home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / virus / 4860 < prev    next >
Encoding:
Internet Message Format  |  1993-01-07  |  3.1 KB
  1. Path: sparky!uunet!think.com!yale.edu!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: False positive in the new PKZIP (PC)
  5. Message-ID: <0011.9301071651.AA16031@barnabas.cert.org>
  6. Date: 6 Jan 93 21:03:27 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 61
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. Hello, everybody!
  12.  
  13. As most MS-DOS users probably know, the very popular archiver PKZIP
  14. from PKWare Inc. has not been updated from version 1.10 since about
  15. two years. The new version was in "about to be released final
  16. beta-test" during more than a year. This, of course, caused a lot of
  17. bogus, hacked, or trojanized versions to be released by malicious
  18. people to fool the legitimate users. The number of hacks is probably
  19. above 10.
  20.  
  21. A few days ago, PKWare finally decided to release a new version of
  22. their archiver, called 2.04c. Regardless of the long developpment
  23. period, the program turned out to contain a few minor bugs and even
  24. errors in the documentation. But this is not so interesting from the
  25. computer virus point of view... :-)
  26.  
  27. What is interesting is that somebody used an out-of-date version of
  28. Symantec's Norton Anti-Virus to scan the new archiver. It seems that
  29. this version causes a false positive - the program is flagged as
  30. infected by Maltese Amoeba. The confusion is increased by the fact
  31. that all executables in the package are self-compressed with PKLite
  32. 1.20. This caused the heuristic scanner of F-Prot to report that those
  33. files are suspicious, because they contain a program that modifies
  34. itself in memory (of course - the decompressor unpacks the compressed
  35. code) - something often used by viruses.
  36.  
  37. As a result, a major hoax was started; the archiver was several times
  38. uploaded and deleted at wuarchive.wustl.edu; and the number of
  39. messages about that in comp.compression is reaching the record caused
  40. by the famous posting that informed about the claims of a company to
  41. produce an archiver which is able to achive compression rate of 16:1
  42. for any file... :-)
  43.  
  44. I obtained a copy of the new version of PKZIP, examined it manually
  45. with a debugger, and scanned it with about a dozen scanners. The
  46. result is that NONE OF THE EXECUTABLE FILES IS INFECTED. Even a recent
  47. version of NAV (2.1 with signature updates of December) does not
  48. report the false positive any more. PKWare has confirmed that this is
  49. a "real" version.
  50.  
  51. So, please done's pay attention to the rumors, if they reach you. The
  52. VALIDATE codes of the self-unpacking archive containing the new
  53. version of PKZIP is:
  54.  
  55.           File Name:  PKZ204C.EXE
  56.                Size:  188,818
  57.                Date:  1-5-1993
  58. File Authentication:
  59.      Check Method 1 - 0DC8
  60.      Check Method 2 - 045E
  61.  
  62. The actual Date: field may be different; it was destroyed while I was
  63. downloading the file.
  64.  
  65. Regards,
  66. Vesselin
  67. - -- 
  68. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  69. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  70. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  71. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  72.