home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.147 < prev    next >
Encoding:
Text File  |  1995-01-03  |  6.9 KB  |  161 lines
  1. VIRUS-L Digest   Monday,  3 Jul 1989    Volume 2 : Issue 147
  2.  
  3. Today's Topics:
  4. new network-virus group?
  5. nVIR and Appletalk (Mac)
  6. VACATION Virus Reported on INFO-VAX List (VAX/VMS)
  7. Update on boot virus in Germany (PC)
  8. Re: New Virus - Fu Manchu?
  9.  
  10. ----------------------------------------------------------------------
  11.  
  12. Date:    Fri, 30 Jun 89 12:55:48 -0500
  13. From:    "Jeffery K. Bacon" <BACON@MTUS5.BITNET>
  14. Subject: new network-virus group?
  15.  
  16.      A little while ago, there was some hashing about the overly
  17. pcoriented direction of this list or something like that. (Forgive me,
  18. I had 4+ week's worth of mail to catch up on in the past 1-1/2 wks,
  19. and it's been a while since I read the virus-l notebook - which was
  20. sizeable. So...)
  21.  
  22.      Anyway. I don't mean to hash on the pc virus gurus and the pc virus
  23. problems - I will definitely agree, they are very serious, and need much
  24. attention. In fact, I will say right here and now that THIS netgroup, in
  25. my wide and varied experience, is one of THE most productive and useful
  26. groups I have EVER seen ANYWHERE in netland. (Please note that when I say
  27. 'PC', I mean 'personal computer' in general, not IBM-PC&clones.) This of
  28. course needs to continue.
  29.  
  30.      My thought here is that the group has kind of shifted directions
  31. towards the PC environment. But the networking environment and the issues
  32. surrounding it are very different. There are of course no major network
  33. virus dangers right now, but network security and finding loopholes is
  34. always a major concern. Is there a place for another list concerning
  35. viruses in the network and PC-NFS/LAN environment?
  36.  
  37.      I remain kind of neutral on the issue, I just bring it up here for
  38. thought. There might be some overlap with VIRUS-L as it is, or perhaps
  39. with the SECURITY list, that might want to be considered. But I personally
  40. know that most of what passes thru VIRUS-L nowadays is of little interest
  41. to me because I rarely if ever work with pc's. I imagine there are others
  42. who are like me here too.
  43.  
  44.      Whaddya think? Instead of discussing it here, it might be better to
  45. perhaps have the comments sent to me (bacon@mtus5.bitnet) and I'll
  46. compile them. I'll leave that to Ken to decide.
  47.  
  48. [Ed. Thanks for offering to compile the "votes", Jeff - I hope you're
  49. prepared for some more mail to wade through!  :-) I've received lots
  50. of requests for, among other things, a Mac-only and a PC-only list.
  51. If the readers feel that it is time to split the already heavy traffic
  52. into separate groups, then it would seem (to me) to make sense to have
  53. a Net-only group.  I also think that if such a split is desired, then
  54. we'd have to find a moderator/digestifier for each group, since I
  55. don't think that I'll have enough time to handle all three (or however
  56. many) groups.  So, be careful what you ask for, you just may get it.
  57. Feedback, both positive and negative, is appreciated.]
  58.  
  59. Jeffery Bacon
  60. Academic Computing Svcs, Michigan Technological University
  61. bitnet: <bacon@mtus5>  uucp: <backbone>!rutgers!umix!anet!bacos
  62.  
  63. ------------------------------
  64.  
  65. Date:    06 (null) 89 09:06:28 +0000
  66. From:    E. C. Greer <RS0XEG@ROHVM1.BITNET>
  67. Subject: nVIR and Appletalk (Mac)
  68.  
  69. We've found a few MAC's here with nVIR (both A and B), and we're
  70. having some success in dealing with the infections using SAM. So far
  71. the affected machines appear to be isolated cases, but I'm concerned
  72. becaues most of our 100+ MAC's are networked with Appletalk. Can
  73. anyone tell me whether nVIR can be spread over Appletalk? If so, under
  74. what conditions is it spread, and what countermeasures can I take?
  75.  
  76. ------------------------------
  77.  
  78. Date:    Fri, 30 Jun 89 13:43:00 -0500
  79. From:    "Brian D. McMahon" <BRIAN@UC780>
  80. Subject: VACATION Virus Reported on INFO-VAX List (VAX/VMS)
  81.  
  82. The following recently appeared on INFO-VAX; I have no further information.
  83. Can anyone confirm/deny/elaborate?
  84.  
  85. >Date: 26 JUN 89 22:05:24.55-GMT
  86. >From: INFOVAX@FRIPN51.BITNET
  87. >To: INFO-VAX@KL.SRI.COM
  88. >Subject: RE:       automatic mail answering service : WARNING, MAY BE VIRUS
  89. >
  90. >TAKE CARE: the program VACATION (distributed on a mailing list) is a
  91. >potential VIRUS for ALL the people registered on this list if used
  92. >with no modifications. It will reply to the list, so to itself...and
  93. >so on... And you will be on vacation, so you will not stop it quickly.
  94. >Suppose just a few people of INFO-VAX use this program, and imagine
  95. >the disaster, because it will also reply to all the mailing send by
  96. >all the runing copy of this monstrosity.
  97. >Surely it was not the will of the author of VACATION, but this
  98. >program IS A VIRUS !
  99. >
  100. >Bernard PERROT
  101. >Institut de Physique Nucleaire
  102. >Orsay - France -
  103.  
  104. [Ed. It appears to me to be more a case of an infinite mail loop than
  105. anything that could be called a virus.  I frequently get messages on
  106. VIRUS-L/comp.virus which are sent from a VACATION program (VMS or
  107. Unix).  Since VIRUS-L is moderated, however, I merely delete the
  108. message.  If the message goes out to the list, and the VACATION
  109. program replies, you have an endless cycle.  Use any VACATION program
  110. very cautiously.]
  111.  
  112. ------------------------------
  113.  
  114. Date:    30 Jun 89 00:00:00 +0000
  115. From:    Christoph Fischer <RY15@DKAUNI11.BITNET>
  116. Subject: Update on boot virus in Germany (PC)
  117.  
  118. CONTINOUS BOOT VIRUS UPDATE
  119.   Finally we received a copy of the virus that appeared at two places
  120. in West-Germany.
  121. 1. Both Viruses are identical
  122. 2. It infects COM files
  123. 3. It is a direct virus (no TSR)
  124. 4. Its size is 648 bytes (like the DOS62 virus) (the first value we
  125.    announced was 50bytes the value phoned to us by the panicing owner
  126.    of the infected PC. We assumed part of the virus hiding out in
  127.    uninitialized DATA sections.
  128. 5. It continuosly boots over and over again
  129. 6. It overwrites the first 5 bytes with a JMP (3 Bytes) and
  130.    byte 4 with BAh and byte 5 with B8h.
  131. 7. The JMP points to the beginning of the virus wich starts with
  132. PUSH CX  MOV DX,<comfilesize+648)
  133.  
  134. Maybe someone has encountered this apperently hacked version of
  135. DOS62.
  136. We'll present more after diassembly of the virus.
  137. Have a nice weekend
  138.        Chris
  139. *****************************************************************
  140. * Torsten Boerstler and Christoph Fischer                       *
  141. * Micro-BIT Virus Team / University of Karlsruhe / West-Germany *
  142. * D-7500 Karlsruhe 1, Zirkel 2, Tel.: (0)721-608-4041 or 2067   *
  143. * E-Mail: RY15 at DKAUNI11.BITNET or RY12 at DKAUNI11.BITNET    *
  144. *****************************************************************
  145.  
  146. ------------------------------
  147.  
  148. Date:    Sat, 01 Jul 89 18:22:56 -0400
  149. From:    "Russell K. Davis" <rdavis@AI.MIT.EDU>
  150. Subject: Re: New Virus - Fu Manchu?
  151.  
  152. This virus was found by Joe Hurst in the united Kingdom and he shoukld
  153. have finished disassembling it by now (but I have not spoken to him
  154. for a while)
  155.  
  156. ------------------------------
  157.  
  158. End of VIRUS-L Digest
  159. *********************
  160.  
  161. Downloaded From P-80 International Information Systems 304-744-2253
  162.