home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / sys / ibm / pc / misc / 16373 < prev    next >
Encoding:
Text File  |  1993-01-06  |  7.0 KB  |  169 lines
  1. Newsgroups: comp.sys.ibm.pc.misc
  2. Path: sparky!uunet!zaphod.mps.ohio-state.edu!cs.utexas.edu!convex!constellation!a.cs.okstate.edu!worley
  3. From: worley@a.cs.okstate.edu (WORLEY LAWRENCE JA)
  4. Subject: Re: PKZip 3.05 VIRUS WARNING
  5. References: <1993Jan6.012822.14594@a.cs.okstate.edu>
  6. Message-ID: <1993Jan6.143545.24272@a.cs.okstate.edu>
  7. Organization: Oklahoma State University
  8. Date: Wed, 6 Jan 93 14:35:45 GMT
  9. Lines: 158
  10.  
  11. In response to the following letter I received about the Proto-T virus in
  12. PKZip 3.05, a gentleman from McAfee Assoc. sent the following response,
  13. saying that PKZip 3.05 is a HACK, but no self-replicating virus is embedded
  14. in it.  I have included the warning letter that he is refering to at the end
  15. of this post for convenience.
  16.  
  17. -Jason Worley
  18.  
  19. -----------------------------------------------------------------------------
  20. -----------------------------------------------------------------------------
  21.  
  22. Date: Wed, 6 Jan 93 00:18:29 -0800
  23. From: McAfee Associates <mcafee@netcom.com>
  24. Message-Id: <9301060818.AA06457@netcom.netcom.com>
  25. To: worley@a.cs.okstate.edu
  26. Subject: Re: PKZip 3.05 VIRUS WARNING
  27. Newsgroups: comp.sys.ibm.pc.misc
  28. In-Reply-To: <1993Jan6.012822.14594@a.cs.okstate.edu>
  29. References: <rdippold.726277941@cancun>
  30. Organization: McAfee Associates
  31. Cc:  
  32.  
  33.  
  34. Hello Mr. Worley,
  35.  
  36. The "PROTO-T" virus is a hoax.  
  37.  
  38. If you carefully read the message about the virus, you'll note that it
  39. says the virus infects video RAM, hard disk memory and modem buffers.
  40.  
  41.     When you change your video mode, you overwrite (clear) video 
  42. RAM, so any code stored there would get erased.  Hard disk memory does 
  43. not exist--unless one refers to caches on the hard disk itself or the
  44. controller--which are not addressable by the CPU.  The same goes for
  45. modem buffers.
  46.  
  47.     We have looked at numerous copies of the PKZ305.EXE cracked
  48. version of PKZIP/UNZIP and not found any replicating (viral) code in
  49. it.
  50.  
  51.     I would recommend that you ignore the message.
  52.  
  53. Regards,
  54.  
  55. Aryeh Goretsky
  56. Technical Support
  57. -- 
  58. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  59. McAfee Associates, Inc.  | Voice (408) 988-3832 | INTERNET:
  60. 3350 Scott Blvd, Bldg 14 | FAX   (408) 970-9727 | mcafee@netcom.COM
  61. Santa Clara, California  | BBS   (408) 988-4004 | CompuServe ID: 76702,1714
  62. 95054-3107  USA          | USR HST Courier DS   | or GO MCAFEE
  63. Support for SENTRY/SCAN/NETSCAN/VSHIELD/CLEAN/WSCAN/NETSHIELD/TARGET/CONFIG MGR
  64.  
  65. ------------------------------------------------------------------------------
  66. The following is the post Mr. Goretsky is refering to:
  67. ------------------------------------------------------------------------------
  68.  
  69.      This is an exact copy of a "Broadcast" letter sent to all members and
  70. affiliates of THIEVCO INC; a group located somewhere in the San Francisco Bay
  71. Area. While I do not support the general theology of Thievco Inc, I must
  72. applaud thier actions. Thier warnings about a new virus called PROTO-T, will
  73. potentially save us computer users possibly thousands of dollars - and
  74. hundreds of man hours.
  75.      Here is a copy of the broadcast letter, as received from a friend
  76. at Thievco ...
  77.  
  78.   <<*>>     <<*>>     <<*>>     <<*>>     <<*>>     <<*>>     <<*>>     <<*>>
  79.  
  80. Retrieved BLUWAV 6921 / THIEV 00621*420 - Node 1:8 Sent T-Tymnet
  81.  
  82.      Date    : 9/24/92 11:14pm
  83.      To      : All Thievco Members, and affil.
  84.      Re      : PROTO - T
  85.      Class   : Confidential (go public 9-26)
  86.  
  87.  
  88.      Dear Members,
  89.  
  90.      At 7:34PM (pst) our attempt to isolate and contain the PROTO - T
  91. virus failed. As we have discovered, PROTO - T has a *VERY* unique
  92. feature, to hide in the RAM of VGA cards, hard disks, and possibly,
  93. in modem buffers. Unfortunaly, we found out the hard way - after it struck.
  94. At this time, there is no known defence against this virus, save formatting
  95. your hard/floppy disks - there isn't even a method of detecting it yet...
  96. untill its too late. [ PROTO - T specs listed later ].
  97.      Unearthly Vision ( Portland, Oregon ), and Chron ( Alameda, Calif )
  98. were working on isolating the virus when it struck. Over 900 megabytes
  99. of information was lost, of that about 214 megabytes is probably recoverable.
  100.  
  101. Action :
  102.  
  103.      Please assist us in implementing this plan, to warn the general public.
  104. Our first priority is our fellow THIEVCO members. Please distribute this
  105. letter to all contacts inside the U.S., upon recipt of this letter.
  106. Please inform the public on 9-26-92. Start warning the elite boards first,
  107. followed by the P.D. boards. Dont bother telling known SPA locals, they aren't
  108. worth our time.
  109.  
  110.      Blue Boar - Distribute the warning in Southern California, start
  111. with L.A. first.
  112.      Chron     - Distribute to San Francisco, Sacramento, and south east coast.
  113.  
  114.      Garfield  - Distribute to Fido-Net, Vet-Net, Compuserve, and America
  115.                  Online.
  116.  
  117. Unearthly Vision - Distribute to Oregon, and Washington.
  118.  
  119.  Executioner   - Distribute to San Jose, Monterey.
  120.  
  121.  
  122. --=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=
  123.  
  124. What is known:
  125.  
  126.    Proto - T was just a rumor, untill it was confirmed a few weeks ago.
  127. Chron, being the most incredible skip-tracer, traced its origins to a
  128. college campus in California. There, it was placed into two files.
  129. The first, is a file called "TEMPLE" - which to our knowledge, has no
  130. legitimate use; it seems to be a dummy file. The other file, was
  131. placed in an unathorized version of PKZip by PKWare ( versions 3.0, and 3.1 -
  132. these are not legitimate versions of PKZip! Quite possibly, these versions
  133. of PKZip were created, for the reason of distributing PROTO - T ).
  134.  
  135.     Proto - T is very elusive. There is no program known to detect it.
  136. From what we understand, it will only infect your system if certian
  137. conditions are met. From what we know, it will infect your system only if
  138. you run TEMPLE, or PKZip 3.x after 6:00pm. Even doing that wont nessaraly
  139. cause infection - it took 6 days for Chron and Unearthly Vision to become
  140. infected. Obviously some other criteria must be met.
  141.     Upon infection, the virus is written (as un-attached file chains), On two
  142. parts of a hard disk - each capable of running independently without the
  143. other half.
  144.     After infection, the virus seems to be written into the memory or memory
  145. routines of a VGA or EGA monitor; or is written into the memory of the hard
  146. drive, or quite possibly, into a modem - or COM port. Thus excaping most or
  147. any known detection methods.
  148.  
  149. PROTO - T :
  150.  
  151.      Proto - T when activated, corrupts data on a disk, stops VGA or EGA
  152. from being used ( Thus either defaulting to CGA, or locking up ), and
  153. prohibits memory from being used over 512K.
  154.  
  155. Known to be put into two files : TEMPLE.EXE ( 14,771 Bytes ) and PKZip 3.x
  156. (Varries always over 100,000 bytes when zipped). If you see these files -
  157. do not get or use them.
  158.  
  159. Give this letter to all Thievco members and thier contacts, followed by
  160. other boards.
  161. With luck, we can stop the damage before it *REALLY* starts.
  162.  
  163.                                           THIEVCO INC, San Francisco Bay Area.
  164.  
  165.  
  166.  Special Thanks for Chron, Unearthly Vision, and Blue Boar for all thier
  167. help with this "Early warning" and tech help.
  168.  
  169.