home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.182 < prev    next >
Encoding:
Text File  |  1995-01-03  |  8.7 KB  |  214 lines
  1. VIRUS-L Digest   Tuesday, 29 Aug 1989    Volume 2 : Issue 182
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Suggestion for "Ultimate Virus"
  17. Re: Destructive virus...
  18. Re: NEW VIRUS DICOVERED AND DISASSEMBLED
  19. Re: Destructive virus...
  20. List of viruses
  21. Antidotes for the DATACRIME family (PC)
  22. New PC Virus
  23. Re: (Hardware) Destructive Virus (Story)
  24.  
  25. ---------------------------------------------------------------------------
  26.  
  27. Date:    26 Aug 89 05:37:36 +0000
  28. From:    ari@eleazar.dartmouth.edu (Ari Halberstadt)
  29. Subject: Suggestion for "Ultimate Virus"
  30.  
  31. Hello everyone,
  32.  
  33. I've been thinking lately of how to write the ultimate virus, one
  34. that would be very hard to identify with pattern matching
  35. techniques, though perhaps single stepping through it would
  36. work. At any rate, if my ideas are good [for the viruses, not
  37. users], I do not want to post them to the world at large. I was
  38. wondering who is a trusted expert on the subject who would
  39. be interested in hearing my ideas?
  40.  
  41. I've never written a virus, and I do not intend to write one.
  42. If I ever felt foolish enough to do so, it would be a benign
  43. experiment -- though it may fill up the disk. This is simply
  44. a theoretical exercise. Part of the value of dreaming up
  45. an ultimate virus is being a step ahead of the virus
  46. makers: if we know where they're going, we can beat them
  47. to it.
  48.  
  49. - -- Ari Halberstadt '91, "Long live succinct signatures"
  50. E-mail: ari@eleazar.dartmouth.edu       Tel: (603) 640-5687
  51. Disclaimer: "Live Free or Die"
  52.  
  53. [Ed. I wonder if that's what RTM thought...]
  54.  
  55. ------------------------------
  56.  
  57. Date:    25 Aug 89 16:53:27 +0000
  58. From:    ucrmath!proton!muon!baumann@ucsd.edu (Michael Baumann)
  59. Subject: Re: Destructive virus...
  60.  
  61.  
  62. In article <0002.8908241743.AA12387@ge.sei.cmu.edu> dmg@mwunix.mitre.org (David
  63.  Gursky) writes:
  64. >Does anyone on the list have some information about an alleged virus that
  65. >caused monitors on either older PCs, Ataris, or Amigas (I forgot which plat-
  66. >form was susceptible) to self-destruct?  We were discussing this nasty over
  67. >lunch the other day and are interested in finding out more.
  68.  
  69. I believe that you are thinking of the older PC, with the original
  70. IBM Mono adaptor. It is possible in software to shut off the sync signal,
  71. and in the original mono monitor, this meant that DC was applied to the
  72. flyback transformer. POOF.
  73.  
  74.  
  75. - -----------------------------------------------------------------------------
  76. Radiation Research Lab          |Internet: baumann%proton.UUCP@ucrmath.UCR.EDU
  77. Loma Linda Universtiy Medical Center |        UUCP: ...ucrmath!proton!baumann
  78. Loma Linda, California. (714)824-4077|
  79.  
  80. ------------------------------
  81.  
  82. Date:    Sun, 27 Aug 89 08:33:09 -0400
  83. From:    corpane!disk!jcsewell@e.ms.uky.edu (Jim Sewell)
  84. Subject: Re: NEW VIRUS DICOVERED AND DISASSEMBLED
  85.  
  86. Regarding the name VACSINA:
  87.  
  88.         Vaccine makes no sense as a name for a virus unless it was to be
  89. passed off as a vaccine.  This program doesn't sound as if it was meant to
  90. fool people with that ruse so I suggest that perhaps the name has nothing
  91. to do with vaccines.  Perhaps it is the Dec VAX or Vacation or Vaccuum as
  92. opposed to vaccine.  Just a thought.
  93.                 Jim
  94.  
  95. ------------------------------
  96.  
  97. Date:    25 Aug 89 09:03:25 +0000
  98. From:    Sam Wilson <samw@castle.ed.ac.uk>
  99. Subject: Re: Destructive virus...
  100.  
  101.  
  102. In article <0002.8908241743.AA12387@ge.sei.cmu.edu> dmg@mwunix.mitre.org (David
  103.  Gursky) writes:
  104. >Does anyone on the list have some information about an alleged virus that
  105. >caused monitors on either older PCs, Ataris, or Amigas (I forgot which plat-
  106. >form was susceptible) to self-destruct?
  107.  
  108. I don't know of any virus which does this but a couple of years ago I
  109. recall being told about a screen saver for the PC which assumed you were
  110. using an {IBM|Hercules} controller.  It worked by directly writing to
  111. the registers of the controller chip.  When you used it with a
  112. {Hercules|IBM} card the the controller was different and the values
  113. poked into the registers caused the controller to run at some strange
  114. scan rate which occasionally caused the monitor and/or the driver
  115. hardware on the controller card to burst into flames.
  116.  
  117. Sam Wilson
  118. Edinburgh University Computing Service, Scotland
  119. - ----------
  120. "What we really need ....
  121.  
  122. ... is a piece of software that actually makes a computer blow up just
  123. like in the movies...."
  124.  
  125.  
  126. ------------------------------
  127.  
  128. Date:    Mon, 28 Aug 89 12:19:00 -0500
  129. From:    Craig Minton <U12345C%OSUCC.BITNET@IBM1.CC.Lehigh.Edu>
  130. Subject: List of viruses
  131.  
  132. If someone is keeping a list of all of the viruses that have been
  133. talked about on this list, I would appreciate it if he/she would
  134. send me a list of them in message format.  If you don't have
  135. them all, I would appreciate what you have.  I am trying get a
  136. compilation of them for later reference, etc.  I need it to
  137. say what the virus is, what it does, how it works, and possible
  138. remedies.  I particularly like the format that was used when
  139. the swapping virus was reported.  Thanks for any help.
  140.                 .....Craig.....
  141.  
  142. ------------------------------
  143.  
  144. Date:    Mon, 28 Aug 89 13:45:10 -0700
  145. From:    fu@unix.sri.com (Christina Fu)
  146. Subject: Antidotes for the DATACRIME family (PC)
  147.  
  148.     Recently, I have had a chance to investigate the 1280, 1168 and
  149. DATACRIME II viruses, and found some interesting differences between
  150. the first two versions and DATACRIME II.  As a result, I have
  151. developed an antidote for both 1280 and 1168, and an antidote for the
  152. DATACRIME II.  Among the differences between these viruses, the most
  153. significant one for developing antidotes is that the DATACRIME II
  154. virus generates a mutually exclusive signature set than the other two.
  155. Because of the said difference, the antidote for the 1280 and 1168
  156. becomes a de-antidote for the DATACRIME II, and vice versa.  Which
  157. means, if a file is infected with either 1280 or 1168, it is still
  158. vulnerable of contracting DATACRIME II, and vice versa (this situation
  159. does not exist between 1280 and 1168, however).  If we view these
  160. viruses as two different strains, then these antidotes make more
  161. sense, otherwise, they can be useless.
  162.  
  163.     Another interesting thing is that the DATACRIME II purposely
  164. avoids infecting files with a "b" as the second character in the name
  165. (such as IBMBIO.COM and IBMDOS.COM), while the other two avoids to
  166. infect files with a "d" as the seventh character in the name (such as
  167. COMMAND.COM), and aside from that, the DATACRIME II virus can also
  168. infect EXE files, unlike the other two.
  169.  
  170.     I am looking into providing them to the public free of charge (I
  171. do not claim responsibility or ask for donation).  Any interested
  172. archive sites please let me know.
  173.  
  174.     By the way, I need a sample disclaimer for programs distributed in
  175. this manner.
  176.  
  177.  
  178. ------------------------------
  179.  
  180. Date:    Mon, 28 Aug 89 21:10:56 -0700
  181. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  182. Subject: New PC Virus
  183.  
  184.     A new PC virus has been turned over to the CVIA by RAP Systems of
  185. San Bruno, CA.  RAP Systems discovered the virus at one of their
  186. Northern California client sites on August 17.  The virus infects COM
  187. and EXE files (with the exception of COMMAND.COM) and increases their
  188. size by exactly 2500 bytes.  The virus seems to have an activation
  189. date of Friday 13, and when activated, it destroys both executable and
  190. data files in a seemingly random fashion.
  191.     Of interest is the fact that the infected client was also infected
  192. with the Jerusalem Virus version B.  Both viruses appeared able to
  193. infect the same files.
  194.     The virus has been temporarily dubbed the RAP virus.  More info.
  195. will be reported as we take it apart.
  196. Alan
  197.  
  198. ------------------------------
  199.  
  200. Date:    29 Aug 89 09:09:22 +0000
  201. From:    kelly@uts.amdahl.com (Kelly Goen)
  202. Subject: Re: (Hardware) Destructive Virus (Story)
  203.  
  204. p.s. I did in fact accidentally test the code to destruction...sigh I
  205. didnt beleive at the time that the design could be so abysymally
  206. stupid and managed to burn out my monitor at the time!! thoroughly
  207. embarrassing!!
  208.  
  209. ------------------------------
  210.  
  211. End of VIRUS-L Digest
  212. *********************
  213. Downloaded From P-80 International Information Systems 304-744-2253
  214.