home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / sys / ibm / pc / misc / 16359 < prev    next >
Encoding:
Text File  |  1993-01-06  |  5.4 KB  |  125 lines
  1. Newsgroups: comp.sys.ibm.pc.misc
  2. Path: sparky!uunet!paladin.american.edu!howland.reston.ans.net!usc!cs.utexas.edu!convex!constellation!a.cs.okstate.edu!worley
  3. From: worley@a.cs.okstate.edu (WORLEY LAWRENCE JA)
  4. Subject: PKZip 3.05 VIRUS WARNING
  5. References: <rdippold.726277941@cancun>
  6. Message-ID: <1993Jan6.012822.14594@a.cs.okstate.edu>
  7. Organization: Oklahoma State University
  8. Date: Wed, 6 Jan 93 01:28:22 GMT
  9. Lines: 114
  10.  
  11. Netters-
  12.   I have received many requests for this file, so here it is.  I received it
  13. approx. 10-15-92, and the source is supposedly somewhere on the internet.  I
  14. have heard many accounts of infected versions of PKZip, including the 2.04 and
  15. 3.05 (bogus version #).  Please read the following article, and beware of
  16. any PKZip 3.x that you come across.
  17.  
  18. -Jason Worley
  19.  
  20. =============================================================================
  21. ORIGINAL LETTER BEGINS HERE
  22. =============================================================================
  23.  
  24.  
  25.      This is an exact copy of a "Broadcast" letter sent to all members and
  26. affiliates of THIEVCO INC; a group located somewhere in the San Francisco Bay
  27. Area. While I do not support the general theology of Thievco Inc, I must
  28. applaud thier actions. Thier warnings about a new virus called PROTO-T, will
  29. potentially save us computer users possibly thousands of dollars - and
  30. hundreds of man hours.
  31.      Here is a copy of the broadcast letter, as received from a friend
  32. at Thievco ...
  33.  
  34.   <<*>>     <<*>>     <<*>>     <<*>>     <<*>>     <<*>>     <<*>>     <<*>>
  35.  
  36. Retrieved BLUWAV 6921 / THIEV 00621*420 - Node 1:8 Sent T-Tymnet
  37.  
  38.      Date    : 9/24/92 11:14pm
  39.      To      : All Thievco Members, and affil.
  40.      Re      : PROTO - T
  41.      Class   : Confidential (go public 9-26)
  42.  
  43.  
  44.      Dear Members,
  45.  
  46.      At 7:34PM (pst) our attempt to isolate and contain the PROTO - T
  47. virus failed. As we have discovered, PROTO - T has a *VERY* unique
  48. feature, to hide in the RAM of VGA cards, hard disks, and possibly,
  49. in modem buffers. Unfortunaly, we found out the hard way - after it struck.
  50. At this time, there is no known defence against this virus, save formatting
  51. your hard/floppy disks - there isn't even a method of detecting it yet...
  52. untill its too late. [ PROTO - T specs listed later ].
  53.      Unearthly Vision ( Portland, Oregon ), and Chron ( Alameda, Calif )
  54. were working on isolating the virus when it struck. Over 900 megabytes
  55. of information was lost, of that about 214 megabytes is probably recoverable.
  56.  
  57. Action :
  58.  
  59.      Please assist us in implementing this plan, to warn the general public.
  60. Our first priority is our fellow THIEVCO members. Please distribute this
  61. letter to all contacts inside the U.S., upon recipt of this letter.
  62. Please inform the public on 9-26-92. Start warning the elite boards first,
  63. followed by the P.D. boards. Dont bother telling known SPA locals, they aren't
  64. worth our time.
  65.  
  66.      Blue Boar - Distribute the warning in Southern California, start
  67. with L.A. first.
  68.      Chron     - Distribute to San Francisco, Sacramento, and south east coast.
  69.  
  70.      Garfield  - Distribute to Fido-Net, Vet-Net, Compuserve, and America
  71.                  Online.
  72.  
  73. Unearthly Vision - Distribute to Oregon, and Washington.
  74.  
  75.  Executioner   - Distribute to San Jose, Monterey.
  76.  
  77.  
  78. --=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=
  79.  
  80. What is known:
  81.  
  82.    Proto - T was just a rumor, untill it was confirmed a few weeks ago.
  83. Chron, being the most incredible skip-tracer, traced its origins to a
  84. college campus in California. There, it was placed into two files.
  85. The first, is a file called "TEMPLE" - which to our knowledge, has no
  86. legitimate use; it seems to be a dummy file. The other file, was
  87. placed in an unathorized version of PKZip by PKWare ( versions 3.0, and 3.1 -
  88. these are not legitimate versions of PKZip! Quite possibly, these versions
  89. of PKZip were created, for the reason of distributing PROTO - T ).
  90.  
  91.     Proto - T is very elusive. There is no program known to detect it.
  92. From what we understand, it will only infect your system if certian
  93. conditions are met. From what we know, it will infect your system only if
  94. you run TEMPLE, or PKZip 3.x after 6:00pm. Even doing that wont nessaraly
  95. cause infection - it took 6 days for Chron and Unearthly Vision to become
  96. infected. Obviously some other criteria must be met.
  97.     Upon infection, the virus is written (as un-attached file chains), On two
  98. parts of a hard disk - each capable of running independently without the
  99. other half.
  100.     After infection, the virus seems to be written into the memory or memory
  101. routines of a VGA or EGA monitor; or is written into the memory of the hard
  102. drive, or quite possibly, into a modem - or COM port. Thus excaping most or
  103. any known detection methods.
  104.  
  105. PROTO - T :
  106.  
  107.      Proto - T when activated, corrupts data on a disk, stops VGA or EGA
  108. from being used ( Thus either defaulting to CGA, or locking up ), and
  109. prohibits memory from being used over 512K.
  110.  
  111. Known to be put into two files : TEMPLE.EXE ( 14,771 Bytes ) and PKZip 3.x
  112. (Varries always over 100,000 bytes when zipped). If you see these files -
  113. do not get or use them.
  114.  
  115. Give this letter to all Thievco members and thier contacts, followed by
  116. other boards.
  117. With luck, we can stop the damage before it *REALLY* starts.
  118.  
  119.                                           THIEVCO INC, San Francisco Bay Area.
  120.  
  121.  
  122.  Special Thanks for Chron, Unearthly Vision, and Blue Boar for all thier
  123. help with this "Early warning" and tech help.
  124.  
  125.