home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / os / msdos / misc / 6864 < prev    next >
Encoding:
Text File  |  1993-01-06  |  5.5 KB  |  128 lines
  1. Newsgroups: comp.os.msdos.misc
  2. Path: sparky!uunet!paladin.american.edu!howland.reston.ans.net!usc!cs.utexas.edu!convex!constellation!a.cs.okstate.edu!worley
  3. From: worley@a.cs.okstate.edu (WORLEY LAWRENCE JA)
  4. Subject: PKZip 3.05 VIRUS LETTER FROM LAST FALL 
  5. References: <1993Jan5.234132.23313@cis.ohio-state.edu>
  6. Message-ID: <1993Jan6.012200.14430@a.cs.okstate.edu>
  7. Organization: Oklahoma State University
  8. Date: Wed, 6 Jan 93 01:22:00 GMT
  9. Lines: 117
  10.  
  11.  
  12. Netters-
  13.   I have received several requests for me to post this.  It is a copy of
  14. some e-mail I received on approximately 10-15-92.  I circulated a few copies
  15. around at the time, and most people regarded it as a hoax.  It is now
  16. apparent that it is not a hoax, and that indeed a PKZip 3.05 hacked version
  17. is circulating.  Whether it is infected with the Proto-T virus, or any other
  18. virus, is unknown to me.  However, I have seen many recent posts to this 
  19. effect, so beware.
  20.  
  21. -Jason Worley
  22.  
  23. ============================================================================
  24. BEGINNING OF ORIGINAL LETTER
  25. ============================================================================
  26.  
  27.  
  28.      This is an exact copy of a "Broadcast" letter sent to all members and
  29. affiliates of THIEVCO INC; a group located somewhere in the San Francisco Bay
  30. Area. While I do not support the general theology of Thievco Inc, I must
  31. applaud thier actions. Thier warnings about a new virus called PROTO-T, will
  32. potentially save us computer users possibly thousands of dollars - and
  33. hundreds of man hours.
  34.      Here is a copy of the broadcast letter, as received from a friend
  35. at Thievco ...
  36.  
  37.   <<*>>     <<*>>     <<*>>     <<*>>     <<*>>     <<*>>     <<*>>     <<*>>
  38.  
  39. Retrieved BLUWAV 6921 / THIEV 00621*420 - Node 1:8 Sent T-Tymnet
  40.  
  41.      Date    : 9/24/92 11:14pm
  42.      To      : All Thievco Members, and affil.
  43.      Re      : PROTO - T
  44.      Class   : Confidential (go public 9-26)
  45.  
  46.  
  47.      Dear Members,
  48.  
  49.      At 7:34PM (pst) our attempt to isolate and contain the PROTO - T
  50. virus failed. As we have discovered, PROTO - T has a *VERY* unique
  51. feature, to hide in the RAM of VGA cards, hard disks, and possibly,
  52. in modem buffers. Unfortunaly, we found out the hard way - after it struck.
  53. At this time, there is no known defence against this virus, save formatting
  54. your hard/floppy disks - there isn't even a method of detecting it yet...
  55. untill its too late. [ PROTO - T specs listed later ].
  56.      Unearthly Vision ( Portland, Oregon ), and Chron ( Alameda, Calif )
  57. were working on isolating the virus when it struck. Over 900 megabytes
  58. of information was lost, of that about 214 megabytes is probably recoverable.
  59.  
  60. Action :
  61.  
  62.      Please assist us in implementing this plan, to warn the general public.
  63. Our first priority is our fellow THIEVCO members. Please distribute this
  64. letter to all contacts inside the U.S., upon recipt of this letter.
  65. Please inform the public on 9-26-92. Start warning the elite boards first,
  66. followed by the P.D. boards. Dont bother telling known SPA locals, they aren't
  67. worth our time.
  68.  
  69.      Blue Boar - Distribute the warning in Southern California, start
  70. with L.A. first.
  71.      Chron     - Distribute to San Francisco, Sacramento, and south east coast.
  72.  
  73.      Garfield  - Distribute to Fido-Net, Vet-Net, Compuserve, and America
  74.                  Online.
  75.  
  76. Unearthly Vision - Distribute to Oregon, and Washington.
  77.  
  78.  Executioner   - Distribute to San Jose, Monterey.
  79.  
  80.  
  81. --=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=
  82.  
  83. What is known:
  84.  
  85.    Proto - T was just a rumor, untill it was confirmed a few weeks ago.
  86. Chron, being the most incredible skip-tracer, traced its origins to a
  87. college campus in California. There, it was placed into two files.
  88. The first, is a file called "TEMPLE" - which to our knowledge, has no
  89. legitimate use; it seems to be a dummy file. The other file, was
  90. placed in an unathorized version of PKZip by PKWare ( versions 3.0, and 3.1 -
  91. these are not legitimate versions of PKZip! Quite possibly, these versions
  92. of PKZip were created, for the reason of distributing PROTO - T ).
  93.  
  94.     Proto - T is very elusive. There is no program known to detect it.
  95. From what we understand, it will only infect your system if certian
  96. conditions are met. From what we know, it will infect your system only if
  97. you run TEMPLE, or PKZip 3.x after 6:00pm. Even doing that wont nessaraly
  98. cause infection - it took 6 days for Chron and Unearthly Vision to become
  99. infected. Obviously some other criteria must be met.
  100.     Upon infection, the virus is written (as un-attached file chains), On two
  101. parts of a hard disk - each capable of running independently without the
  102. other half.
  103.     After infection, the virus seems to be written into the memory or memory
  104. routines of a VGA or EGA monitor; or is written into the memory of the hard
  105. drive, or quite possibly, into a modem - or COM port. Thus excaping most or
  106. any known detection methods.
  107.  
  108. PROTO - T :
  109.  
  110.      Proto - T when activated, corrupts data on a disk, stops VGA or EGA
  111. from being used ( Thus either defaulting to CGA, or locking up ), and
  112. prohibits memory from being used over 512K.
  113.  
  114. Known to be put into two files : TEMPLE.EXE ( 14,771 Bytes ) and PKZip 3.x
  115. (Varries always over 100,000 bytes when zipped). If you see these files -
  116. do not get or use them.
  117.  
  118. Give this letter to all Thievco members and thier contacts, followed by
  119. other boards.
  120. With luck, we can stop the damage before it *REALLY* starts.
  121.  
  122.                                           THIEVCO INC, San Francisco Bay Area.
  123.  
  124.  
  125.  Special Thanks for Chron, Unearthly Vision, and Blue Boar for all thier
  126. help with this "Early warning" and tech help.
  127.  
  128.