home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / sys / ibm / pc / hardware / 34886 < prev    next >
Encoding:
Text File  |  1993-01-06  |  5.5 KB  |  126 lines
  1. Newsgroups: comp.sys.ibm.pc.hardware
  2. Path: sparky!uunet!paladin.american.edu!howland.reston.ans.net!usc!cs.utexas.edu!convex!constellation!a.cs.okstate.edu!worley
  3. From: worley@a.cs.okstate.edu (WORLEY LAWRENCE JA)
  4. Subject: PKZip 3.05 VIRUS WARNING
  5. References: <1id8dtINNqbd@usenet.INS.CWRU.Edu>
  6. Message-ID: <1993Jan6.012538.14523@a.cs.okstate.edu>
  7. Organization: Oklahoma State University
  8. Date: Wed, 6 Jan 93 01:25:38 GMT
  9. Lines: 115
  10.  
  11. Netters-
  12.   I know this is the wrong group for this, but I have received enough
  13. requests to re-post this letter that I feel it is worth spending the 
  14. bandwidth on.  This is a re-post of a letter sent to me on approx. 10-15-92
  15. concerning an infected copy of PKZip 3.05 (a bogus version).  I have heard
  16. more recent accounts of this program causing serious problems.  Please read
  17. the following, and beware of any PKZip 3.x that you come across.
  18.  
  19. -Jason Worley
  20.  
  21. ============================================================================
  22. ORIGINAL LETTER BEGINS HERE
  23. ============================================================================
  24.  
  25.  
  26.      This is an exact copy of a "Broadcast" letter sent to all members and
  27. affiliates of THIEVCO INC; a group located somewhere in the San Francisco Bay
  28. Area. While I do not support the general theology of Thievco Inc, I must
  29. applaud thier actions. Thier warnings about a new virus called PROTO-T, will
  30. potentially save us computer users possibly thousands of dollars - and
  31. hundreds of man hours.
  32.      Here is a copy of the broadcast letter, as received from a friend
  33. at Thievco ...
  34.  
  35.   <<*>>     <<*>>     <<*>>     <<*>>     <<*>>     <<*>>     <<*>>     <<*>>
  36.  
  37. Retrieved BLUWAV 6921 / THIEV 00621*420 - Node 1:8 Sent T-Tymnet
  38.  
  39.      Date    : 9/24/92 11:14pm
  40.      To      : All Thievco Members, and affil.
  41.      Re      : PROTO - T
  42.      Class   : Confidential (go public 9-26)
  43.  
  44.  
  45.      Dear Members,
  46.  
  47.      At 7:34PM (pst) our attempt to isolate and contain the PROTO - T
  48. virus failed. As we have discovered, PROTO - T has a *VERY* unique
  49. feature, to hide in the RAM of VGA cards, hard disks, and possibly,
  50. in modem buffers. Unfortunaly, we found out the hard way - after it struck.
  51. At this time, there is no known defence against this virus, save formatting
  52. your hard/floppy disks - there isn't even a method of detecting it yet...
  53. untill its too late. [ PROTO - T specs listed later ].
  54.      Unearthly Vision ( Portland, Oregon ), and Chron ( Alameda, Calif )
  55. were working on isolating the virus when it struck. Over 900 megabytes
  56. of information was lost, of that about 214 megabytes is probably recoverable.
  57.  
  58. Action :
  59.  
  60.      Please assist us in implementing this plan, to warn the general public.
  61. Our first priority is our fellow THIEVCO members. Please distribute this
  62. letter to all contacts inside the U.S., upon recipt of this letter.
  63. Please inform the public on 9-26-92. Start warning the elite boards first,
  64. followed by the P.D. boards. Dont bother telling known SPA locals, they aren't
  65. worth our time.
  66.  
  67.      Blue Boar - Distribute the warning in Southern California, start
  68. with L.A. first.
  69.      Chron     - Distribute to San Francisco, Sacramento, and south east coast.
  70.  
  71.      Garfield  - Distribute to Fido-Net, Vet-Net, Compuserve, and America
  72.                  Online.
  73.  
  74. Unearthly Vision - Distribute to Oregon, and Washington.
  75.  
  76.  Executioner   - Distribute to San Jose, Monterey.
  77.  
  78.  
  79. --=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=
  80.  
  81. What is known:
  82.  
  83.    Proto - T was just a rumor, untill it was confirmed a few weeks ago.
  84. Chron, being the most incredible skip-tracer, traced its origins to a
  85. college campus in California. There, it was placed into two files.
  86. The first, is a file called "TEMPLE" - which to our knowledge, has no
  87. legitimate use; it seems to be a dummy file. The other file, was
  88. placed in an unathorized version of PKZip by PKWare ( versions 3.0, and 3.1 -
  89. these are not legitimate versions of PKZip! Quite possibly, these versions
  90. of PKZip were created, for the reason of distributing PROTO - T ).
  91.  
  92.     Proto - T is very elusive. There is no program known to detect it.
  93. From what we understand, it will only infect your system if certian
  94. conditions are met. From what we know, it will infect your system only if
  95. you run TEMPLE, or PKZip 3.x after 6:00pm. Even doing that wont nessaraly
  96. cause infection - it took 6 days for Chron and Unearthly Vision to become
  97. infected. Obviously some other criteria must be met.
  98.     Upon infection, the virus is written (as un-attached file chains), On two
  99. parts of a hard disk - each capable of running independently without the
  100. other half.
  101.     After infection, the virus seems to be written into the memory or memory
  102. routines of a VGA or EGA monitor; or is written into the memory of the hard
  103. drive, or quite possibly, into a modem - or COM port. Thus excaping most or
  104. any known detection methods.
  105.  
  106. PROTO - T :
  107.  
  108.      Proto - T when activated, corrupts data on a disk, stops VGA or EGA
  109. from being used ( Thus either defaulting to CGA, or locking up ), and
  110. prohibits memory from being used over 512K.
  111.  
  112. Known to be put into two files : TEMPLE.EXE ( 14,771 Bytes ) and PKZip 3.x
  113. (Varries always over 100,000 bytes when zipped). If you see these files -
  114. do not get or use them.
  115.  
  116. Give this letter to all Thievco members and thier contacts, followed by
  117. other boards.
  118. With luck, we can stop the damage before it *REALLY* starts.
  119.  
  120.                                           THIEVCO INC, San Francisco Bay Area.
  121.  
  122.  
  123.  Special Thanks for Chron, Unearthly Vision, and Blue Boar for all thier
  124. help with this "Early warning" and tech help.
  125.  
  126.