home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / compress / 4349 < prev    next >
Encoding:
Text File  |  1993-01-05  |  4.1 KB  |  89 lines
  1. Newsgroups: comp.compression
  2. Path: sparky!uunet!mcsun!Germany.EU.net!rzsun2.informatik.uni-hamburg.de!fbihh!bontchev
  3. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  4. Subject: PKZ204C.EXE IS *NOT* INFECTED!!!
  5. Message-ID: <bontchev.726270248@fbihh>
  6. Sender: news@informatik.uni-hamburg.de (Mr. News)
  7. Reply-To: bontchev@fbihh.informatik.uni-hamburg.de
  8. Organization: Virus Test Center, University of Hamburg
  9. Date:  5 Jan 93 21:44:08 GMT
  10. Lines: 77
  11.  
  12. Hello, everybody!
  13.  
  14. A kind soul hellped me to get a copy of the much controversial file
  15. PKZ204C.EXE. This file is NOT on wuarchive, please stop trying. You
  16. are already exceeding the maximal number of simultaneous anonymous
  17. users that wuarchive is able to handle.
  18.  
  19. I analyzed the file carefully. I am a world-wide known computer virus
  20. expert, specialized in MS-DOS viruses, so I know what I am talking
  21. about. The executable mentioned above DOES *NOT* CONTAIN ANY VIRUSES!
  22. Please, stop spreading rumors. It is a self-extractable archive, which
  23. is further compressed with PKLite 1.20 (unless the new ZIP2EXE puts an
  24. already PKLited extractor automatically).
  25.  
  26. The archive indeed contains version 2.04c of PKZIP. I do not know
  27. whether this version is real, but I guarantee that it is -not- a hack
  28. of PKZIP 1.93 or Info-ZIP. For more information, contact PKWare. My
  29. personal oppinion is that the new version is real.
  30.  
  31. NONE OF THE EXECUTABLES IN THE ARCHIVE IS INFECTED!
  32.  
  33. The archive can be let to self-extract, but you can also unpack it
  34. with PKUNZIP 1.93 or unzip 5.0. If you unpack it with PKUNZIP 1.93, it
  35. reports -AV codes (did you know that the alpha version supports
  36. authentication?) but at the end it says that the archive fails the
  37. authentication check. Obviously, the authentication in 2.04c is
  38. different from that in 1.93, because PKUNZIP 2.04c says that the
  39. archive PKZ204C.EXE -does- have a correct authentication mark.
  40.  
  41. F-Prot 2.06a, when run in heuristic scan mode, reports that the files
  42. PKZ204C.EXE, PKUNZIP.EXE, PKZIPFIX.EXE and ZIPFIX.EXE are "suspicious,
  43. because they contain a self-modifying program, which may indicate a
  44. self-encrypting virus or just unusual code". This is PERFECTLY NORMAL,
  45. because all those EXE files are compressed with PKLite 1.20 and they
  46. -do- contain a self-modifying (in memory) program - the decompressor
  47. that unpacks them in memory. People who do not understand the
  48. capabilities and the limitations of heuristic scanning are STRONGLY
  49. advised not to use it and not to spread rumors.
  50.  
  51. No other scanner of those that I tried (about a dozen) reported
  52. anything else. I finally analyzed the files manually with a debugger
  53. AND THEY DO NOT CONTAIN ANY VIRUSES, LET ALONE MALTESE AMOEBA.
  54.  
  55. On the top of that EVEN A RECENT VERSION OF NORTON ANTI-VIRUS *DOES
  56. NOT* FIND *ANY* VIRUSES IN *ANY* OF THE EXECUTABLES. By "recent
  57. version" I mean NAV 2.1 with signature updates of December. I am
  58. afraid that the person who posted the initial alert is using an out-of
  59. date scanner.
  60.  
  61. Again, I am stating with my full authority that NONE OF THE
  62. EXECUTABLES IS INFECTED BY ANY VIRUS.
  63.  
  64. At last, just to be sure that we are speaking about one and the same
  65. thing, here are the checksums obtained with McAfee's program VALIDATE
  66. on the archive I checked. Please, don't pay attention to the date of
  67. last modification, because it got destroyed during the download.
  68.  
  69.           File Name:  PKZ204C.EXE
  70.                Size:  188,818
  71.                Date:  1-5-1993
  72. File Authentication:
  73.      Check Method 1 - 0DC8
  74.      Check Method 2 - 045E
  75.  
  76. Well, that's all. The moderator of wuarchive is welcome to put
  77. PKZ204C.EXE back on-line. If anybody has any other questions, feel
  78. free to ask. Just have in mind that I probably won't be able to answer
  79. before tomorrow, because it is almost midnight here, I am still in the
  80. office and my last bus to home leaves after half an hour... :-)
  81.  
  82. Regards,
  83. Vesselin
  84. -- 
  85. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  86. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  87. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  88. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  89.