home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.209 < prev    next >
Encoding:
Text File  |  1995-01-03  |  29.8 KB  |  705 lines
  1. VIRUS-L Digest   Monday,  2 Oct 1989    Volume 2 : Issue 209
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Introduction to the anti-viral archives
  17. Amiga anti-viral archive sites
  18. Apple II anti-viral archive sites
  19. Atari ST anti-viral archive sites
  20. Documentation anti-viral archive sites
  21. IBMPC anti-viral archive sites
  22. Macintosh anti-viral archive sites
  23. UNIX anti-viral archive sites
  24. Why not change OS?
  25. M-1704.EXE (PC)
  26. Follow up on Tiger Team comments.
  27. Configuring FluShot (PC)
  28. Re: Tiger Team comments
  29. Future AV software (PC)
  30. The book you've all been waiting for?
  31.  
  32. ---------------------------------------------------------------------------
  33.  
  34. Date:    30 Sep 89 09:23:48 +0000
  35. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  36. Subject: Introduction to the anti-viral archives
  37.  
  38.  
  39. # Introduction to the Anti-viral archives...
  40. # Listing of 30 September 1989
  41.  
  42. This posting is the introduction to the "official" anti-viral archives
  43. of virus-l/comp.virus.  With the generous cooperation of many sites
  44. throughout the world, we are attempting to make available to all
  45. the most recent news and programs for dealing with the virus problem.
  46. Currently we have sites for Amiga, Apple II, Atari ST, IBMPC, Macintosh
  47. and Unix computers, as well as sites carrying research papers and
  48. reports of general interest.
  49.  
  50. If you have general questions regarding the archives, you can send
  51. them to this list or to me.  I'll do my best to help.  If you have a
  52. submission for the archives, you can send it to me or to one of the
  53. persons in charge of the relevant sites.
  54.  
  55. If you have any corrections to the lists, please let me know.
  56.  
  57.  
  58. ------------------------------
  59.  
  60. Date:    30 Sep 89 09:25:11 +0000
  61. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  62. Subject: Amiga anti-viral archive sites
  63.  
  64.  
  65. # Anti-viral archive sites for the Amiga
  66. # Listing last changed 30 September 1989
  67.  
  68. cs.hw.ac.uk
  69.         Dave Ferbrache <davidf@cs.hw.ac.uk>
  70.         NIFTP from JANET sites, login as "guest".
  71.         Electronic mail to <info-server@cs.hw.ac.uk>.
  72.         Main access is through mail server.
  73.         The master index for the virus archives can be retrieved as
  74.                 request: virus
  75.                 topic: index
  76.         The Amiga index for the virus archives can be retrieved as
  77.                 request: amiga
  78.                 topic: index
  79.         For further details send a message with the text
  80.                 help
  81.         The administrative address is <infoadm@cs.hw.ac.uk>
  82.  
  83. ms.uky.edu
  84.         Sean Casey <sean@ms.uky.edu>
  85.         Access is through anonymous ftp.
  86.         The Amiga anti-viral archives can be found in /pub/amiga/Antivirus.
  87.         The IP address is 128.163.128.6.
  88.  
  89. uk.ac.lancs.pdsoft
  90.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
  91.         Service for UK only; no access from BITNET/Internet/UUCP
  92.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
  93.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
  94.         Pull the file "help/basics" for starter info, "micros/index" for index.
  95.         Anti-Viral stuff is held as part of larger micro software collection
  96.         and is not collected into a distinct area.
  97.  
  98. uxe.cso.uiuc.edu
  99.         Mark Zinzow <markz@vmd.cso.uiuc.edu>
  100.         Lionel Hummel <hummel@cs.uiuc.edu>
  101.         The archives are in /amiga/virus.
  102.         There is also a lot of stuff to be found in the Fish collection.
  103.         The IP address is 128.174.5.54.
  104.         Another possible source is uihub.cs.uiuc.edu at 128.174.252.27.
  105.         Check there in /pub/amiga/virus.
  106.  
  107.  
  108. ------------------------------
  109.  
  110. Date:    30 Sep 89 09:27:01 +0000
  111. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  112. Subject: Apple II anti-viral archive sites
  113.  
  114.  
  115. # Anti-viral archive sites for the Apple II
  116. # Listing last changed 30 September 1989
  117.  
  118. brownvm.bitnet
  119.         Chris Chung <chris@brownvm.bitnet>
  120.         Access is through LISTSERV, using SEND, TELL and MAIL commands.
  121.         Files are stored as
  122.                 apple2-l xx-xxxxx
  123.         where the x's are the file number.
  124.  
  125. cs.hw.ac.uk
  126.         Dave Ferbrache <davidf@cs.hw.ac.uk>
  127.         NIFTP from JANET sites, login as "guest".
  128.         Electronic mail to <info-server@cs.hw.ac.uk>.
  129.         Main access is through mail server.
  130.         The master index for the virus archives can be retrieved as
  131.                 request: virus
  132.                 topic: index
  133.         The Apple II index for the virus archives can be retrieved as
  134.                 request: apple
  135.                 topic: index
  136.         For further details send a message with the text
  137.                 help
  138.         The administrative address is <infoadm@cs.hw.ac.uk>
  139.  
  140. uk.ac.lancs.pdsoft
  141.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
  142.         Service for UK only; no access from BITNET/Internet/UUCP
  143.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
  144.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
  145.         Pull the file "help/basics" for starter info, "micros/index" for index.
  146.         Anti-Viral stuff is held as part of larger micro software collection
  147.         and is not collected into a distinct area.
  148.  
  149.  
  150. ------------------------------
  151.  
  152. Date:    30 Sep 89 09:28:26 +0000
  153. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  154. Subject: Atari ST anti-viral archive sites
  155.  
  156.  
  157. # Anti-viral archive sites for the Atari ST
  158. # Listing last changed 30 September 1989
  159.  
  160. cs.hw.ac.uk
  161.         Dave Ferbrache <davidf@cs.hw.ac.uk>
  162.         NIFTP from JANET sites, login as "guest".
  163.         Electronic mail to <info-server@cs.hw.ac.uk>.
  164.         Main access is through mail server.
  165.         The master index for the virus archives can be retrieved as
  166.                 request: virus
  167.                 topic: index
  168.         The Atari ST index for the virus archives can be retrieved as
  169.                 request: atari
  170.                 topic: index
  171.         For further details send a message with the text
  172.                 help
  173.         The administrative address is <infoadm@cs.hw.ac.uk>.
  174.  
  175. panarthea.ebay
  176.         Steve Grimm <koreth%panarthea.ebay@sun.com>
  177.         Access to the archives is through mail server.
  178.         For instructions on the archiver server, send
  179.                 help
  180.         to <archive-server%panarthea.ebay@sun.com>.
  181.  
  182. uk.ac.lancs.pdsoft
  183.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
  184.         Service for UK only; no access from BITNET/Internet/UUCP
  185.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
  186.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
  187.         Pull the file "help/basics" for starter info, "micros/index" for index.
  188.         Anti-Viral stuff is held as part of larger micro software collection
  189.         and is not collected into a distinct area.
  190.  
  191.  
  192. ------------------------------
  193.  
  194. Date:    30 Sep 89 09:28:58 +0000
  195. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  196. Subject: Documentation anti-viral archive sites
  197.  
  198.  
  199. # Anti-viral archive sites for documentation
  200. # Listing last changed 30 September 1989
  201.  
  202. cs.hw.ac.uk
  203.         Dave Ferbrache <davidf@cs.hw.ac.uk>
  204.         NIFTP from JANET sites, login as "guest".
  205.         Electronic mail to <info-server@cs.hw.ac.uk>.
  206.         Main access is through mail server.
  207.         The master index for the virus archives can be retrieved as
  208.                 request: virus
  209.                 topic: index
  210.         The index for the **GENERAL** virus archives can be retrieved as
  211.                 request: general
  212.                 topic: index
  213.         The index for the **MISC.** virus archives can be retrieved as
  214.                 request: misc
  215.                 topic: index
  216.         **VIRUS-L** entries are stored in monthly and weekly digest form from
  217.         May 1988 to December 1988.  These are accessed as log.8804 where
  218.         the topic substring is comprised of the year, month and a week
  219.         letter.  The topics are:
  220.                 8804, 8805, 8806 - monthly digests up to June 1988
  221.                 8806a, 8806b, 8806c, 8806d, 8807a .. 8812d - weekly digests
  222.         The following daily digest format started on Wed 9 Nov 1988.  Digests
  223.         are stored by volume number, e.g.
  224.                 request: virus
  225.                 topic: v1.2
  226.         would retrieve issue 2 of volume 1, in addition v1.index, v2.index and
  227.         v1.contents, v2.contents will retrieve an index of available digests
  228.         and a extracted list of the the contents of each volume respectively.
  229.         **COMP.RISKS** archives from v7.96 are available on line as:
  230.                 request: comp.risks
  231.                 topic: v7.96
  232.         where topic is the issue number, as above v7.index, v8.index and
  233.         v7.contents and v8.contents will retrieve indexes and contents lists.
  234.         For further details send a message with the text
  235.                 help
  236.         The administrative address is <infoadm@cs.hw.ac.uk>
  237.  
  238. lehiibm1.bitnet
  239.         Ken van Wyk <LUKEN@LEHIIBM1.BITNET> new: <krvw@sei.cmu.edu>
  240.         This site has archives of VIRUS-L, and many papers of
  241.         general interest.
  242.         Access is through ftp, IP address 128.180.2.1.
  243.         The directories of interest are VIRUS-L and VIRUS-P.
  244.  
  245. uk.ac.lancs.pdsoft
  246.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
  247.         Service for UK only; no access from BITNET/Internet/UUCP
  248.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
  249.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
  250.         Pull the file "help/basics" for starter info, "micros/index" for index.
  251.         Anti-Viral stuff is held as part of larger micro software collection
  252.         and is not collected into a distinct area.
  253.  
  254. unma.unm.edu
  255.         Dave Grisham <dave@unma.unm.edu>
  256.         This site has a collection of ethics documents.
  257.         Included are legislation from several states and policies
  258.         from many institutions.
  259.         Access is through ftp, IP address 129.24.8.1.
  260.         Look in the directory /ethics.
  261.  
  262.  
  263. ------------------------------
  264.  
  265. Date:    30 Sep 89 09:29:52 +0000
  266. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  267. Subject: IBMPC anti-viral archive sites
  268.  
  269.  
  270. # Anti-viral archive for the IBMPC
  271. # Listing last changed 30 September 1989
  272.  
  273. cs.hw.ac.uk
  274.         Dave Ferbrache <davidf@cs.hw.ac.uk>
  275.         NIFTP from JANET sites, login as "guest".
  276.         Electronic mail to <info-server@cs.hw.ac.uk>.
  277.         Main access is through mail server.
  278.         The master index for the virus archives can be retrieved as
  279.                 request: virus
  280.                 topic: index
  281.         The IBMPC index for the virus archives can be retrieved as
  282.                 request: ibmpc
  283.                 topic: index
  284.         For further details send a message with the text
  285.                 help
  286.         The administrative address is <infoadm@cs.hw.ac.uk>
  287.  
  288. ms.uky.edu
  289.         Daniel Chaney <chaney@ms.uky.edu>
  290.         This site can be reached through anonymous ftp.
  291.         The IBMPC anti-viral archives can be found in /pub/msdos/AntiVirus.
  292.         The IP address is 128.163.128.6.
  293.  
  294. uk.ac.lancs.pdsoft
  295.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
  296.         Service for UK only; no access from BITNET/Internet/UUCP
  297.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
  298.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
  299.         Pull the file "help/basics" for starter info, "micros/index" for index.
  300.         Anti-Viral stuff is held as part of larger micro software collection
  301.         and is not collected into a distinct area.
  302.  
  303. uxe.cso.uiuc.edu
  304.         Mark Zinzow <markz@vmd.cso.uiuc.edu>
  305.         This site can be reached through anonymous ftp.
  306.         The IBMPC anti-viral archives are in /pc/virus.
  307.         The IP address is 128.174.5.54.
  308.  
  309. vega.hut.fi
  310.         Timo Kiravuo <kiravuo@hut.fi>
  311.         This site (in Finland) can be reached through anonymous ftp.
  312.         The IBMPC anti-viral archives are in /pub/pc/virus.
  313.         The IP address is 128.214.3.82.
  314.  
  315. wsmr-simtel20.army.mil
  316.         Keith Peterson <w8sdz@wsmr-simtel20.army.mil>
  317.         Direct access is through anonymous ftp, IP 26.2.0.74.
  318.         The anti-viral archives are in PD1:<MSDOS.TROJAN-PRO>.
  319.         Simtel is a TOPS-20 machine, and as such you should use
  320.         "tenex" mode and not "binary" mode to retreive archives.
  321.         Please get the file 00-INDEX.TXT using "ascii" mode and
  322.         review it offline.
  323.         NOTE:
  324.         There are also a number of servers which provide access
  325.         to the archives at simtel.
  326.         WSMR-SIMTEL20.Army.Mil can be accessed using LISTSERV commands
  327.         from BITNET via LISTSERV@NDSUVM1, LISTSERV@RPIECS and in Europe
  328.         from EARN TRICKLE servers.  Send commands to TRICKLE@<host-name>
  329.         (for example: TRICKLE@AWIWUW11).  The following TRICKLE servers
  330.         are presently available: AWIWUW11 (Austria), BANUFS11 (Belgium),
  331.         DKTC11 (Denmark), DB0FUB11 (Germany), IMIPOLI (Italy),
  332.         EB0UB011 (Spain) and TREARN (Turkey).
  333.  
  334.  
  335. ------------------------------
  336.  
  337. Date:    30 Sep 89 09:30:43 +0000
  338. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  339. Subject: Macintosh anti-viral archive sites
  340.  
  341.  
  342. # Anti-viral archive sites for the Macintosh
  343. # Listing last changed 30 September 1989
  344.  
  345. cs.hw.ac.uk
  346.         Dave Ferbrache <davidf@cs.hw.ac.uk>
  347.         NIFTP from JANET sites, login as "guest".
  348.         Electronic mail to <info-server@cs.hw.ac.uk>.
  349.         Main access is through mail server.
  350.         The master index for the virus archives can be retrieved as
  351.                 request: virus
  352.                 topic: index
  353.         The Mac index for the virus archives can be retrieved as
  354.                 request: mac
  355.                 topic: index
  356.         For further details send a message with the text
  357.                 help
  358.         The administrative address is <infoadm@cs.hw.ac.uk>
  359.  
  360. ifi.ethz.ch
  361.         Danny Schwendener <macman@ethz.uucp>
  362.         Interactive access through SPAN/HEPnet:
  363.                 $SET HOST 20766  or $SET HOST AEOLUS
  364.                 Username: MAC
  365.         Interactive access through X.25 (022847911065) or Modem 2400 bps
  366.         (+41-1-251-6271):
  367.                 # CALL B050 <cr><cr>
  368.                 Username: MAC
  369.         Files may also be copied via SPAN/HEPnet from
  370.                 20766::DISK8:[MAC.TOP.LIBRARY.VIRUS]
  371.  
  372. rascal.ics.utexas.edu
  373.         Werner Uhrig <werner@rascal.ics.utexas.edu>
  374.         Access is through anonymous ftp, IP number is 128.83.144.1.
  375.         Archives can be found in the directory mac/virus-tools.
  376.         Please retrieve the file 00.INDEX and review it offline.
  377.         Due to the size of the archive, online browsing is discouraged.
  378.  
  379. scfvm.bitnet
  380.         Joe McMahon <xrjdm@scfvm.bitnet>
  381.         Access is via LISTSERV.
  382.         SCFVM offers an "automatic update" service.  Send the message
  383.                 AFD ADD VIRUSREM PACKAGE
  384.         and you will receive updates as the archive is updated.
  385.         You can also subscribe to automatic file update information with
  386.                 FUI ADD VIRUSREM PACKAGE
  387.  
  388. sumex-aim.stanford.edu
  389.         Bill Lipa <info-mac-request@sumex-aim.stanford.edu>
  390.         Access is through anonymous ftp, IP number is 36.44.0.6.
  391.         Archives can be found in /info-mac/virus.
  392.         Administrative queries to <info-mac-request@sumex-aim.stanford.edu>.
  393.         Submissions to <info-mac@sumex-aim.stanford.edu>.
  394.         There are a number of sites which maintain shadow archives of
  395.         the info-mac archives at sumex:
  396.         * MACSERV@PUCC          services the Bitnet community
  397.         * LISTSERV@RICE         for e-mail users
  398.         * FILESERV@IRLEARN      for folks in Europe
  399.  
  400. uk.ac.lancs.pdsoft
  401.         Steve Jenkins <pdsoft@uk.ac.lancs.pdsoft>
  402.         Service for UK only; no access from BITNET/Internet/UUCP
  403.         Terminals : call lancs.pdsoft, login as "pdsoft", pwd "pdsoft"
  404.         FTP       : call lancs.pdsoft, user "pdsoft", pwd "pdsoft".
  405.         Pull the file "help/basics" for starter info, "micros/index" for index.
  406.         Anti-Viral stuff is held as part of larger micro software collection
  407.         and is not collected into a distinct area.
  408.  
  409. wsmr-simtel20.army.mil
  410.         Robert Thum <rthum@wsmr-simtel20.army.mil>
  411.         Access is through anonymous ftp, IP number 26.2.0.74.
  412.         Archives can be found in PD3:<MACINTOSH.VIRUS>.
  413.         Please get the file 00README.TXT and review it offline.
  414.  
  415.  
  416. ------------------------------
  417.  
  418. Date:    30 Sep 89 09:31:34 +0000
  419. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  420. Subject: UNIX anti-viral archive sites
  421.  
  422.  
  423. # Anti-viral and security archive sites for Unix
  424. # Listing last changed 30 September 1989
  425.  
  426. # Note that this listing is preliminary, and will likely change.
  427. # I know the information is far from complete, but I thought it would
  428. # be a good idea to get this out now instead of wait.
  429.  
  430. attctc
  431.         Charles Boykin <sysop@attctc.Dallas.TX.US>
  432.         Accessible through UUCP.
  433.  
  434. cs.hw.ac.uk
  435.         Dave Ferbrache <davidf@cs.hw.ac.uk>
  436.         NIFTP from JANET sites, login as "guest".
  437.         Electronic mail to <info-server@cs.hw.ac.uk>.
  438.         Main access is through mail server.
  439.         The master index for the virus archives can be retrieved as
  440.                 request: virus
  441.                 topic: index
  442.         For further details send a message with the text
  443.                 help
  444.         The administrative address is <infoadm@cs.hw.ac.uk>
  445.  
  446. netCS
  447.         Hans Huebner <huebner@db0tui6.bitnet>
  448.         netCS is a public access Unix site in Berlin which is
  449.         also accessible through UUCP.
  450.  
  451. sauna.hut.fi
  452.         Jyrki Kuoppala <jkp@cs.hut.fi>
  453.         Accessible through anonymous ftp, IP number 128.214.3.119.
  454.         (Note that this IP number is likely to change.)
  455.  
  456. ucf1vm
  457.         Lois Buwalda <lois@ucf1vm.bitnet>
  458.         Accessible through...
  459.  
  460. wuarchive.wustl.edu
  461.         Chris Myers <chris@wugate.wustl.edu>
  462.         Accessible through anonymous ftp, IP number 128.252.135.4.
  463.         A number of directories can be found in ~ftp/usenet/comp.virus/*.
  464.  
  465.  
  466. ------------------------------
  467.  
  468. Date:    Sat, 30 Sep 00 19:89:04 +0000
  469. From:    ficc!peter@uunet.uu.net
  470. Subject: Why not change OS?
  471.  
  472. Rather than go through all this trouble to keep viruses out of Macs
  473. and IBM-PCs, why not abandon the unprotected operating systems
  474. wherever possible and switch to UNIX? If you need to run DOS or MacOS
  475. software, there are ways of running it under UNIX in both cases: A/UX
  476. supports Macintosh software, and the various 80386 versions of UNIX
  477. have two DOS emulators that run in the virtual 8086 emulation mode.
  478. With no direct access to the hardware possible, and with multiuser
  479. security preventing writes to files (at least in the 80386 case), the
  480. worst the virus could do would be to infect user-written programs.
  481. When they attempted to format the hard disk, or infect installed
  482. software, they would simply trap and abort the virtual DOS image.
  483. UNIX-based software is extremely unlikely to be infected, since a UNIX
  484. virus would have to infect source code to transfer out of a machine.
  485.  
  486. To defuse arguments about the Internet Worm, let us note that this
  487. program was restricted to two brands of computer: VAXes and
  488. 68000-based Suns. And it infected a network that was deliberately
  489. designed to be insecure. No, UNIX is not immune to trojan horses and
  490. viruses, but by and large this sort of program is kept uninfectious
  491. and benign by the nature of the system.
  492.  
  493. [Ed. I hope that you're wearing asbestos skivvies... :-) ]
  494.  
  495. ------------------------------
  496.  
  497. Date:    Sat, 30 Sep 89 16:38:52 -0500
  498. From:    James Ford <JFORD1@UA1VM.BITNET>
  499. Subject: M-1704.EXE (PC)
  500.  
  501. I recently downloaded M-1704.ZIP from the Wellspring BBS.  After
  502. downloading it, I ran SCAN V35 (old, I know) and to my amazement, it
  503. said that the file M-1704.EXE was infected with the "1701/1704 Version
  504. B virus"!
  505.  
  506. Does this program include a string in it that might cause SCAN to
  507. indicate a virus (a false alert) or can I assume that this file is
  508. infected??
  509.  
  510. Please reply direct to me, *not* to VALERT-L....or then again, maybe
  511. the response should be posted here.  I am under the impression that
  512. the Wellspring BBS (1-714-8567996) is an anti-viral storage site.
  513.  
  514.                                 James Ford
  515.                                 (205) 348-1713
  516.                                 JFORD1@UA1VM.BITNET
  517.  
  518.  
  519. ------------------------------
  520.  
  521. Date:    Sun, 01 Oct 89 01:09:25 -0400
  522. From:    dmg@lid.mitre.org (David Gursky)
  523. Subject: Follow up on Tiger Team comments.
  524.  
  525. There have been a couple messages regarding my Tiger Team suggestion,
  526. some of which have some good criticisms, others of which seem to have
  527. misread or read something into my message that wasn't there.
  528.  
  529. First and foremost, I must emphasize that this would be one part of an
  530. overall anti-virus strategy, and you must take the use of Tiger Teams
  531. in a "positive manner", i.e. not to *punish* users who do not follow
  532. anti-virus procedures, but to *find* such users, and having found such
  533. users, ensure that they do follow the established anti-virus
  534. procedures in the future.  Punishing users that fail to do so only
  535. gets the users mad, and mad users help no one.
  536.  
  537. Second, a couple people have suggested this proposal leaves live
  538. viruses floating around desktop computers in the office, after the
  539. Tiger Team had successfully penetrated one.  I believe I stated in my
  540. original proposal that the first step the Tiger Team would take is to
  541. create an *image* backup of the system they will try to infect.
  542. Regardless of the success or failure in infecting the computer, the
  543. disk would be restored from the image backup taken originally.  Now
  544. should the TT successfully infect the system, the computer would be
  545. "disabled"; applying a large label over the CRT would effectively tell
  546. a user they are not to use their computer until they have gone over
  547. the anti-virus procedures with someone from the "computer services"
  548. department went over these procedures with the user.
  549.  
  550. Backing away from the specific subject of Tiger Teams, I wish to
  551. emphasize the problem TTs are addressing; enactment of anti-viral
  552. procedures.  As an example, it is illegal in most states to sell
  553. alcohol to adults under 21.  In parts of the country which have these
  554. laws and *enforce* these laws, the ease of which an adult under 21 can
  555. purchase liquor is reduced (that is to say it is harder) over parts of
  556. the country which have the laws and do not enforce them well, or do
  557. not have the laws.  It is a great first step if Acme Industries issues
  558. a set of anti-viral guidelines, but unless Acme does something to see
  559. to it the employees are following these procedures, then those
  560. policies are nothing more than pieces of paper in the users
  561. wastebaskets!
  562.  
  563. ------------------------------
  564.  
  565. Date:    Sat, 30 Sep 89 19:56:54 -0700
  566. From:    RSRANCH@UCLASSCF.BITNET (Ran Chermesh)
  567. Subject: Configuring FluShot (PC)
  568.  
  569. I've d/l FluShot ver. 1.7 from Simtel. When I tried to install it, it
  570. looked for the FLUSHOT.DAT file in drive A. If I'm not mistaken, this
  571. kind of search was not part of FluShot in the past. I looked for
  572. instruction how to configure it to drive C, but couldn't find. Did I
  573. miss anything? Can anyone suggest a way to override this default?
  574. Temporarily I did override it by preceding the FSP instruction with an
  575. ASSIGN a=c instruction. Still, this couldn't be the appropriate
  576. solution.
  577.  
  578. Ran Chermesh
  579. RSRANCH@UCLASSCF.BITNET
  580.  
  581. p.s. Since I'm not a member of the VIRUS-L, I'll appreciate receiving
  582. your solution directly to me. If it is the norm on this list to
  583. summarize responses and to resubmit them to the list, please let me
  584. know and I'll be glad to comply.
  585.  
  586. ------------------------------
  587.  
  588. Date:    01 Oct 89 08:23:20 +0000
  589. From:    chinet!ignatz@att.att.com
  590. Subject: Re: Tiger Team comments
  591.  
  592. The author of the original "Tiger Team" concept responded to a couple
  593. of critical postings with some rebuttals.  As I read them, he defended
  594. the TT concept by emphasizing, several times, that the TT would be
  595. checking compliance with anti-viral policies.
  596.  
  597. I ask, if this *is* the goal, couldn't the corporation provide a
  598. configuration test program that checked for the existence of
  599. corporation-approved software and methods without introducing a virus,
  600. and requiring all the intermediate overhead of special backups, etc.?
  601.  
  602.                 Dave Ihnat
  603.                 Analysts International Corporation, Chicago
  604.                 ignatz@homebru.chi.il.us (preferred return address)
  605.                 ignatz@chinet.chi.il.us
  606.  
  607. ------------------------------
  608.  
  609. Date:    01 Oct 89 17:58:41 +0000
  610. From:    carroll1!tkopp@uunet.UU.NET (Tom Kopp)
  611. Subject: Future AV software (PC)
  612.  
  613. I had a thought earlier about a possible future Anti-viral system.  It
  614. would be software based, therefore subject to its own corruption,
  615. however it seems to me to be a mix of the work of Anti-Viral gurus
  616. McAfee and Greenberg.  It works something like this:
  617.  
  618. A version/variant of ViruScan would run, searching not for
  619. viral-identifying code, but rather for the interrupt calls that write
  620. to a disk (a la Flu_Shot techniques).  When it finds one, it looks in
  621. a table to see if that code is allowed.  This table could consist of
  622. the following format:
  623.  
  624. filename;offset of interrupt;filesize CRC;
  625.  
  626. with the possible inclusion of just WHICH interrupt was attempting to
  627. be invoked.  The user of the software could either add to the table
  628. for software that he/she has written, or wait for updated database
  629. listings from whoever wrote/maintained such a program.  Also in the
  630. vein of Flu_Shot, a list could be maintained of files to 'ignore'.  I
  631. do see a problem in that setting up the original database to cover the
  632. countless programs existing is a truly arduous task, however for a
  633. purpose such as this, I would think reputable software companies would
  634. provide as much assistance as possible, which could be a lot if the
  635. code was written in assembler.
  636.  
  637. Is there some other fundamental element I'm missing, or is this a
  638. plausible idea?
  639.  
  640. tkopp@carroll1.cc.edu  or  uunet!marque!carroll1!tkopp
  641. Thomas J. Kopp @ Carroll College 3B2 - Waukesha, WI
  642.  
  643. ------------------------------
  644.  
  645. Date:    Sun, 01 Oct 89 17:58:04 -0400
  646. From:    dmg@lid.mitre.org (David Gursky)
  647. Subject: The book you've all been waiting for?
  648.  
  649. John McAfee of Interpath, National Bulletin Board Society, and
  650. Computer Virs (Virus, not Virs) Industry fame has written a book.
  651. Entitled _Computer Viruses, Worms, Data Diddles, Killer Programs, and
  652. Other Threats to Your System: What They Are, How They Work, and How to
  653. Defend Your PC, Mac, or Mainframe_, it is co-authored with Colin
  654. Haynes, and published by St. Martin's Press.
  655.  
  656. I finished reading it today, and this is some preliminary thoughts I
  657. have on the book (this message would be more detailed, but I have to
  658. catch a plane to New Orleans tonight and I leave in thirty minutes).
  659.  
  660. I do not like this book.  I found it to be (at various points)
  661. contradictory, incomplete, and alarmist.  Before the flame wars begin,
  662. let me emphasize that the whole book is not constantly contradictory,
  663. incomplete, and or alarmist, nor is any one section all three of those
  664. things.  Some sections (most notably the first third of the book and
  665. the last chapter) are very alarmist.  In the final chapter for
  666. instance, McAfee quotes some NBBS users about what type of viruses do
  667. they see "looming in the distance".  One example cited is a
  668. modification to the electronic switches used by the phone company to
  669. reroute a call placed by caller n to the number dialed by called n-1.
  670. A second example would have the computers controlling the nation's
  671. traffic lights (the computers are made by one of three companies) all
  672. turn green in all directions on a given Friday.  I leave it as an
  673. exercise to Virus-L readers to find where these are flawed, other than
  674. the obvious one that neither of these are viruses per se, but are
  675. examples of destructive measure viruses could be put to.
  676.  
  677. In between the beginning and the end of the book, McAfee focuses on a
  678. technical discussion of viruses, and he does, alright.  There are much
  679. better books (IMO) on the market about PC viruses (such as the Compute
  680. book) or viruses in general (Ralf Burger's _Computer Viruses, A High
  681. Tech Disease_), but if you are comfortable with McAfee's paradigm's,
  682. then his work is acceptable.  If you are not comfortable with McAfee's
  683. paradigm, or if you are concerned with viruses in the Macintosh
  684. environment (or to a lesser degree, the mainframe environment), you
  685. will get awfully confused.  The book has a very heavy PC bias, and
  686. (for example) trying to fit McAfee's generic description of viruses
  687. into the Macintosh paradigm does not work easily.
  688.  
  689. I will be out of town for two weeks, and Virus-L will be on vacation
  690. by the time I get back.  When I do get back into town, I will write a
  691. more comprehensive review for Virus-L.  What it all comes down to is
  692. this.  McAfee & Haynes' book is no great shakes; it simply is not well
  693. written.  This is not to call John McAfee names or anything, but "he
  694. should not give up his day job".  My advice is to buy a copy of the
  695. NIST paper (which is shorter, more concise, and has a greater
  696. proportion of useful information) and a good set of anti-virus tools
  697. for your computer.  Viruscan is one of the best for the PC from what I
  698. understand, and a bargain at $15.
  699.  
  700. ------------------------------
  701.  
  702. End of VIRUS-L Digest
  703. *********************
  704. Downloaded From P-80 International Information Systems 304-744-2253
  705.