home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.163 < prev    next >
Encoding:
Text File  |  1995-01-03  |  12.3 KB  |  291 lines
  1. VIRUS-L Digest   Friday, 28 Jul 1989    Volume 2 : Issue 163
  2.  
  3. Today's Topics:
  4.  
  5. Vendor distribution of Jerusalem virus (PC)
  6. Beta Testing for Flu_Shot+ (PC)
  7. Virus Guard problems (PC)
  8. VIRUSCAN and the 1701 virus (PC)
  9. Re: resource fork viruses (Apple II)
  10. do I need a doctor?
  11. Re: Less well known viruses?
  12. The British Computer Virus Research Centre
  13. more on intentional viruses by software manuft.
  14. Re: Viruscan tested.
  15.  
  16. ---------------------------------------------------------------------------
  17.  
  18. Date:    Thu, 27 Jul 89 09:06:27 -0500
  19. From:    "Mark S. Zinzow" <MARKZ@UIUCVMD.BITNET>
  20. Subject: Vendor distribution of Jerusalem virus (PC)
  21.  
  22. MetraByte Corp. shipped an ASYSTANT GPIB demo. disk with an MBC-488
  23. card containing the Jerusalem virus to a department on campus.  We
  24. found the program VIRUSCAN to be very useful in detecting this virus
  25. on the four systems in that dept. it had spread to.  At this time we
  26. have no indication of the virus speading anywhere else on campus, but
  27. recommend the use of VIRUSCAN as a precaution.
  28.  
  29. According to a letter from MetraByte dated July 11, 1989, ASYSTANT
  30. GPIB demo disks shipped after May 17, 1989 may contain the virus.  In
  31. another letter they note a possible symptom of the virus, "...a black
  32. spot may appear on the disply periodically on the upper left hand side
  33. of the screen.  The virus blanks out a portion of the display of about
  34. 4 rows and 10 columns while in DOS or in some other application..."
  35.  
  36. We found the description of the Jerusalem virus in the file allvirus.txt
  37. obtained from ms.uky.edu helpful in understanding the behavior of this
  38. virus.  Does anyone know if there is a PD program that will restore exe
  39. and com files to their original state removing the infection?
  40.  
  41. - -------Electronic Mail----------------------------U.S.
  42.  Mail--------------------
  43. ARPA: markz@vmd.cso.uiuc.edu         Mark S. Zinzow, Research Programmer
  44. BITNET: MARKZ@UIUCVMD.BITNET         University of Illinois at Urbana-Champaign
  45. CSNET: markz%uiucvmd@uiuc.csnet      Computing Services Office
  46.  "Oh drat these computers, they are  150 Digital Computer Laboratory
  47.    so naughty and complex I could    1304 West Springfield Ave.
  48.   just pinch them!"  Marvin Martian  Urbana, IL 61801-2987
  49. USENET/uucp: {uunet,convex,att}!uiucuxc!uiucuxe!zinzow
  50. Phone: (217) 244-1289  Office: CSOB 110 \markz%uiucvmd
  51.  
  52. ------------------------------
  53.  
  54. Date:    Thu, 27 Jul 89 08:24:28 -0400
  55. From:    "Gregory E. Gilbert" <C0195@UNIVSCVM.BITNET>
  56. Subject: Beta Testing for Flu_Shot+ (PC)
  57.  
  58. Recently, Mr. Greenberg posted a notice he wanted beta testers for his
  59. FluShot+.  I tried to contact him at:
  60.  
  61. UTODAY!GREENBER@UUNET.UU.NET  .
  62.  
  63. The mail was returned with an uknown user:  GREENBER   .
  64.  
  65. Does anyone have a current address for Ross Greenberg?  (I am a user at a
  66. BITNET node)
  67.  
  68. Thanks for the help and I apologize for the Public posting of private
  69. concerns.
  70.  
  71. Gregory E. Gilbert
  72.  
  73. [Ed. Ross is on a UNIX machine, try "greenber", not "GREENBER".]
  74.  
  75. ------------------------------
  76.  
  77. Date:    Thu, 27 Jul 89 09:28:00 -0700
  78. From:    GORDON_A%CUBLDR.Colorado.EDU@IBM1.CC.Lehigh.Edu
  79. Subject: Virus Guard problems (PC)
  80.  
  81. A friend recently installed the memory resident program Virus Guard in
  82. his AT clone.  He then started having problems formating his floppy
  83. drives.  After Virus Guard was removed, the problems disappeared.  Any
  84. comments about this?
  85.  
  86. Allen Gordon
  87.  
  88. ------------------------------
  89.  
  90. Date:    Thu, 27 Jul 89 09:24:51 -0700
  91. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  92. Subject: VIRUSCAN and the 1701 virus (PC)
  93.  
  94.  
  95. This is a forwarded message from John McAfee:
  96.  
  97. ============================================================================
  98.  
  99. Christer Olsson noted that VIRUSCAN will not detect the 1701/1704 virus
  100. in EXE files.  I originally designed the program not to check EXE files
  101. for the 1701/1704 because the virus will not and cannot infect true EXE
  102. programs.  If, however, you rename your COM files to EXE files, as Christer
  103. Olsson has stated, the virus will infect.  I did not anticipate this
  104. eventuality, and for timing purposes, scanned only COM files.   On the
  105. assumption that there will be others who rename COM files to EXE files,
  106. version V31 of VIRUSCAN, which checks EXE files for 1701/1704, is now
  107. available.  It also has been modified to detect the new version of the
  108. Icelandic.
  109.  
  110. John McAfee
  111. VIRUSCAN available on HomeBase - 408 988 4004
  112.  
  113. ------------------------------
  114.  
  115. Date:    Thu, 27 Jul 89 16:22:44 -0400
  116. From:    davewt@NCoast.ORG (David Wright)
  117. Subject: Re: resource fork viruses (Apple II)
  118.  
  119.         Maybe it's not that there aren't any good programmers any
  120. more, maybe it's that theu moved off IBM and Apple Machines. Take
  121. Cap'n Crunch... Now a big Amiga hacker... All the Amiga virus programs
  122. "get down to the metal", and use direct patches to the CPU vectors to
  123. protect themselves. In fact, the Amiga virus showed up long before the
  124. Mac and PC viruses (that have been in the news recently), yet got
  125. almost no publicity...
  126.  
  127.  
  128. ------------------------------
  129.  
  130. Date:    27 Jul 89 21:30:41 +0000
  131. From:    Eileen M Garland <eileen@vax1.acs.udel.edu>
  132. Subject: do I need a doctor?
  133.  
  134.  
  135. I have a PS/2 Model 30.  Recently, some diskettes have become suddenly
  136. unreadable.  In addition, executing WP5.0 became so slow that I erase
  137. the exe file and copied the original back onto the hard disk.
  138.  
  139. Does this sound like some virus?  If so, what do I do next?  Please
  140. explain in detailed, non-technical terms, if possible.  (If this
  141. news group is the wrong place for this type of question, I apologize;
  142. I notice that the articles seem quite technical and fairly general,
  143. but I could sure use some help.)
  144.  
  145.  
  146. ------------------------------
  147.  
  148. Date:    27 Jul 89 23:07:43 +0000
  149. From:    kelly@uts.amdahl.com (Kelly Goen)
  150. Subject: Re: Less well known viruses?
  151.  
  152.  
  153. I am passing the following message on for John MacAfee of the HomeBase BBS
  154.  
  155.         There has been some confusion about the Bantam Book's "DOS
  156. Power Tools" diskettes, and the recent Wayne State newsletter
  157. advising purchasers of the book not to use the diskettes has
  158. obviously concerned the editors at Bantam - and the warning is
  159. unwarranted.
  160.         I was originally contacted by Robert Dimsdale of the NSA in
  161. April of this year, reporting an unusual virus.  He reported that
  162. he 'believed' the infection came into the shop through the Bantam
  163. book.  Subsequent reports from two separate organizations also
  164. indicated the 'possibility' of infection from the book.  The
  165. reports were placed on the HomeBase board as routine notes for the
  166. HomeBase researchers tracing down the Missouri virus.  I contacted
  167. Bantam Books to report the possible occurrences, and their research
  168. at that time indicated that the reported infections were caused by
  169. agents other than the book.  I concurred.  The original Dimsdale
  170. diskette was destroyed before it could be analyzed, and the hard
  171. disk was low level reformatted.  Both other reports yielded no
  172. analyzable sample.
  173.         I have spoken twice with Steve Guty of Bantam today, and he
  174. tells me that Bantam has sold over 200,000 copies of the book and
  175. accompanying diskette.  With this number of copies in circulation,
  176. it is entirely reasonable to expect multiple occurrences of pre-
  177. existing infection in a system which activate on or about the time
  178. that the Power Tools diskette is installed.  The user might then
  179. equate the virus activation with installation of the diskette, even
  180. though the virus may have been in the system for weeks or months
  181. prior to the installation of the Power Tools diskette.  This
  182. happens hundreds of times each month with other software packages.
  183. Rarely, in these cases, has the virus involved actually been
  184. introduced with the diskette that was suspected by the system user.
  185.         Given the wide circulation of the Bantam book, it is highly
  186. unlikely that it could contain a virus without overwhelming numbers of
  187. infection occurrences being reported.  Also, sample copies of the book
  188. purchased around the country by researchers have shown no indication
  189. of infection.  The Wayne State newsletter recommendation, in my
  190. opinion, should be ignored.  The Bantam Book software appears as safe
  191. as any vendor supplied software.
  192.  
  193. Disclaimer: Neither Amdahl Corp, Onsite Consulting nor CSS Inc.
  194.             have any comment on the above data, Nor is any claim
  195.             or warrenty made,given, expressed or implied as to
  196.             the accuracy or content of the above data.The e-mail was
  197.                   passed as a courtesy to Interpath and as a Public
  198.                Service Message to clears misconceptions the net may
  199.                have had about the above subject matter.
  200.  
  201. ------------------------------
  202.  
  203. Date:    Thu, 27 Jul 89 19:31:00 -0400
  204. From:    WHMurray@DOCKMASTER.ARPA
  205. Subject: The British Computer Virus Research Centre
  206.  
  207. I am not yet ready to institutionalize viruses.  The rush to do so
  208. strikes me as unseemly opportunism.
  209.  
  210. I recognize the need to do research and the value of the work done to
  211. date.  However, that work demonstrates that it can be done in existing
  212. institutions with broad and noble missions.  Narrow, specialized
  213. institutions are not required.  There creation runs the risk of
  214. establishing the very behavior that they rightfully resist.
  215.  
  216. ____________________________________________________________________
  217. William Hugh Murray                     216-861-5000
  218. Fellow,                                 203-966-4769
  219. Information System Security             203-964-7348 (CELLULAR)
  220. Ernst & Young                           ARPA: WHMurray @ DOCKMASTER
  221. 2000 National City Center               MCI-Mail: 315-8580
  222. Cleveland, Ohio 44114                   TELEX: 6503158580
  223.                                         FAX: 203-966-8612
  224. 21 Locust Avenue, Suite 2D              Compu-Serve: 75126,1722
  225. New Canaan, Connecticut 06840           TELEMAIL: WH.MURRAY/EWINET.USA
  226.  
  227.  
  228. ------------------------------
  229.  
  230. Date:    Thu, 27 Jul 89 18:10:00 -0500
  231. From:    Gordon Meyer <TK0GRM1@NIU.BITNET>
  232. Subject: more on intentional viruses by software manuft.
  233.  
  234. A number of weeks somebody posed a question about software
  235. companies releasing viruses, on purpose, in order to protect
  236. their rights.  At that time I responded with a reference to
  237. an article where a software author reportedly did know of several
  238. (or at least some) companies that were doing so.  Obviously the
  239. sources for such information were not disclosed.
  240. I received a few flames for mentioning the article, but mostly
  241. from industry mouthpieces that wanted to emphatically deny such
  242. a thing was happening.
  243.  
  244. Well...yet another "industry insider" has hinted that such things
  245. are happening:
  246.  
  247. Home-Office Computing. August 1988. Page 80.  In a games preview
  248. column the author states that some companies have developed
  249. "virus protection" for their programs.... this "virus protection"
  250. is designed to discourage crackers from re-engineering the program
  251. code to remove copy protection.
  252.  
  253. That's all it says....very vague and could very well be another
  254. case of "virus" being used in the wrong context. But, the blurb
  255. does indicate that companies are doing so "secretly" and don't
  256. want folks to know about it.
  257.  
  258. Again, turn off the flame throwers.  I'm not saying such things
  259. *are* going on....just that there are indications that it *may*
  260. be.  Screaming "no way" is ignoring the potential and fails to
  261. account for these rumours.
  262.  
  263. - -=->G<-=-
  264.  
  265. ------------------------------
  266.  
  267. Date:    27 Jul 89 23:59:32 +0000
  268. From:    kelly@uts.amdahl.com (Kelly Goen)
  269. Subject: Re: Viruscan tested.
  270.  
  271.  
  272. In article <0005.8907261137.AA08543@ge.sei.cmu.edu>, cth_co@tekno.chalmers.se (
  273. CHRISTER OLSSON) writes:
  274. > I tested VIRUSCAN but it can't found 1701/1704 (Cascade) virus in files
  275. > with EXE-extension. If you rename a COM-file to an EXE-file, the 1701
  276. > virus infected the file but VIRUSCAN don't check the file because
  277. > VIRUSCAN only search COM-files for the 1701/1704 (Cascade) -virus.
  278.  
  279. According to john McAfee at homebase and my own research the 1701 and
  280. 1704 viruses are COM infectors only at this point... not exe!!!
  281.                      hope this clears up any misconceptions
  282.                      cheers
  283.                      kelly
  284.  
  285.  
  286. ------------------------------
  287.  
  288. End of VIRUS-L Digest
  289. *********************
  290.  
  291. Downloaded From P-80 International Information Systems 304-744-2253
  292.