home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4187 < prev    next >
Encoding:
Internet Message Format  |  1992-11-09  |  2.6 KB
  1. Path: sparky!uunet!ukma!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: KEY Press virus & McAfee v97 (PC)
  5. Message-ID: <0004.9211091912.AA05064@barnabas.cert.org>
  6. Date: 2 Nov 92 14:13:47 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 47
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. mcafee@netcom.com (McAfee Associates) writes:
  12.  
  13. > We've reproduced the problem of SCAN reporting a variant of the
  14. > KeyPress virus multiple times in a file and will be fixing this in a
  15. > subsequent version of SCAN.
  16.  
  17. While you are at it, please also have in mind that:
  18.  
  19. BetaBoys.Rattle is reported as Rattle [Rttl] and Mexican [Mex];
  20. Burger.* are reported as Burger [Burger] and FamilyQ [FQ];
  21. Cascade.1701.D is reported as JoJo [JoJo] and Yap [Yap];
  22. Crew.* (except Crew.1.C) are reported as Crew-2480 [2480] and FamilyM [FM];
  23. FaxFree.Topo is reported as Lamer [Lam] and Topo [Topo];
  24. Happy_New_Year.1600 is reported as Happy N.Y. [HNY] and Voronezh [Vor];
  25. Horse.1154.* are reported as 512 [512] and Horse [Hrs] (in some files only);
  26. Jerusalem.Mummy.1_2 is reported as Mummy [Mum] and FamE [FE];
  27. Jerusalem.Timor is reported as 1241 [1241] and Jerusalem [Jeru];
  28. Leprosy.G is reported as infected twice by Leper [OW];
  29. Leprosy.Plague is reported as Viper [Vip] and Plague [Plg];
  30. MShark is reported as FamN [FN] and FamM [FM];
  31. Murphy.Brothers is reported as Brothers [Bro] and 1530 [1530];
  32. Murphy.Tormentor.* are reported as LixoNuke [Lix] and Murphy [Murphy];
  33.  
  34. Sorry for the long list, but I hope that it might help to some other
  35. readers too. Hope you'll fix that in your next version.
  36.  
  37. > >places... Unfortunately, this is not always the case, which explains
  38. > >why SCAN does not detect Commander Bomber infections reliably - the
  39. > >virus can reside just anywhere in the file and control is transferred
  40. > >to it in a non-trivial way...
  41.  
  42. > Are you sure of this?  The reason I ask is that does not always use
  43. > the "top-and-tail" (or "beginning-and-end," etc.) method of searching
  44. > for file-infecting viruses, especially if a "fragmentation attack" is
  45. > performed.
  46.  
  47. Am I sure about -what-? That SCAN 97 does not detect Commander Bomber
  48. reliably? Yes, I am sure about it. It doesn't detect it reliably. It
  49. misses this virus in some of the infected files.
  50.  
  51. Regards,
  52. Vesselin
  53. - -- 
  54. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  55. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  56. < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  57. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  58.