home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / sys / ibm / pc / misc / 16358 < prev    next >
Encoding:
Text File  |  1993-01-06  |  4.6 KB  |  105 lines
  1. Newsgroups: comp.sys.ibm.pc.misc
  2. Path: sparky!uunet!cs.utexas.edu!uwm.edu!linac!att!cbnewsm!cbnewsl!att-out!walter!qualcom.qualcomm.com!cancun!rdippold
  3. From: rdippold@cancun.qualcomm.com (Ron Dippold)
  4. Subject: Re: PKZIP 2.04c Uploaded to wuarchive
  5. Message-ID: <rdippold.726277941@cancun>
  6. Sender: news@qualcomm.com
  7. Nntp-Posting-Host: cancun.qualcomm.com
  8. Organization: Qualcomm, Inc., San Diego, CA
  9. References: <rdippold.726230390@cancun> <1993Jan5.173246.4926@netcom.com> <1993Jan5.230148.10970@trl.oz.au>
  10. Date: Tue, 5 Jan 1993 23:52:21 GMT
  11. Lines: 92
  12.  
  13. Okay, here we go, this is not from me, it's from another person who's
  14. looked at PKZip 2.04c.  You'll excuse me if I'm feeling a bit
  15. defensive right now, you should see my mail!   "Hacker playing a silly
  16. trick to spread a virus..." and all that crap.  All because Norton AV
  17. 2.0 is screwed up (and 2.1 isn't, read on). I will continue to upload
  18. pkz204c.exe to wuarchive every now and then until whoever is deleting
  19. it gets the message.
  20.  
  21. [Start quote]
  22.  
  23. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  24. Subject: PKZ204C.EXE IS *NOT* INFECTED!!!
  25. Message-ID: <bontchev.726270248@fbihh>
  26. Organization: Virus Test Center, University of Hamburg
  27. Date:  5 Jan 93 21:44:08 GMT
  28.  
  29. Hello, everybody!
  30.  
  31. A kind soul hellped me to get a copy of the much controversial file
  32. PKZ204C.EXE. This file is NOT on wuarchive, please stop trying. You
  33. are already exceeding the maximal number of simultaneous anonymous
  34. users that wuarchive is able to handle.
  35.  
  36. I analyzed the file carefully. I am a world-wide known computer virus
  37. expert, specialized in MS-DOS viruses, so I know what I am talking
  38. about. The executable mentioned above DOES *NOT* CONTAIN ANY VIRUSES!
  39. Please, stop spreading rumors. It is a self-extractable archive, which
  40. is further compressed with PKLite 1.20 (unless the new ZIP2EXE puts an
  41. already PKLited extractor automatically).
  42.  
  43. The archive indeed contains version 2.04c of PKZIP. I do not know
  44. whether this version is real, but I guarantee that it is -not- a hack
  45. of PKZIP 1.93 or Info-ZIP. For more information, contact PKWare. My
  46. personal oppinion is that the new version is real.
  47.  
  48. NONE OF THE EXECUTABLES IN THE ARCHIVE IS INFECTED!
  49.  
  50. The archive can be let to self-extract, but you can also unpack it
  51. with PKUNZIP 1.93 or unzip 5.0. If you unpack it with PKUNZIP 1.93, it
  52. reports -AV codes (did you know that the alpha version supports
  53. authentication?) but at the end it says that the archive fails the
  54. authentication check. Obviously, the authentication in 2.04c is
  55. different from that in 1.93, because PKUNZIP 2.04c says that the
  56. archive PKZ204C.EXE -does- have a correct authentication mark.
  57.  
  58. F-Prot 2.06a, when run in heuristic scan mode, reports that the files
  59. PKZ204C.EXE, PKUNZIP.EXE, PKZIPFIX.EXE and ZIPFIX.EXE are "suspicious,
  60. because they contain a self-modifying program, which may indicate a
  61. self-encrypting virus or just unusual code". This is PERFECTLY NORMAL,
  62. because all those EXE files are compressed with PKLite 1.20 and they
  63. -do- contain a self-modifying (in memory) program - the decompressor
  64. that unpacks them in memory. People who do not understand the
  65. capabilities and the limitations of heuristic scanning are STRONGLY
  66. advised not to use it and not to spread rumors.
  67.  
  68. No other scanner of those that I tried (about a dozen) reported
  69. anything else. I finally analyzed the files manually with a debugger
  70. AND THEY DO NOT CONTAIN ANY VIRUSES, LET ALONE MALTESE AMOEBA.
  71.  
  72. On the top of that EVEN A RECENT VERSION OF NORTON ANTI-VIRUS *DOES
  73. NOT* FIND *ANY* VIRUSES IN *ANY* OF THE EXECUTABLES. By "recent
  74. version" I mean NAV 2.1 with signature updates of December. I am
  75. afraid that the person who posted the initial alert is using an out-of
  76. date scanner.
  77.  
  78. Again, I am stating with my full authority that NONE OF THE
  79. EXECUTABLES IS INFECTED BY ANY VIRUS.
  80.  
  81. At last, just to be sure that we are speaking about one and the same
  82. thing, here are the checksums obtained with McAfee's program VALIDATE
  83. on the archive I checked. Please, don't pay attention to the date of
  84. last modification, because it got destroyed during the download.
  85.  
  86.           File Name:  PKZ204C.EXE
  87.                Size:  188,818
  88.                Date:  1-5-1993
  89. File Authentication:
  90.      Check Method 1 - 0DC8
  91.      Check Method 2 - 045E
  92.  
  93. Well, that's all. The moderator of wuarchive is welcome to put
  94. PKZ204C.EXE back on-line. If anybody has any other questions, feel
  95. free to ask. Just have in mind that I probably won't be able to answer
  96. before tomorrow, because it is almost midnight here, I am still in the
  97. office and my last bus to home leaves after half an hour... :-)
  98.  
  99. Regards,
  100. Vesselin
  101.  
  102. [ end quote ]
  103. -- 
  104. A chiseler is a man who goes stag to a wife-swapping party.
  105.