home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.153 < prev    next >
Encoding:
Text File  |  1995-01-03  |  12.4 KB  |  299 lines
  1. VIRUS-L Digest   Monday, 17 Jul 1989    Volume 2 : Issue 153
  2.  
  3. Today's Topics:
  4.  
  5. Re: NEW VIRUS?? (PC?)
  6. Forward Message from J. McAfee Re: VIRUSCAN
  7. FAT recover
  8. Corporate culture shift resulting from virus mis(?)information
  9. Re: 2 remarks
  10. Re: Virus Identification Software
  11. FluShot+ and 1701 virus (PC)
  12. Re: 2 remarks
  13. Request for boot sector information
  14.  
  15.  
  16. ---------------------------------------------------------------------------
  17.  
  18. Date:    Sat, 15 Jul 89 14:34:04 -0500
  19. From:    dnewton@carroll1.cc.edu (Dave Newton)
  20. Subject: Re: NEW VIRUS?? (PC?)
  21.  
  22. That's not a virus, someone broke in or did it as a joke.
  23.  
  24.  --
  25.          "If I cannot create it, I do not understand it"
  26.                                         -Richard Feynman
  27. David L. Newton           (414) 524-7253        dnewton@carroll1.cc.edu
  28. =8-) (smiley w/ a mohawk) (414) 524-7343     uunet!marque!carroll1!dnewton
  29.  
  30. ------------------------------
  31.  
  32. Date:    Sat, 15 Jul 89 19:28:34 -0700
  33. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  34. Subject: Forward Message from J. McAfee Re: VIRUSCAN
  35.  
  36. The following message is forwarded from John McAfee:
  37. =============================================================================
  38.  
  39.     I would like to thank the Virus-L subscribers for their response
  40. to the VIRUSCAN program.  I have just released the production version
  41. which fixed a few bugs found in the earlier versions and includes all
  42. the viruses I know about.  I would hope that those of you with large
  43. virus collections would check it against the virus versions that you
  44. have collected.  We have received no reports of false positive
  45. identifications as yet, but it is certainly possible that new
  46. variations of existing viruses will slip by.  I have collected only
  47. one version each of the 3066 (Traceback) and the FuManchu for example,
  48. and I don't have a good feel for the types of variations that might
  49. appear with these viruses.  The tests for these viruses may therefore
  50. be weak.  Also, the test for the Icelandic virus was developed and
  51. implemented by Frank Nalls, who reports that it works fine.  Since I
  52. do not yet have a copy of the Icelandic, I can only take his report on
  53. faith.  I would be interested in anyone else's experience with
  54. VIRUSCAN's ability to identify the Icelandic.
  55.     Again, thank you all for your support and voluminous feedback.
  56. John McAfee
  57. Data - 408 988 4004
  58. Voice - 408 988 3832
  59. 4423 Cheeney Street
  60. Santa Clara, CA 95054
  61. USA
  62.  
  63. ------------------------------
  64.  
  65. Date:    Mon, 17 Jul 89 13:10:04 +0300
  66. From:    "Yuval Tal (972)-8-474592" <NYYUVAL@WEIZMANN.BITNET>
  67. Subject: FAT recover
  68.  
  69. I am using UNVIRUS to exterminate viruses. UNVIRUS also exterminates the
  70. Bouncing Balll Virus. This program deletes the virus from the boot sector
  71. but it *DOES NOT* fix the FAT so that the sector which was marked as bad
  72. would be un-marked.
  73.  
  74. Is there a program to un-mark the bad sector???
  75.  
  76. - -Yuval Tal (NYYUVAL@WEIZMANN)
  77.  
  78. +-----------------------------------------------------------------------+
  79. | BitNet:   NYYUVL@WEIZMANN              CSNet: NYYUVAL@WEIZMANN.BITNET |
  80. | InterNet: NYYUVAL%WEIZMANN.BITNET@CUNYVM.CUNY.EDU                     |
  81. |                                                                       |
  82. | Yuval Tal                          "Mjolnir, My fateful hammer,       |
  83. | The Weizmann Institute Of Science     return to me at once!" - Thor   |
  84. | Rehovot, Israel                    "Aiwa, Manafee" - Udi Schlessinger |
  85. +-----------------------------------------------------------------------+
  86.  
  87. ------------------------------
  88.  
  89. Date:    Sat, 15 Jul 89 15:36:00 -0500
  90. From:    <DCD@CUNYVMS1.BITNET>
  91. Subject: Corporate culture shift resulting from virus mis(?)information
  92.  
  93. I am actively involved with a large microcomputer BBS for Mechanical
  94. Engineers (CIME-ISE, 608-233-5378).  I will be giving a talk on the BBS
  95. at the International Computers in Engineering Conference this August in
  96. Anaheim, and am preparing a piece that will appear in the magazine
  97. Mechanical Engineering, the main organ (as they say) of the American
  98. Society of Mechanical Engineers (circ. approx. 130,000).
  99.  
  100. I understand that the messages here are in general somewhat academic and
  101. technical, but perhaps the following line of discussion may spark some
  102. interest.   I am intrigued by what can only be called the return of MIS:
  103. we all know the corporate Kulturkampf that took place not so many years
  104. ago when microcomputers became readily available--the MIS people (in large
  105. corporations) kicked and screamed, but eventually their power was diluted.
  106. Now, I am seeing reports that their day has returned.  Relatively techno-
  107. illiterate upper management sees reports on viruses in Time, etc., and puts
  108. a call in that all decisions on software must be blessed from a newly power-
  109. ful management structure.
  110.  
  111. Consider the following case, which I consider emblematic:  a project engineer
  112. at a large chemical installation plant can
  113. 1) sign off on $50,000 daily, but igf
  114.  
  115.     but if he wants a $200 copy of wordstar, e.g., he must ask his piping
  116. supplier to buy it and bury it in an invoice;
  117. 2) he must use some cock-a-mamie line editor on his central computer; he, and
  118. many other engineers, circumvent this by burying their favorite programs on
  119. some hidden directory (of course against compnay policy)
  120. 3) he is being hassled about using the engineering BBS, and all BBS's in
  121. general.  A valuable resource is being maligned and his productivity will
  122. suffer.
  123.  
  124. I have no doubt that such corporate shenanigans are taking place all
  125. the time, and would be interested in any comments.
  126.  
  127. Thanks for your time in reading this,
  128.  
  129.         Robert Braham
  130. E-mail: DCD@CUNYVMS1.BITNET
  131. Home:   1315 Third Ave., 4D
  132.         New York, NY  10021
  133.         (212) 879-1026
  134.  
  135. ------------------------------
  136.  
  137. Date:    Sat, 15 Jul 00 19:89:11 +0000
  138. From:    biar!trebor@uunet.uu.net (Robert J Woodhead)
  139. Subject: Re: 2 remarks
  140.  
  141. DLV@CUNYVMS1.BITNET (Dimitri Vulis) writes:
  142. >1. The English language has certain traditional ways of naming groups
  143. >of animals, e.g., a goggle of goblins, a school of fish, a pack of
  144. >wolves, etc.  Since both `virus' and `Trojan horse' have some kind of
  145. >animal overtones, I wonder what other people (preferably English
  146. >majors) think is a good way to name a group of those beasts.
  147.  
  148.         1) A Plague of Viruses.
  149.         2) A Herd of Trojan Horses.
  150.  
  151. [Ed. name for "group" of Trojans deleted...]
  152.  
  153. (^;-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-;^)
  154. Robert J Woodhead, Biar Games, Inc.   !uunet!biar!trebor | trebor@biar.UUCP
  155.   ``I can read your mind - right now, you're thinking I'm full of it...''
  156.  
  157. ------------------------------
  158.  
  159. Date:    Mon, 17 Jul 89 09:24:33 -0700
  160. From:    rogers@marlin.nosc.mil (Rollo D. Rogers)
  161. Subject: Re: Virus Identification Software
  162.  
  163. Last thursday i spoke with the author of the VIRUSCAN software Mr.
  164. McAfee. Based on that conversation i would like to present the
  165. following info concerning the scan program:
  166.  
  167.    1. There is indeed a slight problem when running scan.exe with
  168.    a DOS version of 2.11 and perhaps any version under 3.0. The
  169.    scan results apparently are not correct when scanning/searching
  170.    "multiple" diskettes in Drive A. So the apparent fix for the problem
  171.    is to either a) type the "dir" command before inserting and scanning
  172.    succeeding diskettes or b) hit the Ctrl C keys before running scan
  173.    on the next disk. If the user does not do this they will probably NOT
  174.    get an acccurate scan and report of the files on the disks following
  175.    the first diskette searched. And you could possibly have infected files
  176.    on a diskette that would not be identified. This problem is easy to
  177.    duplicate if you run scan.exe on multiple disks using DOS V2.11.
  178.    I was able to duplicate the problem on my NCR PC-6 machine.
  179.    One other user also reported in a previous VIRUS-L posting that he had
  180.    experienced the same thing.
  181.  
  182.    2. Also according to Mr. McAfee V019 was a beta test version and
  183.    Version020 is now available on the HOMEBASE BBS for downloading.
  184.  
  185. Maybe someone could grab V020 and check it out. If OK then send it to
  186. SIMTEL20 for people on the Internet to obtain.
  187.  
  188.   REgards, RollO~~
  189.  
  190. ------------------------------
  191.  
  192. Date:    Mon, 17 Jul 89 13:43:40 -0400
  193. From:    HAUPTMAN@DMRHRZ11.BITNET
  194. Subject: FluShot+ and 1701 virus (PC)
  195.  
  196. Things I've learned since my first message on our virus:
  197.  
  198. There is a 'Virus Epidemic Center' at University Hamburg (Prof. Brunnstein) and
  199. their VIRUS-KATALOG list something called Herbstvirus or Blackjack. It's
  200. description sounds similar to our symptoms although it increases *.COM files by
  201. 1704 bytes while our virus needs 1701.
  202.  
  203. On one mailing list I found an announcement:
  204.    'DVIR1701.EXE -- detects and removes 1701 from COM files'
  205.  
  206. After installing Flushot+ and executing one of the infected files FSP brought
  207. up the message:
  208.    'An attempt is being made to infect your system by:
  209.     Cascade Virus (aka 1704 Virus)                     '
  210. Beside that experiment no further problems were revealed by FSP and our system
  211. is still up and running.
  212.  
  213. Things I still would like to know:
  214.  
  215. Did someone unassemble this virus?
  216. What was it supposed to do?
  217. Can infection be caused by other programs than those identified by 01 FA 8B EC?
  218. Can other files be already corrupted by this virus?
  219.  
  220.  --- Klaus Hauptmann
  221.    (msommer on BIX, HAUPTMAN@DMRHRZ11 on Earn/Bitnet)
  222.  
  223. ------------------------------
  224.  
  225. Date:    Mon, 17 Jul 89 11:01:20 -0700
  226. From:    arc!steve@apple.com (Steve Savitzk{)
  227. Subject: Re: 2 remarks
  228.  
  229. an infection of viruses
  230.   (plague is another possibility, perhaps reserved for widespread
  231.    infections)
  232.  
  233. an ambush of Trojan horses
  234.  
  235. and, of course,
  236.  
  237. a can of worms
  238.  
  239. - --
  240.   Steve Savitzky     | steve@arc.uucp | apple.com!arc!steve
  241.   ADVANsoft Research Corp.    |  (408) 727-3357(w) / 294-6492(h)
  242.   4301 Great America Parkway  |  #include<disclaimer.h>
  243.   Santa Clara, CA  95054      |  May the Source be with you!
  244.  
  245. ------------------------------
  246.  
  247. Date:    13 Jul 89 19:18:08 +0000
  248. From:    frisk@rhi.hi.is (Fridrik Skulason)
  249. Subject: Request for boot sector information
  250.  
  251. I need an answer to the following question:
  252.  
  253.     In the boot sector of every diskette and hard disk there is a short
  254.     string starting at the fourth byte. This string contains information
  255.     about the version of DOS used to format the disk/diskette.
  256.     Typically it is something like "IBM   3.0" or "MSDOS2.0".
  257.     What I need to know is: What other possibilities are there ?
  258.  
  259. The reason I'm asking this question is as follows:
  260.  
  261.     I'm working on a package of programs for fighting computer
  262.     viruses on the PC. One program in this package tries to determine
  263.     if the boot sector has been infected by some virus. Since some
  264.     viruses modify the label described above, it is one of the things
  265.     I check on each diskette. For example, one well-known virus will
  266.     write 1234 in this place, and another (the Pentagon virus) will write
  267.     "HAL" there.
  268.  
  269.     Now - my problem is that one person who was using a beta-test version
  270.     of the program told me that the program would flag diskettes formatted
  271.     on a Cordata machine as "Possibly infected by an unknown virus".
  272.  
  273.     Examination revealed that the reason was the string "CDS" instead of
  274.     "IBM" or "MSDOS". Therefore I am asking for a bit of assistance.
  275.     If you have a machine from somebody other than IBM, please take a look
  276.     at this portion of the boot sector, using NORTON or some similar program.
  277.     If it contains a string different from "IBM", "MSDOS" or "CDS", please
  278.     send me information on the string and the machine type.
  279.  
  280. Of course - the package will be distributed freely when finished - Expect
  281. it to appear on comp.binaries.ibm.pc or in some accessible place.
  282.  
  283. I just need to obtain a few more viruses to test it against first. Currently
  284. I have only tested it (and found it 100% effective) against Brain, Ping-Pong,
  285. 1704 and a new Icelandic (I think) virus.
  286.  
  287. This message would have been posted to comp.virus, but since it is not
  288. operating right now, I am posting it here.
  289.  
  290.          Fridrik Skulason          University of Iceland
  291.          frisk@rhi.hi.is
  292.           Guvf yvar vagragvbanyyl yrsg oynax .................
  293.  
  294. ------------------------------
  295.  
  296. End of VIRUS-L Digest
  297. *********************
  298.  
  299. Downloaded From P-80 International Information Systems 304-744-2253
  300.