 N. Deerwood Dr.         BBS (414)354-8670   PKZFIND, PKZOOM, and the
545. >Brown Deer, WI 53223 USA     FAX (414)354-8559   Data Compression Library
546.  
547. Just a note: With all the talk going around that pkzip204c is NOT
548. infected with a virus, I'm not suprised somebody has really infected a
549. copy and uped it.
550.  
551. You might be able to fool a few to many people.  I think that the "anti-
552. virus" community should be carefull of what they are telling people.
553.  
554. Byron
555. - -- 
556. Please Note:  Some Quantum Physics Theories Suggest that When the Reader   
557.               Is Not Directly Observing This Message, It May Cease to Exist
558.               or Will Exist Only in a Vague and Undetermined State.
559. Internet:  btf57346@uxa.cso.uiuc.edu  & btf57346@sumter.cso.uiuc.edu
560.  
561. ------------------------------
562.  
563. Date:    Tue, 12 Jan 93 11:08:17 -0600
564. From:    ST29701@vm.cc.latech.edu
565. Subject: Re: Vshield vs Virstop (PC)
566.  
567. VSHIELD with the /CF option to check for a file validation information
568. will not catch a file infecting virus like INTRUDER (very generic)
569. untill after it has infected.  I would have hoped it could chatch it
570. while the infection was trying to occure.
571.  
572. ------------------------------
573.  
574. Date:    Tue, 12 Jan 93 16:06:51 +0000
575. From:    Dirk.Dussart@cs.kuleuven.ac.be (Dirk Dussart)
576. Subject: Brunswick Virus (PC)
577.  
578. Hi Netlanders,
579.  
580. I'm posting this for a friend of mine of hasn't got net access.  My
581. friend is let's say a regular user and has recently found a virus on
582. his hard disk of his IBMPC.  With the use of a virus-detector he found
583. out that it was the BRUNSWICK VIRUS.  Does anybody know about a good
584. viruskiller which can deal with this virus ?
585.  
586. Dirk Dussart.
587.  
588. Newyear's wish: A "computer" virusfree net !!!!
589.             Why do viruses exist anyway ? Can't we computer users
590.                 or programmers stop anoying eachother
591.              with those stupid virus programs. 
592.  
593. ------------------------------
594.  
595. Date:    Tue, 12 Jan 93 16:32:48 -0500
596. From:    cournoye@ere.umontreal.ca (Cournoyer Louis-Georges)
597. Subject: how to get rid of the Naughty Hacker-1? (PC)
598.  
599. Norton anti-virus as reported the presence in my computer's memory of
600. the virus Naughty Hacker-1. The Nav program says to boot with a disk
601. which has the same system, which in this case is ms-dos 3.3. That i
602. have done...
603.  
604. however, doing so, the nav program is not able to recognize the virus...
605.  
606. What should i do?
607.  
608. Another funny thing is happening: if i take the ainsi.sys out of my
609. config.sys file, the nav isn't able to find the virus...
610.  
611. I would really appreciate if someone could help me concerning this
612. virus..  what can he do to my computer? how can i get rid of it?...
613.  
614. Thank you in advance...
615.  
616.                          cournoye@mistral.ere.umontreal.ca
617.  
618. PS excuse my english writing, it is not my habitual language.
619.  
620. ------------------------------
621.  
622. Date:    Wed, 13 Jan 93 07:41:24 +0000
623. From:    pmm34393@uxa.cso.uiuc.edu (Dr. Vincent Vaugn)
624. Subject: Problems with PCs (PC)
625.  
626. I am having massive virus problems, and I hope someone here might be
627. able to help me out. After having some problems with my computer:
628. sharing violations on the hard drive, and overflow errors, I decided
629. to do a virus check. I got Scan v.99, but found that every time I
630. downloaded it and tried to run it, I got a "damaged file" error. I
631. tried my roommates computer, and was able to download scan and run it
632. with no problems. I assumed I had some sort of virus, so I read the
633. scan info and tried to run scan off of a write-protected disk. Sure
634. enough, a disk access was attempted and I hit fail to try and continue
635. running scan. This seemed to work, but scan did not find any viruses
636. in memory or on my hard drive. I was screwing around on my roomates
637. computer and was transferring some of his files to one of my disks. I
638. ran scan again, and THIS time it told me that I had the "filler" virus
639. in memory and to run Clean on my roommates HD. However, I did not have
640. Clean, so I re-booted off a clean floppy that he had and I ran Scan
641. again. However, this time no problems were found. Yet, I started
642. getting the same errors on his computer that I had on mine. I got
643. Clean, but I did not have any success trying to get rid of the virus:
644. Scan won't find anything anymore and Clean is damaged even when I boot
645. off a clean floppy that has no autoexec or config.sys. I think both
646. our computers are infected, but I can't find a trace of the virus. We
647. both run stacker--does this make a difference? If anyone could provide
648. me with any info regarding the "filler" virus or of any better virus
649. killers out there I would greatly appreciate it -- I spent 3 hours
650. tonight screwing around on 2 computers and have had NO success.
651. Thanks, and please reply by e-mail if possible....  --
652.  
653. Send e-mail to: pmm34393@uxa.cso.uiuc.edu
654.  
655. ------------------------------
656.  
657. Date:    13 Jan 93 10:28:54 +0000
658. From:    duck@nuustak.csir.co.za (Paul Ducklin)
659. Subject: Re: Clash between FDISK/MBR and scanners (PC)
660.  
661. Thus spake padgett@tccslr.dnet.mmc.com (A. Padgett Peterson):
662.  
663. >ps It is my understanding (David ?) that OS/2 uses selection through a 
664. >   replacement of the DBR (OBR ?) *not* the MBR and requires a more complex
665. >   approach e.g. You boot. If the wrong OS comes up, you instruct a program
666. >   to replace the DBR with the correct one then you boot again. Hopefully
667. >   this time the correct OS comes up. Only IBM...
668.  
669. I think the idea in OS/2 is to allow the *same partition* to be
670. bootable into OS/2 or DOS. Clearly, changing the MBR won't help. I
671. have some code which lets me do the same kind of
672. same-partition-various-OSes with MS-DOS 3.30 and DR-DOS 6.0, which I
673. like to swap between. Rewriting the DBR is required...
674.  
675. Paul Ducklin
676.  
677. - -- 
678. - --..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--
679. Paul Ducklin                                       duck@nuustak.csir.co.za
680.  
681.   CSIR Computer Virus Research Lab * Box 395 * Pretoria * 0001 S Africa
682.  
683. ------------------------------
684.  
685. Date:    13 Jan 93 10:25:12 +0000
686. From:    duck@nuustak.csir.co.za (Paul Ducklin)
687. Subject: Re: Joshi Question (PC)
688.  
689. Thus spake bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev):
690.  
691. >This has created the myth that some viruses are able to survive a warm
692. >reboot. They cannot, or at least they cannot do this unnoticeably on
693. >most computers, but nevertheless you are always advised to cold-boot
694. >when you suspect a virus in memory...
695.  
696. A further excellent reason for using the Big Red Switch is to be found
697. in a virus such as Anticad -- here, the virus has certain phases of
698. operation in which a warm boot will trigger the virus' destructive
699. code.
700.  
701. The thing to remember is that Crtl-Alt-Del is merely a trappable
702. trigger for a "warm boot" [ie: one in which no memory check is
703. performed]. Any program can take over C-A-D as a hotkey for itself
704. [eg: SmartDrive, I gather, which does so to ensure it flushes its
705. write cache before allowing the reboot..], so *any* keyboard-based
706. reboot trigger should be assumed dangerous when you suspect a virus in
707. memory. Hit the button instead..
708.  
709. Paul Ducklin
710.  
711. - -- 
712. - --..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--..--
713. Paul Ducklin                                       duck@nuustak.csir.co.za
714.  
715.   CSIR Computer Virus Research Lab * Box 395 * Pretoria * 0001 S Africa
716.  
717. ------------------------------
718.  
719. Date:    Wed, 13 Jan 93 15:23:24 +0000
720. From:    antkow@sis.uucp (Chris Antkow)
721. Subject: New way of opeing files??? (PC)
722.  
723.  Apparently, there is a new way of opening files which some AV
724. Utilities don't catch. I've heard that the NuKE group is starting to
725. use function AX,6C00h/INT 21h to open files... Can anyone confirm the
726. use of this function and are there any AV programs that trap this
727. function?
728.  
729.     Chris
730.     antkow@eclipse.sheridanc.on.ca
731.  
732. ------------------------------
733.  
734. Date:    12 Jan 93 14:20:00 +0000
735. From:    bill.lambdin%acc1bbs@ssr.com (Bill Lambdin)
736. Subject: January LAT
737.  
738. Here is the January release of LAT (Lambdin's Accuracy Tests).
739.  
740. Bill
741. - --------------------------------------------------------------------------
742.                                   LAT 9301
743.  
744.  Product                    Total  Detected  Ratio   Flags
745.  +--------------------------------------------------------+
746.  | Virus Net 2.06B         | 715   | 709    | 99.2% | C   |
747.  | F-Prot 2.06a            | 715   | 708    | 99.0% | S   |
748.  | VIRx 2.6                | 715   | 705    | 98.6% | S   |
749.  |                         |       |        |       |     |
750.  | Scan 99                 | 715   | 697    | 97.5% | S   |
751.  | Integrity Master 1.31d  | 693   | 665    | 96.0% | DGS |
752.  | UT Scan 1.13            | 693   | 662    | 95.5% | CDG |
753.  |                         |       |        |       |     |
754.  | PC Scan                 | 715   | 660    | 92.3% |     |
755.  | WIN-Rx 1.0              | 715   | 586    | 81.9% | S   |
756.  | Virucide 2.37           | 693   | 529    | 76.3% | CD  |
757.  +--------------------------------------------------------+
758.  
759.       C- Commercial software
760.  
761.       D- This product does not scan for boot sector viruses
762.          inside droppers. I tried to be fair.
763.  
764.       G- Generic Virus detector. The other utilities with
765.          this product may detect viruses that this scanner
766.          misses, so don't judge this product too harshly
767.          because the scanner isn't as effective as you would
768.          like.
769.  
770.       S- Share Ware or Free Ware procuct.
771.  
772.  I removed I.M.S.I Virus Cure 2.24, CPAV 1.1, and Thunder
773.  Byte Anti-virus from my tests because new releases are
774.  available, and haven't received updates yet.
775.  
776.  I had hoped to test Search & Destroy From Fifth Generation
777.  Systems, but I haven't received it yet.
778.  
779.  ========================================================================
780.       I have tested the following generic products, and
781.       recommend them.
782.  
783.       Victor Charlie (Bangkok Security Associates)
784.       PC-Rx (Trend Micro Devices)
785.       Untouchable (Fifth Generation Systems)
786.       Integrity Master (Stiller Research)
787.       PC-cillin (Trend Micro Devices)
788.  ========================================================================
789.       I would like to thank most of these companies for
790.       providing me with evaluation copies of their
791.       software to test.
792.  ========================================================================
793.       These tests were performed on a 33 MHZ 486
794.  
795.                         Bill Lambdin
796.                         P.O. Box 577
797.                         East Bernstadt, Ky. 40729
798.  
799. [Moderator's note: Bill, would you please post a summary of your test
800. procedures and reasons for recommending or not recommending particular
801. products?]
802.  
803. - ---
804.  * WinQwk 2.0 a#383 * PLASTIQUE activates Sep 20 - Dec 31
805.  
806. ------------------------------
807.  
808. End of VIRUS-L Digest [Volume 6 Issue 8]
809. ****************************************
810.  
811.