home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / virus / 4865 < prev    next >
Encoding:
Internet Message Format  |  1993-01-07  |  2.2 KB
  1. Path: sparky!uunet!think.com!yale.edu!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: riordan@tmxmelb.mhs.oz.au (Roger Riordan)
  3. Newsgroups: comp.virus
  4. Subject: Clearing out old signatures (PC)
  5. Message-ID: <0016.9301071651.AA16031@barnabas.cert.org>
  6. Date: 7 Jan 93 01:34:25 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 40
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. padgett@tccslr.dnet.mmc.com (A. Padgett Peterson) wrote recently
  12.  
  13. > Enclosed is a DEBUG script that will create a 68 byte .COM file
  14. > (CLEAR.COM) that will zero out memory between the current load
  15. > position and the TOM. To use, ...
  16.  
  17. The only trouble with this is there is a surprising amount of 
  18. software which leaves active code in memory, but does not bother to 
  19. tell DOS.   
  20.  
  21. To guard against possible unknown viruses like to Chinese Fish, 
  22. which install themselves in high memory, but do not set the top of 
  23. memory down, we recently added a feature to VET to fill unused 
  24. memory with a diagnostic procedure which gives a warning message, 
  25. and locks the PC, if anything attempts to execute unused memory.  So 
  26. if you run VET, and an unknown virus of this type is already in 
  27. memory, you get the warning as soon as VET calls an interrupt the 
  28. virus has trapped.
  29.  
  30. Ahh! Another loophole closed!  Unfortunately a big customer 
  31. immediately complained some users could no longer log in.  
  32.  
  33. We investigated, & found that they were using Microsoft Lan Manager.  
  34. When PROTMAN was run from CONFIG.SYS a block of code was installed 
  35. at 7000:7800, but top of memory (as recorded at offset 2 in the PSP) 
  36. remained 9FFF:0000.  If this code was overwritten by running VET (or 
  37. anything else) before the user logged in, the system would crash 
  38. when the program NBP.EXE was run as part of the log in procedure.
  39.  
  40. We sent details of this to MicroSoft Support, but, naturally, never 
  41. received any reply.
  42.  
  43. We added an option to VET to disable this feature.  A significant no. 
  44. of users have encountered similar problems.  Most have been using 
  45. Lan Manager, but other programs may also have been involved.
  46.  
  47. Roger Riordan                     riordan.cybec@tmxmelb.mhs.oz.au
  48.  
  49. CYBEC Pty Ltd.                                 Tel: +613 521 0655
  50. PO Box 205, Hampton Vic 3188   AUSTRALIA       Fax: +613 521 0727
  51.