home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.211 < prev    next >
Encoding:
Text File  |  1995-01-03  |  17.7 KB  |  412 lines
  1. VIRUS-L Digest   Wednesday,  4 Oct 1989    Volume 2 : Issue 211
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. New virus? - further report (Mac)
  17. Lost mail in U.K.
  18. Tiger Teams
  19. Re: Followup on new virus (Mac)
  20. Columbus Day Virus in the Military
  21. Virus protection (PC)
  22. NIST Special Publication
  23. Re: viruses in Commercial Software
  24. Correction to previous posting (Mac)
  25. new IBMPC anti-virals
  26. UNIX virus proof?! (UNIX)
  27. Jerusalem Virus -B (PC)
  28.  
  29. ---------------------------------------------
  30.  
  31. Date:    03 Oct 89 14:49:03 +0000
  32. From:    jap2_ss@uhura.cc.rochester.edu (Joseph Poutre)
  33. Subject: New virus? - further report (Mac)
  34.  
  35. Here is a further report on the possible virus at the U of R.  The
  36. student consultants at the University computing center made copies of
  37. programs they believed infected and sent them to our computer center.
  38. I had an infected copy of Macwrite 5.01 for a while., where I
  39. discovered the added STR and the changed ICN.  I have had reports of
  40. Macwrite II being attacked, but the info I have is inconplete.  I am
  41. still trying to get another infected program, but I am never around
  42. when an infected disk is found.  When I get one those that requested a
  43. copy will be sent one via email, if it works.  The infected System on
  44. the consultants' hard drive is 6.0.2, and the only symptom it has
  45. shown so far is the "Last Modified" date and time change at irregular
  46. intervals, including this morning.  I was able to induce a change by
  47. repeatedly doing a Get Info on the system.
  48.  
  49. The virus probably found its way onto the disk when a consultant put
  50. recovered files from a disk showing what may be sysmptoms of the virus
  51. onto the hard drive.  Vaccine is installed in teh System folder, and
  52. did nothing.  The system also has NVIR immunity.  The applications
  53. known to be attacked, so far, are Macwrite 5.01, Macwrite II, the
  54. System and its associated files.  All of them, even the clipboard.  I
  55. just watched to Last Modified date change on Laserwriter change during
  56. a copy.  (Needless to say the consultants are working on replacing and
  57. File Locking everything.  This appears to protect against the virus.)
  58. I will obtain copies of the infected stuff and try to do some
  59. comparisons using Resedit.
  60.  
  61. To repeat, Disinfectant 1.2 has no effect, and Vaccine does not
  62. protect against it, at least from infecting within a disk.  I plan to
  63. spend today working with infected and non-infected programs, and
  64. report my findings, and those of the others working on tis problem.
  65.  
  66. Joseph Poutre (The Mad Mathematician)
  67. jap2_ss@uhura.cc.rochester.edu
  68. Understand the power of a single action.  (R.E.M.)
  69.  
  70. ------------------------------
  71.  
  72. Date:    Mon, 02 Oct 89 09:40:10 -0000
  73. From:    "David.J.Ferbrache"
  74. Subject: Lost mail in U.K.
  75.  
  76. Due to disruption of the mail gateway at Heriot-Watt University mail
  77. during the month of September has been intermittent. Anyone who has
  78. sent mail to me and not received a reply, please accept my apologies
  79. and resend the letter.
  80.  
  81. The info-server facility is currently clearing a backlog of requests and
  82. should return to normal service shortly.
  83.  
  84. Many thanks
  85.  
  86. - ------------------------------------------------------------------------------
  87. Dave Ferbrache                            Internet   <davidf@cs.hw.ac.uk>
  88. Dept of computer science                  Janet      <davidf@uk.ac.hw.cs>
  89. Heriot-Watt University                    UUCP       ..!mcvax!hwcs!davidf
  90. 79 Grassmarket                            Telephone  +44 31-225-6465 ext 553
  91. Edinburgh, United Kingdom                 Facsimile  +44 31-220-4277
  92. EH1 2HJ                                   BIX/CIX    dferbrache
  93. - ------------------------------------------------------------------------------
  94.  
  95. ------------------------------
  96.  
  97. Date:    03 Oct 89 14:03:00 +0700
  98. From:    "Okay S J" <okay@tafs.mitre.org>
  99. Subject: Tiger Teams
  100.  
  101. In VIRUS-L V2NO208 "Thomas B. Collins, Jr." <TBC101@PSUVM.BITNET> writes:
  102. >Say I get my new system, put all the software on
  103. >it, and run a few virus scanners that turn up nothing.  I then run all
  104. >applications from my hard drive, and don't use any floppy disks.  It
  105. >wouldn't make sense for me to check my hard drive every day for viruses,
  106. >because they don't just pop up from nowhere.
  107.  
  108. You're discounting the fact that your machine could be on a network. Having
  109. an infected machine on a network where one transfers files between machines
  110. can be just as bad as sticking a floppy in the machine.  One shot does
  111. not cure all
  112.  
  113. >If I did add software to my system, I would check it for viruses before
  114. >adding it.  I think it would make more sense for the Tiger Teams to come
  115. >in in the middle of the day, ask you to please save your work, and then
  116. >run a virus checker on your system.
  117.  
  118. It would cause too much of a loss of productivity and interruption of
  119. the work routine.  Night is better if you're going to do it. Plus the
  120. public embarrasment of having ones machine checked. Seriously, its
  121. kind of like any test for drugs or AIDS or anything like that. Its not
  122. so much as to whether you are infected, but just the idea that it was
  123. done. After all, why have a test done if there isn't some
  124. suspicion...This at least would be the view of most people around
  125. those who had their machines tested.  'Did you hear George got busted
  126. by the Tiger Team last week?---They didn't find anything, but you
  127. never know....'
  128.  
  129. >If anything is found, you are "cited" as letting a virus into your system.
  130. >If you're clean, you go back to work, and the Tiger Team moves on.
  131.  
  132. What exactly does 'cited' mean? Disciplined?, public marked as a
  133. electronic leper in the company? fired? --Now that we've established
  134. how they would operate, what should be the penalties for those
  135. 'caught'?
  136.  
  137. Stephen Okay    Technical Aide, The MITRE Corporation
  138. x6737        OKAY@TAFS.MITRE.ORG/m20836@mwvm.mitre.org
  139.                'Geez...I actually have to use a disclaimer now,
  140.                 I must be getting important!'
  141. Disclaimer:Its mine, mine, mine, mine, mine !!!!!!!!!!!!!!
  142.  
  143. ------------------------------
  144.  
  145. Date:    03 Oct 89 16:14:59 +0000
  146. From:    eplrx7!milbouma@uunet.UU.NET (milbouma)
  147. Subject: Re: Followup on new virus (Mac)
  148.  
  149. >No anti-virus program has been able to find it, including Interferon,
  150. >Virus Rx, Anti-pan, and Disinfectant 1.2.  If this is recognized by anyone,
  151. >please email me ASAP at the address below with devirusing help.
  152.  
  153. I tried to e-mail but the message bounced.
  154.  
  155. I do not recognize the virus by your description, but if it is new
  156. then no one will including the antiviral apps that you mention.
  157.  
  158. I can recommend Symantec's new antiviral package, SAM, which will flag
  159. any abnormal writes from an application (like Vaccine if you're
  160. familiar with it, but better than Vaccine).  SAM will at least protect
  161. your machines from getting infected and also has a Virus scanner
  162. program that scans for known viruses and can also repair irreplaceable
  163. apps that are infected.  Part of the protection init also will ask you
  164. if you want to scan a floppy for known viruses whenever you insert
  165. one.
  166.  
  167. I also recommend that you contact Symantec and give them a copy of
  168. your virus so they can update their Virus scanner program.
  169.  
  170. Symantec can be contacted at (408) 253-9600, (800) 441-7234.
  171.  
  172. Please keep the net posted on further developments with this virus.  I
  173. would especially be interested to know if the SAM INIT flags infection
  174. attempts by the virus.
  175.  
  176. Thanks
  177.  
  178. (I do not work for Symantec)
  179.  
  180. ------------------------------
  181.  
  182. Date:    Tue, 03 Oct 89 11:10:34 -0600
  183. From:    Chris McDonald ASQNC-TWS-RA <cmcdonal@wsmr-emh10.army.mil>
  184. Subject: Columbus Day Virus in the Military
  185.  
  186. While I did not see the computer chronicles report referenced by a
  187. poster in a recent Virus-L edition, I would propose that there really
  188. is no accurate way at the present time to gauge any computer viral
  189. infection within the military given existing policies and
  190. organizational structures.  The diversity of organizations has
  191. resulted in differing policies as to whether such reporting is or is
  192. not mandatory.  This "discretionary" rather than "mandatory" reporting
  193. ensures in my opinion that viral infections go unreported.  Indeed, I
  194. am aware of an outbreak of the Israeli B virus strain which infected
  195. several PCs at a particular Army activity which I subsequently learned
  196. was not reported through its chain-of-command.  In all fairness the
  197. written policies applicable to that activity do not make reporting
  198. mandatory.
  199.  
  200. In so far as the Columbus Day virus is concerned, the Army's
  201. Information Systems Command through a variety of sources has tapped
  202. the resources of Virus-L to alert its users as to the potential
  203. threat.  An advisory message on the subject has been distributed
  204. utilizing information first seen on Virus-L.  Other Army Commands have
  205. retransmitted the same information.
  206.  
  207. I would like to propose that the military subscribers to Virus-L
  208. perhaps pursue the problem of reporting by answering these questions:
  209.  
  210.     1.  Has your site experienced a viral infection?
  211.  
  212.     2.  What viruses were present?
  213.  
  214.     3.  Was it reported to the next level of command?
  215.  
  216. I am volunteering to compile the results and then post a summary of
  217. the responses received to Virus-L.  I will of course ensure the
  218. confidentiality of the identity of all sites.  Responses should be
  219. sent to me directly at <cmcdonal@wsmr-emh10.army.mil>.  If this is
  220. unacceptable, then perhaps someone out there in NETLAND has a better
  221. idea.  Parenthetically, I wonder if Ken might provide a breakdown of
  222. who actually subscribes to Virus-L in terms of military, university,
  223. and contractor subscribers?  This would be important to assess the
  224. level of participation.
  225.  
  226. [PS:  Congratulations on your marriage!]
  227.  
  228. [Ed. Thanks!  It would be extremely difficult to quantify the
  229. different VIRUS-L subscribers, particularly since we're now
  230. distributing VIRUS-L via the comp.virus Usenet newsgroup.  I can tell
  231. you, however, that the actual mailing list contains just shy of 1300
  232. subscribers, over 200 of which are redistribution points.  These sites
  233. represent a solid cross-section of educational, commercial, military,
  234. and government sites in several countries.  Most (perhaps 70%) of the
  235. sites are educational, with approximately equal numbers of com, mil,
  236. and gov sites.  Let me stress that these are not accurate numbers for
  237. any sort of statistical analysis.]
  238.  
  239. ------------------------------
  240.  
  241. Date:    Tue, 03 Oct 89 14:01:11 -0600
  242. From:    Brian Piersel <S1CH@SDSUMUS.BITNET>
  243. Subject: Virus protection (PC)
  244.  
  245. I'm a new owner of an IBM AT compatible computer, and so I am not
  246. very familiar with the various anti-virus programs. Could someone
  247. explain to me how these work, and/or recommend one to get? Respond
  248. directly to me, if possible. Thanks in advance...
  249.  
  250.  ------------------------------
  251.  Brian Piersel
  252.  BITNET:    S1CH@SDSUMUS            ICBM: 96.50W 44.20N
  253.  INTERNET:  S1CH%SDSUMUS.BITNET@VM1.NoDak.EDU
  254.       (The Internet address doesn't always work)
  255.  "Live long and prosper."
  256.  
  257. ------------------------------
  258.  
  259. Date:    Tue, 03 Oct 89 14:16:52 -0600
  260. From:    Chris McDonald ASQNC-TWS-RA <cmcdonal@wsmr-emh10.army.mil>
  261. Subject: NIST Special Publication
  262.  
  263. I would like to add some additional thoughts to those who have already
  264. commented on the NIST "Computer Viruses and Related Threats: A
  265. Management Guide."
  266.  
  267. 1.  I believe there is a signifiant error on page 2-6.  The report in
  268. discussing the INTERNET Worm states: "It was unclear what the network
  269. worm's objective was, as it did not destroy information, steal
  270. passwords, or plant viruses or Trojan horses."  I think there is
  271. substantial evidence to prove that the Worm in causing denial of
  272. service attacks did indeed destroy information.  Donn Seeley has made
  273. the point that the author of the Worm program specifically "deleted"
  274. an audit file so as to hide his location.  There are also numberous
  275. reports that the program successfully "captured" passwords on other
  276. hosts to which the Worm author was not entitled.  The NIST authors
  277. reference Dr. Spafford's report on page A-1 which addresses the
  278. "stealing" of passwords.  Both Seeley's and Spafford's analysis of the
  279. incident can be found, along with other related papers, in the Jun 89
  280. edition of the "Communications of the ACM."  This ACM edition is
  281. probably the best reference on the entire incident available in the
  282. public domain.  I think it should have been included in the NIST
  283. reference list.
  284.  
  285. 2.  I differ from several commentators who suggest that the document
  286. is "prejudiced" against the use of public domain and shareware
  287. products.  I think on pages 3-3 and 5-3 the document stresses only
  288. that organizations should develop a clear policy on the acquisition
  289. and on the use of such software.
  290.  
  291. 3.  I am struck by the lack of any reference to Virus-L, RISKS Forum
  292. and other INTERNET services which have for years provided we users the
  293. best available, open source information on the subject of computer
  294. viruses.  There is also little in the way of reference to the work of
  295. professional associations such as ACM, IEEE, the Computer Security
  296. Institute, and the Information Systems Security Association in
  297. addressing the computer virus phenomenon.  Surely "technical
  298. managers", who are the audience for this publication, could use such
  299. resources to implement the virus prevention suggestions in the NIST
  300. publication.
  301.  
  302. Chris Mc Donald
  303. White Sands Missile Range
  304.  
  305. ------------------------------
  306.  
  307. Date:    Tue, 03 Oct 89 12:11:00 -0400
  308. From:    <ACSAZ@SEMASSU.BITNET>
  309. Subject: Re: viruses in Commercial Software
  310.  
  311. We too have been hit, though not recently.  Last semester, a freehand
  312. disk from Aldus had scores on it right out of the box.  These
  313. 'professionals' should pay more attention to what they are doing.
  314.  
  315.                                    Alex Z... . .  .
  316.  
  317. ------------------------------
  318.  
  319. Date:    Tue, 03 Oct 89 20:31:00 -0500
  320. From:    <CTDONATH@SUNRISE.BITNET>
  321. Subject: Correction to previous posting (Mac)
  322.  
  323. Sorry, folks, I spread a little misinformation without realizsing it.
  324. I have Disinfectant 1.2, not 1.5. (BTW- does anyone know where the latest
  325. versions can be obtained as they become available?) I had gotten swamped
  326. with requests for 1.5. Sorry!
  327.  
  328. ------------------------------
  329.  
  330. Date:    Tue, 03 Oct 89 21:37:54 -0500
  331. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  332. Subject: new IBMPC anti-virals
  333.  
  334. New additions to the archives.  For the most recent site listings, see
  335. vol 2 num 209 of VIRUS-L (or better yet, save those monthly site lists!).
  336. All the files in this batch are shareware.
  337.  
  338. bootchk.exe
  339.         Program to verify boot sector of disk.  Performs comparison with
  340.         secure copy of boot sector.  To be used in autoexec.bat.  Sent to
  341.         me by author.  Version 1.00 (first release).  Self-extracting zip.
  342. m-1704.arc
  343.         Update to previous file of same name.  Only change is in docs to
  344.         warn of possible false alert issued by viruscan.  Direct from
  345.         author's BBS.
  346. netscan.arc
  347.         Network compatible program to scan disks for known viruses.
  348.         Version 0.4v33, update to previous releases.  Direct from author's
  349.         BBS.
  350. scanrs39.arc
  351.         Resident program to scan executables for viruses before loading.
  352.         Version 0.9v39, update to previous releases.  Note minor change
  353.         in spelling of archive name.  Direct from author's BBS.
  354. scanv40.arc
  355.         Program to scan disk and report any viruses found.  Version 0.7v40,
  356.         update to previous releases.  Direct from author's BBS.
  357. shez48.exe
  358.         Shell program for manipulating archives which, with this new
  359.         release, is compatible with viruscan.  Version 4.8.  From HomeBase
  360.         where it was placed by author.  Self-extracting LZH archive.
  361.         [ I was unable to get the viruscan aspect to work as advertised ]
  362.         [ but I only put forth a minimal effort. -- jrw                 ]
  363.  
  364.  
  365. BOOTCHK.EXE    Verifies boot sector against secure copy, v1.00
  366. M-1704.ARC     Repairs and removes infections of 1704A and 1704B viruses
  367. NETSCAN.ARC    Network compatible program to scan for viruses, 0.4v33
  368. SCANRS39.ARC   Resident program to check for viruses, 0.9v39
  369. SCANV40.ARC    Scans disks and reports viruses found, 0.7v40
  370. SHEZ48.EXE     Shell for archive manipulation w/ virus checking, v4.8
  371.  
  372. Jim
  373.  
  374.  
  375. ------------------------------
  376.  
  377. Date:    Tue, 03 Oct 00 19:89:58 +0000
  378. From:    ficc!peter@uunet.uu.net
  379. Subject: UNIX virus proof?! (UNIX)
  380.  
  381. I wouldn't say UNIX is virus-proof (I posted a hoax article about a
  382. UNIX virus over a year ago, just before the Internet Worm incident),
  383. but it's sure a hell of a lot more virus-resistant than DOS.
  384.  
  385. ------------------------------
  386.  
  387. Date:    04 Oct 89 07:14:43 +0000
  388. From:    consp06@bingvaxu.cc.binghamton.edu
  389. Subject: Jerusalem Virus -B (PC)
  390.  
  391.  
  392. SUNY Binghamton has been hit by the Jerusalem Virus.  It seems to be
  393. spreading pretty well.  We are looking for:
  394.  
  395. 1) Advice.
  396. 2) SCAN38, SCANRES, etc... any of those.
  397. 3) UNVIRUS
  398.  
  399. We have SCAN28, and we want to know where to get everything else we
  400. need to arm ourselves against this nasty villain.
  401.  
  402.                 Thank you very much.
  403.  
  404.                                         -Robert Konigsberg
  405.  
  406.  
  407. ------------------------------
  408.  
  409. End of VIRUS-L Digest
  410. *********************
  411. Downloaded From P-80 International Information Systems 304-744-2253
  412.