home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / virus / 4890 < prev    next >
Encoding:
Internet Message Format  |  1993-01-12  |  2.6 KB
  1. Path: sparky!uunet!spool.mu.edu!howland.reston.ans.net!zaphod.mps.ohio-state.edu!cis.ohio-state.edu!news.sei.cmu.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: Jerusalem (Israeli) Virus (PC)
  5. Message-ID: <0014.9301121242.AA22066@barnabas.cert.org>
  6. Date: 7 Jan 93 13:22:52 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 46
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. bill.lambdin%acc1bbs@ssr.com (Bill Lambdin) writes:
  12.  
  13. > Jerusalem B is a file infector. It runs as a TSR, and will infect every 
  14. > executable file you run except for .COM files larger than 62K. I believe 
  15. > the virus is around 1800 bytes long.
  16.  
  17. First, there is not such thing as "Jerusalem B". Even SCAN does not
  18. call any virus like that anymore... The Jerusalem family of viruses
  19. contains many variants. You are probably speaking about the most
  20. widespread one, which is 1808+5 bytes long and infects EXE files
  21. multiple times (until they get too big to fit in memory).
  22.  
  23. > McAfee's Clean can remove this virus fairly easy to remove. It would be a 
  24.  
  25. Due to the infection method that this virus employs, it destroys EXE
  26. files with internal overlay structure (e.g., WordPerfect). Such files
  27. will crash when executed. They will still crash after disinfection,
  28. although McAfee's Clean does not warn you about that. If you have an
  29. outbreak of this virus, the best solution is to delete all infected
  30. files and to replace them with clean copies.
  31.  
  32. > very good idea to re-boot the computer from a known clean bootable 
  33. > diskette. If you don't have a clean bootable diskette, go ahead and type 
  34. > the following on the command line.
  35. >  
  36. > CLEAN C: [JERU]
  37. >  
  38. > after Clean gets finished, turn your computer off for a few seconds, then 
  39. > back on. The reason for this is that since Jerusalem-B runs as TSR. After 
  40. > the computer is clean, make a bootable diskette, then place a write 
  41. > protect tab on the notch. Then the next time you have another virus, you 
  42. > will be ready.
  43.  
  44. If he follows your advise literally, the "next time" he will run a
  45. CLEAN.EXE infected with the virus and will spread the infection again.
  46. The correct advice is to emphasize that at least the program CLEAN
  47. must be run from a write-protected diskette, if you are unable to boot
  48. from a clean environment...
  49.  
  50. Regards,
  51. Vesselin
  52. - -- 
  53. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  54. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  55. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  56. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  57.