home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD1.iso / misc / v05i116.txt < prev    next >
Encoding:
Internet Message Format  |  1992-09-28  |  33.4 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.ORG>
  2. Errors-To: krvw@CERT.ORG
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V5 #116
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Monday, 15 Jun 1992    Volume 5 : Issue 116
  9.  
  10. Today's Topics:
  11.  
  12. Re: Zipped Viruses (PC)
  13. Screaming Fist-696 analysis (PC)
  14. Re: VIRx version 2.3 released (PC)
  15. New virus? (PC)
  16. VET anti-virus software (PC)
  17. Re: ISPNews and why 100% is the only good enough (PC)
  18. Re: McAfee VIRUSCAN V91 uploaded to SIMTEL20 (PC)
  19. Re: Virus Program for a Macintosh? (Mac)
  20. "Menem's Revenge" virus (Amiga)
  21. Re: MVS Virii (IBM MVS)
  22. re: Mainframe viruses (was: MVS Virii)
  23. Virus Detection Software Review
  24. Re: Taxonomy of viruses
  25. Polymorphic Virii
  26. Re: BAD IDEA (was: Where can I find Virus signatures)
  27. Misinformation does more damage than viruses themselves
  28. McAfee CLEAN-UP 91B and WSCAN91 uploaded to SIMTEL20 (PC)
  29. Scan updates available (PC)
  30. F-PROT 2.04 (PC)
  31.  
  32. VIRUS-L is a moderated, digested mail forum for discussing computer
  33. virus issues; comp.virus is a non-digested Usenet counterpart.
  34. Discussions are not limited to any one hardware/software platform -
  35. diversity is welcomed.  Contributions should be relevant, concise,
  36. polite, etc.  (The complete set of posting guidelines is available by
  37. FTP on cert.sei.cmu.edu or upon request.) Please sign submissions with
  38. your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
  39. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
  40. Information on accessing anti-virus, documentation, and back-issue
  41. archives is distributed periodically on the list.  A FAQ (Frequently
  42. Asked Questions) document and all of the back-issues are available by
  43. anonymous FTP on cert.org (192.88.209.5).  Administrative mail
  44. (comments, suggestions, and so forth) should be sent to me at:
  45. <krvw@CERT.ORG>.
  46.  
  47.    Ken van Wyk
  48.  
  49. ----------------------------------------------------------------------
  50.  
  51. Date:    Sat, 06 Jun 92 07:09:18 -0400
  52. From:    David_Conrad@MTS.cc.Wayne.edu
  53. Subject: Re: Zipped Viruses (PC)
  54.  
  55. In VIRUS-L v005i111 Magnus Olsson <magnus@thep.lu.se> writes:
  56. >David_Conrad@MTS.cc.Wayne.edu writes:
  57. >
  58. >[excellent description of stealth viruses deleted]
  59. >
  60. >Thanks for a very informative article! There's one point I think
  61. >you're missing, though, when describing the dangers of using scanners
  62. >on an infected system:
  63. >
  64. >>Here's what happens: Your virus scanner is infected with a stealth,
  65. >>fast infecting virus.  It isn't currently active.  You run the scanner,
  66. >>telling it to scan your entire hard drive.  First the virus gets control:
  67. >>It goes resident, takes over, then runs the scanner.  Now the scanner
  68. >>attempts to perform a self-check on its file.  This detects nothing,
  69. >>because the virus disinfects the file as it reads it.  Now your scanner
  70. >>goes through your entire hard drive, reading all programs.  Not only
  71. >>does it have no chance of catching the virus in any program, but every
  72. >>program (even ones which weren't infected before) will get infected!!!
  73. >
  74. >At least McAfee's scanner doesn't only check files on the disk and
  75. >make a self-check, but also scans memory for viruses before doing
  76. >anything else. Doesn't this cure the above problem, as the
  77. >memory-resident stealth virus would be detected in memory?
  78.  
  79. Not if the afore mentioned virus is a new one which the scanner does not
  80. yet detect.  In that case, you're in big trouble.  Note that this is not
  81. merely a problem with McAfee's scanner, but with any; also note that the
  82. memory check is a excellent idea, it just isn't perfect.
  83.  
  84. But then again, what is?
  85.  
  86. >Magnus Olsson                   | \e+      /_
  87. >Dept. of Theoretical Physics    |  \  Z   / q
  88. >University of Lund, Sweden      |   >----<
  89. >Internet: magnus@thep.lu.se     |  /      \===== g
  90. >Bitnet: THEPMO@SELDC52          | /e-      \q
  91.  
  92. Regards,
  93. David R. Conrad
  94. David_Conrad@mts.cc.wayne.edu
  95.  
  96. ------------------------------
  97.  
  98. Date:    07 Jun 92 02:23:05 -0400
  99. From:    "Tarkan Yetiser" <TYETISER@ssw02.ab.umd.edu>
  100. Subject: Screaming Fist-696 analysis (PC)
  101.  
  102.    Hello everyone,
  103.  
  104. We have analyzed the polymorphic (semi-poly :-)) variant of the
  105. Screaming Fist (696) virus. It should be mentioned that the virus is
  106. simply encryptive, and therefore, the decryptor can be used as a scan
  107. string to search for the virus in both COM and EXE files. It uses a
  108. 16-byte XOR-type decryption routine with a variable key (obtained from
  109. BIOS timer area 0:046c), and one instruction is modified to be either
  110. an INC AX or a DEC AX. It is a fast infector, but not stealth;
  111. therefore, it is advisable to boot from a clean floppy before
  112. scanning. McAfee's SCAN 91 does recognize it [Scr-2], though F-PROT
  113. 2.03a does NOT.  If you add the given signature to F-PROT, make sure
  114. you use SECURE scan, otherwise, it will be missed. Heuristic scan
  115. flags it as a possible virus.  We have used DIS86 by Mr. James Zandt
  116. (available at Simtel archives under /msdos/disasm/dis86212.zip) to
  117. analyze it. Here are the details:
  118.  
  119. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
  120. Suggested Name: Screaming Fist-696-pm
  121. Date/Location : May 1992, USA
  122. Scan string   : 5d 8b f5 56 b0 ?? b9 a3 02 (40 or 48) 2e 30 04 46 e2 f9 c3
  123. Damage trigger: None
  124. Payload       : None
  125. Interrupts    : 21h & 24h
  126. hooked          21h is hooked using direct memory reference to IVT, but
  127.                 Int 24h is hooked in a standard manner using DOS 25h/35h
  128.                 subfunctions of Int 21h.
  129. Peculiarity   : Reduces BIOS base memory indicator (0:0413) by 2 just like
  130.                 an MBR/BR virus, though it is a file infector type. So,
  131.                 CHKDSK will report 2K less of base memory size.
  132. Targets       : COM and EXE files when FILE OPEN (3d), RENAME (56),
  133.                 LOAD/EXEC (4b), GET/SET ATTRIB (43) services are requested.
  134.                 It will infect C:\COMMAND.COM after the first time it goes
  135.                 resident by issuing a file open call with mode set to FF,
  136.                 which is an invalid open mode value. Only the copy of
  137.                 COMMAND.COM in the root directory is infected.
  138.                 COM files are appended at the end, EXE files are modified
  139.                 by changing the header to point to virus. The COM
  140.                 files are always increased by 696 bytes, but EXE files
  141.                 depend on what the victim has in the header.
  142.                 COM files less than 300 bytes or greater than 64000 bytes
  143.                 will not be infected.
  144.  
  145. RU-there call : mov  AX, 0FFFFh
  146.                 int  21h
  147.                 or   AX, AX
  148.                 jz   virus_is_resident
  149.  
  150.         In English: The virus extends INT 21h services by setting up a
  151.                     handler which responds to a request FFFF with a 0000
  152.                     in AX register.
  153.  
  154. Comments  : This is an encryptive virus that uses BIOS timer value (1 byte
  155.             at 0:046c), and either INC AX or DEC AX in the decryption
  156.             routine. The virus is not encrypted in memory. The decryptor
  157.             is 16 bytes long, and it is located at the end of infected
  158.             files.
  159.             It appears to be a research virus in that it includes no
  160.             damage trigger, and it is fairly bug-free! It is a resident
  161.             COM/EXE file infector that does nothing but replicates.
  162.             It uses handle-oriented file access routines, and does NOT
  163.             implement stealth to evade detection.
  164.             The virus INT 21h handler offset is always 0088 in memory.
  165.             Inside the virus there is a text which reads:
  166.  
  167.                Screaming Fist
  168.  
  169.             therefore, the name.
  170.             The virus determines if a program is infected as follows:
  171.             For COM-type files:
  172.                if the fourth byte of the file plus 1 is equal to thevirus will 
  173. infect
  174.             C:\COMMAND.COM and return control over to the host program.
  175.             From then on, it monitors INT 21h services (see above).
  176.             File extension as well as 'MZ' signature is checked before
  177.             infection. Decoys can be used to capture the virus easily.
  178.  
  179. Regards,
  180.  
  181. Tarkan Yetiser
  182. VDS Advanced Research Group               P.O. Box 9393
  183. (410) 247-7117                            Baltimore, MD 21228
  184. e-mail:  tyetiser@ssw02.ab.umd.edu
  185.  
  186. ------------------------------
  187.  
  188. Date:    Sun, 07 Jun 92 23:20:00 +0100
  189. From:    Anthony Naggs <AMN@VMS.BRIGHTON.AC.UK>
  190. Subject: Re: VIRx version 2.3 released (PC)
  191.  
  192. Vesselin Bontchev (bontchev@fbihh.informatik.uni-hamburg.de) says:
  193. > trent@rock.concert.net (C. Glenn Jordan -- Virex-PC Development Team) writes:
  194. >
  195. > >    2.  VIRx now detects all files encrypted with the "Mutating Engine"
  196. > >    attributed to the Dark Avenger that are not already destroyed by the
  197. > >    Engine's attempts to encrypt them (and most of those, as well).
  198. >
  199. > This requires a bit of clarification. No files are "destroyed by the
  200. > Engine's attempts to encrypt them". ...
  201.  
  202. Vesselin you are over looking the fact that there are already 2
  203. versions of MtE in circulation, one ('0.92' I think) is found on
  204. "Dedicated" & "Fear" and the other ('0.90') is on "Pogue".  I have
  205. only looked at the one on "Pogue" so far, and around 20% of the files
  206. I infected were corrupt.
  207.  
  208. These corrupt files usually crash when executed, sometimes with video
  209. effects as display memory is overwritten and sometimes the crash was
  210. postponed until a subsequent program was executed.  This seems to
  211. coincide closely with Glenn Jordan's description.
  212.  
  213. To generate infected files with out crashing the PC (as happens when
  214. infecting at execution time), I simply had a batch file which copied
  215. each new host file to NULL.
  216.  
  217. > ... However, the MtE sometimes (a bit
  218. > too often, IMHO) generates something that I call a "zero-key
  219. > decryptor". It does not encrypt the body of the virus and generates a
  220. > decryptor which essentially does nothing else than juggling a few
  221. > constants around some registers. No attempt to perform decryption is
  222. > present in these cases.
  223.  
  224. IMHO not often enough!  This feature means that a proportion of
  225. infected files will not have the polymorphic endowments of MtE, and
  226. established more reliable detection methods can cope with these in the
  227. same way as any other virus.  Given an infected hard drive the
  228. presence of same copies of the virus in this form will give
  229. reassurance that the virus is known, rather than something new hiding
  230. under the MtE cloak.
  231.  
  232. If the MtE detection tests that you are performing are going to be of
  233. relevance you will need to test for the variations produced by "Pogue"
  234. as well.
  235.  
  236. Regards, Anthony Naggs
  237.  
  238. Internet:  amn@vms.brighton.ac.uk  or  xa329@city.ac.uk
  239. Janet:     amn@uk.ac.brighton.vms  (  cbs%uk.ac.brighton.vms::amn  )
  240.     or     xa329@uk.ac.city        (  cbs%uk.ac.city::xa329        )
  241.  
  242. ------------------------------
  243.  
  244. Date:    Mon, 08 Jun 92 16:11:38 -0400
  245. From:    d246@uni05.larc.nasa.gov (Braden Glen)
  246. Subject: New virus? (PC)
  247.  
  248.    One of the Managers here has a virus on his home computer. I
  249. haven't been keeping up on my reading for all the VIRUS-L since at
  250. least May. If I may post some of the symptoms he is experiencing and
  251. hopefully, it hasn't been a hot subject over the past month someone
  252. will know what it is or isn't (like a virus :-) ).
  253.    He has harddrives C thru G. When he executes a program, the system
  254. hangs and after rebooting the exe module is gone. This only happens
  255. when he tries to executes a module. Also, he starts getting bad
  256. clusters. when he uses PC Tools and changes these bad clusters to
  257. files and then looks at them, he finds his lost modules. After
  258. cleaning up these clusters and trying to figure what is wrong he will
  259. create new bad clusters which contain his EXE's.
  260.   Using Scan 86 revealed no virus. He then used CPAV with no virus,
  261. then he used FPROT203 which said he had a virus. He knew that the use
  262. of CPAV produces false positives so he rebooted and reran FPROT203
  263. which showed no virus.
  264.   I will write up a better description of what he is experiencing and
  265. what EXE's he is running that get converted to bad clusters. I wanted
  266. to get this out right away. I also gave him a copy of scan89b and
  267. asked him to run it after booting from a write-protected disk. If
  268. anyone has any ideas, please let me know, as you usually do.
  269.  
  270. Glen Braden             d246@uni05.larc.nasa.gov
  271.                         804 865-9387
  272.  
  273.  
  274. ------------------------------
  275.  
  276. Date:    09 Jun 92 09:18:42 +0000
  277. From:    zlsiial@cs.man.ac.uk (A. V. Le Blanc)
  278. Subject: VET anti-virus software (PC)
  279.  
  280. Has anyone used, and can anyone comment on the VET anti-virus
  281. software from Australia?  It does not seem to be reviewed in
  282. the standard places, and I don't recall seeing any mention of
  283. it on this list.  I ask because the University of Manchester
  284. has bought a site license for this package, apparently because
  285. it is cheaper than the licenses for better known packages.
  286.  
  287.      -- Owen
  288.      LeBlanc@mcc.ac.uk
  289.  
  290. ------------------------------
  291.  
  292. Date:    10 Jun 92 12:51:17 -0400
  293. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  294. Subject: Re: ISPNews and why 100% is the only good enough solution (PC)
  295.  
  296. (Sorry for the delayed reply; missed this in my mailbox...)
  297.  
  298. > From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  299.  
  300. >BTW, we discussed the problem with David Chess and agreed that
  301. >- -disinfection- of MtE-based viruses is even more difficult than
  302. >- -detecting- them!
  303.  
  304. Only because it's hard to do just what the degarbler would have done,
  305. when the degarbler can be any one of zillions.  You'd have to write a
  306. subset-interpreter for the chip, which (while useful for various
  307. purposes) is a pain, and doesn't tend to be fast.  Any good hacker, of
  308. course, will be able to recover a few critical files manually, but
  309. replacement is much safer.  That's true of just the plain old
  310. Jerusalem, too, though!  Nothing too new there...
  311.  
  312. > So, if a system is found to be infected by such a
  313. > virus, the recomended solution is to remove all executable files and
  314. > to replace them with clean copies.
  315.  
  316. If you trust your scanner (and I'm sure we'll have trustable scanners
  317. for the MtE before long; probably before there are any MtE viruses
  318. bothering real users), you only have to remove and replace the
  319. *infected* executables.  Which is probably what you meant, but I
  320. thought I'd make the point explicitly...
  321.  
  322. - - -- -
  323. David M. Chess                |  "Some look at the world as it is,
  324. High Integrity Computing Lab  |   and ask 'why?'. I look at the world as it is,
  325. IBM Watson Research           |   and say 'Hey, neat hack!'."  - J. R. H.
  326.  
  327. ------------------------------
  328.  
  329. Date:    Fri, 05 Jun 92 13:54:56 -0500
  330. From:    Sten M. Drescher <smd@hrlid1.brooks.af.mil>
  331. Subject: Re: McAfee VIRUSCAN V91 uploaded to SIMTEL20 (PC)
  332.  
  333. "Jean-Pierre Engel (CMU Geneva)" <ENGEL%cmu.unige.ch@BITNET.CC.CMU.EDU> writes:
  334.  
  335. >I have Uploaded from SIMTEL20: NETSC91B, CLEAN91, SCANV91, VSHLD91. I
  336. >have found the following value with the validation prog.:
  337.  
  338. >netsc91b.zip    S:  116,543    D:  6-2-1992    M1:  16DC    M2:  12FC
  339. >clean91.zip    S:  141,577    D:  6-2-1992    M1:  FD45    M2:  0101
  340. >scanv91.zip    S:  129,268    D:  6-2-1992    M1:  F2C3    M2:  0AC7
  341. >vshld91.zip    S:  107,574    D:  6-2-1992    M1:  71B7    M2:  190B
  342.  
  343. >Where is the probleme?
  344.  
  345.     Problem 1: You ran validate on the .ZIP files, not the .EXE
  346. files.  Try unZIPping it.
  347.         Problem 2: The validate data from McAfee for NETSCAN is for
  348. v91, NOT v91b.
  349.  
  350.             Sten
  351.  
  352. ------------------------------
  353.  
  354. Date:    Fri, 05 Jun 92 23:30:00 +0000
  355. From:    lev@amarna.gsfc.nasa.gov (Brian S. Lev)
  356. Subject: Re: Virus Program for a Macintosh? (Mac)
  357.  
  358. an939@cleveland.Freenet.Edu (David Carlin) writes... 
  359. >Two weeks ago, while at Computer class, I poped in a disk at our
  360. >schools Macintosh Classic. A program I had bought that is on the
  361. >System Utilities disk, Said there was a virus, and not to use the
  362. >disk. I am only in 7th grade, and don't know much about Macintosh
  363. >Viruses. Can anyone tell me of a Public Domain Program that I might be
  364. >able to use?
  365.  
  366. One that I like a *lot* is John Norstad's "Disinfectant" (currently at
  367. version 2.8) -- it's free, and it works!  It's available via FTP from
  368. an almost infinite variety of sites on the Internet... if you have a
  369. problem doing FTPs, contact me and I'll be glad to send you a copy of
  370. the "MacSecure" anti-viral tool kit we use here at Goddard (it's based
  371. on Disinfectant and includes some neat HyperCard stacks as well).
  372.  
  373. - -- Brian Lev
  374.  
  375.  +----------------------------------------------------------------------------+
  376.  |              NASA SCIENCE INTERNET NETWORK INFORMATION CENTER              |
  377.  |                  Code 930.6, Goddard Space Flight Center                   |
  378.  |                          Greenbelt, MD  20771  USA                         |
  379.  +----------------------------------------------------------------------------+
  380.  |                   Phone: 301-286-7251    FAX: 301-286-5152                 |
  381.  |     NSINIC::NSIHELP  or  nsihelp@nic.nsi.nasa.gov  or  NSIHELP@DFTBIT      |
  382.  +----------------------------------------------------------------------------+
  383.  
  384. ------------------------------
  385.  
  386. Date:    Sun, 07 Jun 92 11:31:00 +0100
  387. From:    Anthony Naggs <AMN@VMS.BRIGHTON.AC.UK>
  388. Subject: "Menem's Revenge" virus (Amiga)
  389.  
  390. The following is lifted from the news pages of the British mag "Just Amiga
  391. Monthly" (JAM), which I received yesterday.  I am unable to confirm the
  392. accuracy of this material, and the Metropolitan Police Computer Crime Unit
  393. (London) didn't mention it to me when I spoke to them recently.
  394.  
  395. +   FRESH WARNINGS AS NEW VIRUS SPREADS
  396. +
  397. +   A new Amiga virus called Menem's Revenge is sweeping the country.
  398. +
  399. +   It is a particularly nasty file or 'link' virus that starts a task
  400. +   called a single space.  This task's sole job is to patch the LoadSeg
  401. +   vector in DOS.  It thus infects programs that are run.
  402. +
  403. +   It is triggered through the Amiga's internal time clock will write its
  404. +   messages to files on DH0: and/or DF0:.  The message it writes and then
  405. +   displays as an alert is "Menem's Revenge has arrived / Argentina still
  406. +   alive".
  407. +
  408. +   Because it can write to executable files, those files may very well
  409. +   crash, or not run at all, after being infected.  Menem's Revenge adds
  410. +   3,076 bytes to each file it infects.
  411.  
  412. The news item recommends the use of Virus_Checker as protection from this
  413. virus, and as it advertises version 6.05 on a JAM disk later in the magazine
  414. I presume you should use at least that version.
  415.  
  416. Anthony Naggs
  417.  
  418. Internet:  amn@vms.brighton.ac.uk  or  xa329@city.ac.uk
  419. Janet:     amn@uk.ac.brighton.vms  (  cbs%uk.ac.brighton.vms::amn  )
  420.     or     xa329@uk.ac.city        (  cbs%uk.ac.city::xa329        )
  421.  
  422. ------------------------------
  423.  
  424. Date:    Fri, 05 Jun 92 21:51:03 +0000
  425. From:    rslade@sfu.ca (Robert Slade)
  426. Subject: Re: MVS Virii (IBM MVS)
  427.  
  428. While not, in the very strictest sense, a virus, the CHRISTMA EXEC of
  429. 1987 nevertheless was a self-reproducing object which operated with
  430. IBM mainframe systems and over mainframe network links.
  431.  
  432. While no data was at risk, CHRISTMA resulted in denial of service and
  433. extra time expended in its removal.
  434.  
  435. I will be covering it and similar mainframe/network programs in coming
  436. columns.
  437.  
  438. ============= 
  439. Vancouver      ROBERTS@decus.ca         | Lotteries are a tax
  440. Institute for  Robert_Slade@sfu.ca      | on the arithmetically
  441. Research into  rslade@cue.bc.ca         | impaired.
  442. User           CyberStore Dpac 85301030 | 
  443. Security       Canada V7K 2G6           | 
  444.  
  445. ------------------------------
  446.  
  447. Date:    10 Jun 92 13:06:17 -0400
  448. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  449. Subject: re: Mainframe viruses (was: MVS Virii)
  450.  
  451. "Tim Hare" <SS942TH@DOT1.MAIL.UFL.EDU> (in a posting that's been
  452. sitting in my mailbox for quite awhile) asks about mainframe viruses,
  453. trojan horses, and the like.  Such programs certainly exist, and a few
  454. (the CHRISTMA EXEC for VM/CMS/RSCS, for instance) have become briefly
  455. widespread.  In general, though, we have not seen any viruses become
  456. endemic in the mainframe area the way we have on all popular
  457. microcomputers.  The reasons for this are partly technical and partly
  458. cultural.  Viruses don't become widespread unless they can spread
  459. faster than they are caught.  Access controls help to slow spread
  460. (although I would claim that the access controls that separate my PC
  461. from your PC are as strong as any mainframe access controls that
  462. separate one userid from another!).  But at least as importantly,
  463. there are many fewer people at this moment walking around with 9-track
  464. tapes reels in their back pockets than there are people with
  465. diskettes.  The micro world is just a more tightly-connected graph
  466. (and it has many more nodes) than is the mainframe world.  Someone
  467. could write a mainframe virus (as Cohen has shown, this is technically
  468. possible on, roughly, any general-purpose computer), but it'd be
  469. unlikely to get anywhere before going extinct.
  470.  
  471. - - -- -
  472. David M. Chess                    |   * Undecidable Signature ?Virus *
  473. High Integrity Computing Lab      |  Copy me to your .sig iff you don't
  474. IBM Watson Research               |     think I'm a signature virus!
  475.  
  476. ------------------------------
  477.  
  478. Date:    Sat, 06 Jun 92 01:12:55 +0000
  479. From:    as194@cleveland.Freenet.Edu (Doren Rosenthal)
  480. Subject: Virus Detection Software Review
  481.  
  482. Doren Rosenthal
  483. Rosenthal Engineering
  484. 3737 Sequoia
  485. San Luis Obispo, CA USA 93401
  486.  
  487. This  June  '92 issue of "Shareware Update"  magazine  (P.O.  Box 
  488. 2454,  White City, OR 97503-9901) is devoted to  virus  detection 
  489. software  and includes several articles including  an  especially 
  490. insightfull one from Ross Greenberg.
  491.  
  492. Doren Rosenthal
  493.  
  494. ------------------------------
  495.  
  496. Date:    Fri, 05 Jun 92 22:22:08 +0000
  497. From:    mkkuhner@phylo.genetics.washington.edu (Mary K. Kuhner)
  498. Subject: Re: Taxonomy of viruses
  499.  
  500. bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
  501.  
  502. [discussion of parsimony analysis]
  503.  
  504. >Well, this is essentially what we are doing now... Unfortunately, it
  505. >cannot be automated or even formalized - as you said, it reflects our
  506. >intuitive ideas about virus relationship.
  507.  
  508. Taxonomy was originally based on the biologists' intuitive ideas about
  509. organism relationships too, but algorithms for describing and
  510. systematizing these intuitions still proved useful.
  511.  
  512. I agree, however, that it will be very hard to do anything mechanical
  513. about classifying viruses.  It was hard for biologists, and a
  514. biological organism is easier to get a grip on than a computer virus.
  515.  
  516. Mary Kuhner mkkuhner@genetics.washington.edu
  517.  
  518. ------------------------------
  519.  
  520. Date:    Sat, 06 Jun 92 18:26:53 +0000
  521. From:    shadmas@sdf.lonestar.org (Tom Downs)
  522. Subject: Polymorphic Virii
  523.  
  524. I appreciate the discussion on polymorphic viruses. One of the users
  525. suggested moving the discussion to E-Mail. I would prefer that you
  526. didn't because I feel that the subject of Polymorphism is very
  527. pertinent. We are going to have to understand them to combat those
  528. types of viruses.
  529.  
  530. Tom Downs
  531.  
  532. ------------------------------
  533.  
  534. Date:    Sun, 07 Jun 92 04:57:15 +0000
  535. From:    markd@psy.uwa.oz.au (Mark Diamond)
  536. Subject: Re: BAD IDEA (was: Where can I find Virus signatures?)
  537.  
  538. Zmudzinski recently replied to a query on this bulletin board by
  539. saying to the enquirer that "if you haven't already got a collection
  540. of virus signatures then you aren't a legitimate researcher".  I think
  541. this is a olish view that smacks of a guild memtality.
  542.  
  543. Those in the business of producing anti-viral software obviously have
  544. little difficulty in acquiring new viruses. Others, like me, who have
  545. an academic research interest in virus algorithms,always seem to have
  546. an impossible time obtaining copies of new viruses.  I have had to
  547. rely on the high turn-over of foreign students in our department
  548. (mostly from Indonesia and Pakistan) to bring infected discs with
  549. them.  I always check their discs before they can use them in a
  550. Department machine, and I trade them a clean disc for their infected
  551. ones.  It has been an extremely slow and tedious process obtaining the
  552. viruses this way, and could have been made a hell of a lot easier if
  553. some of the other people working in the field had been willing to
  554. share their knowledge.  Also, with the number of bulletin boards open
  555. to virus-producers, its about time that those of us of the other side
  556. of the line began being a little bit more free in sharing what we've
  557. learned.
  558.  
  559. M A R K  R  D I A M O N D   markd@ psy.uwa.edu.au
  560.  
  561. ------------------------------
  562.  
  563. Date:    07 Jun 92 11:51:53 +0000
  564. From:    rob@wzv.win.tue.nl (Rob J. Nauta)
  565. Subject: Misinformation does more damage than viruses themselves
  566.  
  567. Unfortunately misinformation about viruses still does more damage than
  568. the viruses itself. The following article appeared in the Dutch
  569. magazine 'Computable' dd. june 5 1992:
  570.  
  571. "Professional computer users underestimate the threat of computer
  572. viruses, that are no longer exclusively spread by illegal games and
  573. bulletin boards.
  574.  
  575. This conclusion was made by the Pilotteam Computer Criminality of the
  576. Dutch police in a report about the Michelangelo virus.
  577.  
  578. [...] "
  579.  
  580. The article continues with conclusions that almost nobody of the users
  581. hit by the virus had a backup to fall back on.
  582.  
  583. It's sad to see the police, and especially the special Pilotteam who
  584. really should know better, spread such misinformation. I've attened
  585. several lectures of the chief of that team, H. Onderwater recently, and
  586. his stories consist mostly of popular folklore and fables about
  587. hackers, which seem to have originated from 'Wargames' and the press
  588. reports of the German CCC. He continues to spread the fables of hackers
  589. being able to increase their bank account and highschool grades, that
  590. every hacker supports the CCC 'freedom of information for all' policy,
  591. and is out to view your hospital data. He also claims many companies
  592. prefer to employ hackers, even though not a single case of this claim
  593. is known.
  594.  
  595. The story of viruses being spread only by hobbyists via bulletion
  596. boards and cracked games is a very persistent one. It is a very popular
  597. theory because it allows companies to ban use of all games and public
  598. domain software to prevent viruses. They then rely on this policy as
  599. sole protection, just like an ostrich sticks his head in the sand. If a
  600. virus does show up, it is blamed on some employee who brought in a game
  601. or public domain software.
  602.  
  603. Recent discoveries of viruses in shrink-wrapped software and demo disks
  604. has proved relying on the assumption of viruses spread by games and
  605. BBSes is a big risk, which leads to a false sense of security.
  606. Unfortunately companies are more interested in formal policies than
  607. practical security. Unless this attitude changes, false information and
  608. virus panic will cause more damage than the occasional virus itself.
  609.  
  610. ------------------------------
  611.  
  612. Date:    Sat, 06 Jun 92 02:20:09 -0400
  613. From:    mcafee@netcom.com (McAfee Associates)
  614. Subject: McAfee CLEAN-UP 91B and WSCAN91 uploaded to SIMTEL20 (PC)
  615.  
  616. I have uploaded to WSMR-SIMTEL20.Army.Mil
  617.  
  618. pd1:<msdos.trojan-pro>
  619. CLEAN91B.ZIP    CLEAN-UP Version 91-B virus disinfector for PC's, LAN's
  620. WSCAN91.ZIP     SCAN for Windows Version 91 shell program
  621.  
  622. CLEAN-UP VERSION 91-B, WSCAN91 RELEASED
  623.  
  624.      Version 91-B of CLEAN-UP has been released.  This version replaces V91
  625. and adds a remover for the Multi-2 virus which has been reported as widespread.
  626.  
  627.      Version 91 of WSCAN has been released.  This version brings all of SCAN
  628. V91's features to the Windows environment.
  629.  
  630. VALIDATE VALUES FOR CLEAN and WSCAN:
  631. CLEAN-UP 91B (CLEAN.EXE)            S:96,124   D:06-01-92   M1: C7BA  M2: 019B
  632. SCAN FOR WINDOWS V91 (WINSTALL.EXE) S:13,263   D:05-28-92   M1: 0251  M2: 09F0
  633. SCAN FOR WINDOWS V91 (WSCAN.EXE)    S:87,870   D:06-04-92   M1: 13C4  M2: 08FD
  634.  
  635. Aryeh Goretsky
  636. McAfee Associates Technical Support
  637. - - - -
  638. McAfee Associates        | Voice (408) 988-3832 | mcafee@netcom.com  (business)
  639. 3350 Scott Blvd, Bldg 14 | FAX   (408) 970-9727 | ObQuote: "Log... from Blammo"
  640. Santa Clara, California  |                      |
  641. 95054-3107  USA          | BBS   (408) 988-4004 | CompuServe ID: 76702,1714
  642. ViruScan/CleanUp/VShield | USR Courier DS 14.4Kb| or GO VIRUSFORUM
  643.  
  644. ------------------------------
  645.  
  646. Date:    Sat, 06 Jun 92 22:25:37 -0400
  647. From:    Jon Freivald <jaflrn!jaf@uunet.UU.NET>
  648. Subject: Scan updates available (PC)
  649.  
  650. I have the following available on my mail-server now:
  651.  
  652.      scan91.zip
  653.      clean91b.zip
  654.      netsc91b.zip
  655.      vshld91.zip
  656.      wscan91.zip
  657.      virus-l.faq
  658.  
  659. Please be advised that I have changed my mail-server software, however,
  660. it should properly process all requests sent to the old one.  To
  661. retrieve any of the files listed above, send a message to:
  662.  
  663.      jaflrn!mail-server@uunet.uu.net
  664.  
  665. Include in the message body the line (here "filename" represents the
  666. file you wish to retrieve from the list above) below - the part in
  667. brackets ([]) is optional, as it will automatically send .zip files in
  668. uuencode format:
  669.  
  670.      get dos/virus/filename [uuencode|xxencode]
  671.  
  672. For a list of all available files, include the line "get index" in your
  673. message.  If anyone has any problems using the new mail-server, please
  674. let me know right away.
  675.  
  676. Jon
  677.  
  678. =============================================================================
  679.            Jon Freivald ( jaflrn!jaf@uunet.UU.NET )
  680.      Nothing is impossible for the man who doesn't have to do it.
  681. =============================================================================
  682.  
  683. ------------------------------
  684.  
  685. Date:    Mon, 15 Jun 92 08:42:09 +0700
  686. From:    frisk@complex.is (Fridrik Skulason)
  687. Subject: F-PROT 2.04 (PC)
  688.  
  689. Version 2.04 - major changes:
  690.  
  691.    The program can now scan into DIET-compressed files
  692.  
  693.    Variant identification is now even more accurate than before - in
  694.    particular regarding EXE-infecting viruses.
  695.  
  696.    The disinfection capabilities have been improved somewhat - the
  697.    program can now disinfect several viruses which were only detected in
  698.    previous versions.
  699.  
  700.    The program is now faster than before - for example the scanning speed
  701.    on our primary development machine went from 23 files/sec to 40
  702.    files/sec, but the relative speed increase might be even greater on
  703.    slower machines.
  704.  
  705. Version 2.04 - corrections:
  706.  
  707.    The heuristic analysis produced a false alarm on a program named
  708.    DDIR.COM, (C) Charles Petzold - fixed.
  709.  
  710.    The scanner reported some versions of 123.COM as "Possibly infected
  711.    with a new version of Frogs" - fixed.
  712.  
  713.    The program only detected around 99.86% of MtE encrypted files - this
  714.    should be fixed now.
  715.  
  716.    OPTLINK-packed programs, such as the Norton Utilities are no longer
  717.    flagged as packed in heuristic analysis.  The programs are actually
  718.    packed, but users were not aware of that, which has caused considerable
  719.    confusion.
  720.  
  721. Version 2.04 - minor improvements:
  722.  
  723.    The following command-line switches have been added:
  724.  
  725.        /APPEND - used with /REPORT. Append to an existing file.
  726.        /NOBREAK command line switch added - disables ESC during scanning
  727.        /NOWRAP - do not wrap text in the report.
  728.  
  729. Version 2.04 - new viruses:
  730.  
  731.    The following 72 new viruses can now be detected and removed.
  732.  
  733.     _16850
  734.     Black Jec-(4B, 6B, 8B and Digital F/X)
  735.     Breeder
  736.     Cascade (1621 and 1704-B2)
  737.     Close
  738.     Cossiga (883 and Friends)
  739.     Creeper (252 and 475)
  740.     Danish Tiny (191 and Brenda)
  741.     Dark Avenger (1687 and Milana)
  742.     Datalock-1043
  743.     Diamond-Rock Steady
  744.     Dutch Tiny-99
  745.     Eddie 2 (B and C)
  746.     Europe '92 (424)
  747.     FGT
  748.     Fichv EXE 1.0
  749.     Flash-Gyorgy
  750.     Freew-718
  751.     Gotcha-E
  752.     Got You
  753.     Intruder-B
  754.        Jerusalem (AntiCad-Tobacco, CNDER, IRA, Mummy-1.0, Mummy-1.2 and Triple)
  755.     Joe's Demise
  756.     Keypress-1744
  757.     Kit
  758.     Ko (407 and Birdie)
  759.     Macedonia
  760.     Malaga (only file infections)
  761.     Murphy-Tormentor-D
  762.     Nines Complement (706 and 776)
  763.     Plaice (1129 and 1273)
  764.     Plovdiv-1.3B
  765.     Possessed-2443
  766.     RNA-1
  767.     Shirley-Vivaldi
  768.     Squawk
  769.     Stupid-Profesor
  770.     Suriv 1 (Anti-D and Xuxa)
  771.     SVS
  772.     Swedish Boys (Data Molester, Headache and Why Windows)
  773.     Tabulero
  774.     Terminator-918
  775.     Troi II
  776.     Vienna (637, Betaboys, BNB, Memo 2.0, Parasite-2 and Violator-B2)
  777.     Violetta-1024
  778.     Yankee (1909 and Login)
  779.  
  780.    The following 21 new viruses can now be detected but not removed,
  781.    only deleted.  This is because they overwrite infected files, or
  782.    damage them irreversibly.
  783.  
  784.     BloodLust
  785.     Burger (560-J, 560-K)
  786.     Leprosy (B2,Busted and Scribble)
  787.     SHHS
  788.     Tack
  789.     Trivial (30D,31,35,45B,Banana,Hastings and NKOTB)
  790.     Vengence (A,B,C,D,E and F)
  791.  
  792.    The following 14 new viruses can now be detected but not removed.
  793.  
  794.     _572
  795.     Denzuko-PC Club
  796.     Ear-6
  797.     EMF
  798.     Enemy
  799.     Hafenstrasse-1641
  800.     HH&H
  801.     Munich
  802.     Phoenix
  803.     Scion
  804.     Screamer II
  805.     Starship
  806.     Vienna-712
  807.     Vsign
  808.     Yankee-Micropox
  809.  
  810.    The following 43 viruses that could be detected but not removed with
  811.    earlier versions of F-PROT can now be disinfected.
  812.  
  813.     _5792
  814.     Anthrax
  815.     Best Wishes (970 and 1024)
  816.     Caz-1159
  817.     Compiler (1 and 2)
  818.     Cookie (7360 and 7392)
  819.     Diamond (Damage-A, Damage-B, David and Greemlin)
  820.     Forger
  821.     Freew-692
  822.     Gotcha-D
  823.     Halloween
  824.     Helloween
  825.     Hero (394 and 506)
  826.     Intruder
  827.     Liberty-SSSSS
  828.     Many fingers
  829.     Mosquito-Pisello
  830.     Murphy (Bad Taste, Cemetery, Kamasya, Migram-1, Migram-2, Tormentor-A
  831.         and Tormentor-B)
  832.     Nov. 17.
  833.     Peach
  834.     Possessed-2446
  835.     RNA2
  836.     Sadist
  837.     Sentinel-1
  838.     Shirley
  839.     STSV
  840.     Swiss-143
  841.     TV
  842.     Vcomm-2
  843.     VVF 3.4
  844.  
  845. ------------------------------
  846.  
  847. End of VIRUS-L Digest [Volume 5 Issue 116]
  848. ******************************************
  849. onthald le dhenonthald le dhenonthald 
  850. Downloaded From P-80 International Information Systems 304-744-2253
  851.