home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #20 / NN_1992_20.iso / spool / comp / sys / acorn / 8657 < prev    next >
Encoding:
Internet Message Format  |  1992-09-14  |  3.3 KB
  1. Path: sparky!uunet!mcsun!uknet!acorn!aglover
  2. From: aglover@acorn.co.uk (Alan Glover)
  3. Newsgroups: comp.sys.acorn
  4. Subject: Re: Viruses (again...)
  5. Message-ID: <18584@acorn.co.uk>
  6. Date: 15 Sep 92 08:08:28 GMT
  7. References: <92258.223421RFRANCIS@ESTEC.BITNET>
  8. Sender: aglover@acorn.co.uk
  9. Organization: Acorn Computers Ltd, Cambridge, England
  10. Lines: 70
  11.  
  12. In article <92258.223421RFRANCIS@ESTEC.BITNET> RFRANCIS@ESTEC.BITNET (C R Francis) writes:
  13.  
  14. >OK, I admit it, I didn't read any of the recent postings about viruses,
  15. >as I haven't got any (or so I thought...).
  16. >
  17. >So, this evening I switch on...
  18. >... and there's this anoying message whenever a !boot or
  19. >!run file is activated.  Something about being 'a friendly virus'
  20. >(whatever that is), to be careful using illeagal software, and a
  21. >generation number of 17 or 18.
  22. >
  23. >Oh yes, and now some applications freeze up, even _ones I've written
  24. >myself_.  That really annoys me -- how can I develop applications
  25. >when the thing freezes up?
  26. >
  27. >And I haven't even got any illegal software.
  28. >
  29. >So, what can I do about it?
  30.  
  31. You are one of the many, many people who has -just- discovered that
  32. you have the Module virus, and have probably had it since early this
  33. year.
  34.  
  35. The virus first came to light late last year, and since then has been
  36. spread in any number of ways including Archimedes World (Feb '92),
  37. Micro User (Apr '92), Orion IDE card EPROMS (V1.06 and V1.07 I
  38. believe), several commercial programs and I don't want to know how
  39. many PD/ShareWare programs. In short - it's spread so successfully
  40. that very few people will have got it from illegally obtained
  41. software.
  42.  
  43. The message is only displayed after 6th Sept 1992 - which is why most
  44. people have been unaware of it until then. Despite the message content
  45. it is still there, and still active.
  46.  
  47. It infects modules by appending about 1K of code and modifying the
  48. entry offsets in the module header to pass through the viral code and
  49. then back to the original code. This will upset any program which
  50. relies upon the module being of known length, and will also upset some
  51. kinds of protected discs (since saving to them disrupts the protection
  52. leaving the disc unusable). A quick check for infection is to see if
  53.  
  54. i) the datestamps on the modules have been changed, and
  55.  
  56. ii) loading the module into !edit reveals a string 'Press any key to
  57. continue' in the last page or so of the module.
  58.  
  59. There are several ways of removing it, but in all cases a program of
  60. some kind is needed.
  61.  
  62. Archimedes World Mar '92 contained two small programs intended
  63. specifically for this virus. They have also been posted to c.b.a (a
  64. long time back - have you access to an archive site ?).
  65.  
  66. !Scanner can detect it from version 1.14 and remove it from version
  67. 1.46. !Scanner is available from Tor Houghton, Fjellveien 4, PO Box
  68. 142, 1361 Billingstad, NORWAY and 'costs' three floppy discs.
  69.  
  70. !Killer can detect it from version 1.17 and remove it from version
  71. 1.26. !Killer is available from Pineapple Software, Tel: 081 599 1476
  72. and costs 24 pounds ex-VAT for an annual subscription including
  73. updates.
  74.  
  75. !Hunter version 1.00 and !Guardian version ?.?? can also detect and
  76. remove it. !Hunter can be found on BBSs and PD libraries, !Guardian
  77. can be found in a similar manner, or obtained directly from the
  78. author, Paul Vigay on his own BBS (which I think is still going) 0705
  79. 871531 (Viewdata, 7E1).
  80.  
  81. Alan
  82.