home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.213 < prev    next >
Encoding:
Text File  |  1995-01-03  |  15.5 KB  |  352 lines
  1. VIRUS-L Digest   Thursday,  5 Oct 1989    Volume 2 : Issue 213
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Pointer to Cohens publications
  17. Re: Followup on new virus (Mac)
  18. Re: Why not change OS?
  19. About the DH&S proceeding(s)...
  20. Re: OGRE virus in Arizona (PC)
  21. Increasing rate of virus appearances
  22. Binghamton Jerusalem-B virus - The day after. (PC)
  23. M-1704 question (PC)
  24. WSMR newspaper article on Anti-Virus program
  25.  
  26. ---------------------------------------------------------------------------
  27.  
  28. Date:    Wed, 04 Oct 89 19:18:50 -0500
  29. From:    Christoph Fischer <RY15@DKAUNI11.BITNET>
  30. Subject: Pointer to Cohens publications
  31.  
  32. Hello
  33.   I need the exact bibliographic data of Fred Cohen's dissertation
  34. and publications in the field of computerviruses.
  35. If there exists an downloadable printfile with such material I would
  36. be very happy about any hints.
  37. Thanks Chris
  38. *****************************************************************
  39. * Torsten Boerstler and Christoph Fischer and Rainer Stober     *
  40. * Micro-BIT Virus Team / University of Karlsruhe / West-Germany *
  41. * D-7500 Karlsruhe 1, Zirkel 2, Tel.: (0)721-608-4041 or 2067   *
  42. * E-Mail: RY15 at DKAUNI11.BITNET or RY12 at DKAUNI11.BITNET    *
  43. *****************************************************************
  44.  
  45. ------------------------------
  46.  
  47. Date:    04 Oct 89 18:09:20 +0000
  48. From:    ut-emx!chrisj@cs.utexas.edu (Chris Johnson)
  49. Subject: Re: Followup on new virus (Mac)
  50.  
  51.  
  52. In article <0004.8910041115.AA07054@ge.sei.cmu.edu> eplrx7!milbouma@uunet.UU.NE
  53. T (milbouma) writes:
  54. >I can recommend Symantec's new antiviral package, SAM, which will flag
  55. >any abnormal writes from an application (like Vaccine if you're
  56. >familiar with it, but better than Vaccine).  SAM will at least protect
  57. >your machines from getting infected and also has a Virus scanner
  58. >program that scans for known viruses and can also repair irreplaceable
  59. >apps that are infected.  Part of the protection init also will ask you
  60. >if you want to scan a floppy for known viruses whenever you insert
  61. >one.
  62.  
  63. Of course, as an alternative to SAM, you can save yourself a lot of
  64. money and go with GateKeeper 1.1.1, which has not only been stopping
  65. viruses around the world 6 months longer than SAM (and all the other
  66. johnny-come-lately commercial systems), but is completely free.
  67. Furthermore, I gather that GateKeeper is significantly more
  68. configurable than SAM insofar as it maintains a privilege list which
  69. can be easily viewed and edited (I've never used SAM, so I don't speak
  70. from first-hand experience on this point, but people assure me that
  71. it's a *very* important difference in practice).
  72.  
  73. If you need telephone support, though, SAM is clearly better for
  74. you... the closest thing to interactive support available with
  75. GateKeeper is email.
  76.  
  77. GateKeeper doesn't provide a virus-scanner, but with Disinfectant
  78. available (also for free) it's not much of a problem.
  79.  
  80. One other thing that makes GateKeeper unique in the world of Macintosh
  81. anti- virus systems is that it keeps a log file that details exactly
  82. what virus related operations have been attempted, when, by whom and
  83. against whom.
  84.  
  85. GateKeeper 1.1.1 (as well as Disinfectant) is available from most
  86. archive sites, including a local system, ix1.cc.utexas.edu in the
  87. microlib/mac/virus directory.
  88.  
  89. Well, happy virus hunting no matter what system you choose,
  90. - ----Chris (Johnson)
  91. - ----Author of GateKeeper
  92.  
  93. ------------------------------
  94.  
  95. Date:    Wed, 04 Oct 89 17:01:06 -0400
  96. From:    Tim Endres <time@oxtrap.aa.ox.com>
  97. Subject: Re: Why not change OS?
  98.  
  99. Better than changing OS to get better virus "resistance", why not
  100. encourage the systems designers at Apple and IBM to implement
  101. protection in their respective operating systems?
  102.  
  103. An entire document dedicated to stopping virus acitivity at the OS
  104. level was mailed to John Sculley at Apple. Yet, to this day, even with
  105. an entire new OS release, not one of the suggestions given has been
  106. implemented! I am sure that there are many complex issues facing a
  107. company such as Apple, with regards to this problem, and changes at
  108. the OS level to deal with viruses will, and probably should, be slow.
  109.  
  110. Further, I must give Apple credit for the action they did take when
  111. Macintosh viruses first surfaced. In some cases, they sent their own
  112. engineers to infected sites for investigation and assistance. They
  113. were the first to engage in "Virus Awareness" campaigns.
  114. Unfortunately, we have seen no work at the OS level.
  115.  
  116. What users should be doing, is overtly pressuring computer
  117. manufacturers to address this need at the OS level, and start buying
  118. equipment from vendors who move in that direction.
  119.  
  120. ------------------------------
  121.  
  122. Date:    Wed, 04 Oct 00 19:89:18 +0000
  123. From:    utoday!greenber@uunet.UU.NET (Ross M. Greenberg)
  124. Subject: About the DH&S proceeding(s)...
  125.  
  126. I wasn't too happy with the end result of what DH&S (Steve Ross works
  127. for them) produced.  The invitational excluded a number of people
  128. (including me, so this might be a biased report).  The only person
  129. there really familiar with the world of PC and other micro viruses was
  130. Pam Kane (Panda Systems & Dr. Panda Utilities - good stuff!).
  131.  
  132. They spent a great deal of time on nomenclature.  Something like two
  133. days.  Very little on practical "how-to's" or anything at all of a
  134. technical nature.  The conclusion of the report is basically a
  135. sales-promo piece on why you should hire DH&S consultants if you have
  136. a virus problem or wish to make sure you don;t get one.
  137.  
  138. I consider this mailing list *considerably* more informative,
  139. objective, and honest.
  140.  
  141. Note: I ended up attending the symposium, then being asked to leave
  142. when I mentioned that it seemed inappropriate to give this little
  143. meeting any credibility when only three or four people there, out of
  144. the 50 or so who presented, had *ever* seen a virus.  To be honest, I
  145. was a gate crasher.
  146.  
  147. Ross M. Greenberg
  148.  Author, FLU_SHOT+
  149.  
  150. ------------------------------
  151.  
  152. Date:    04 Oct 89 23:15:47 +0000
  153. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  154. Subject: Re: OGRE virus in Arizona (PC)
  155.  
  156.  
  157. In article <0011.8910041808.AA09177@ge.sei.cmu.edu> WIER@NAUVAX.BITNET writes:
  158. | Because the OGRE virus operates at such a "low level," none of the
  159. | existing virus detection/elimination programs currently in existence
  160. | for the IBM PC will work.
  161. |
  162. | FUTURE VIRUS DETECTION IDEA
  163. |
  164. | Checksum the boot blocks.
  165.  
  166. The new program BootChek goes one better than this.  It will compare the
  167. entire boot block with a secured copy.  Since it is small, this comparison
  168. is fast, and better than a checksum.  If a change is detected, the computer
  169. is halted.  WARNING:  This will detect any *change* in the boot block.
  170. If you start with an infected system, this won't help.
  171.  
  172. - --
  173. Jim Wright
  174. jwright@atanasoff.cs.iastate.edu
  175.  
  176.  
  177. ------------------------------
  178.  
  179. Date:    Wed, 04 Oct 89 20:39:29 -0400
  180. From:    RREINER@YORKVM1.BITNET
  181. Subject: Increasing rate of virus appearances
  182.  
  183. It is my impression, judging primarily from reports on VALERT-L, that
  184. the rate at which new viruses are appearing has accelerated
  185. substantially in recent weeks.  There was previously what seemed a
  186. stable rate of one new virus every few weeks; this seems now to have
  187. become one new virus every few days.  Has anyone been keeping more
  188. careful records?  What is the rate of increase of the rate of
  189. increase?
  190.  
  191. Richard J. Reiner  BITNET     == rreiner@vm1.yorku.ca
  192.                    Internet   == grad3077@writer.yorku.ca
  193.                    Compu$erve == 73457,3257
  194.  
  195. ------------------------------
  196.  
  197. Date:    05 Oct 89 04:31:42 +0000
  198. From:    consp06@bingvaxu.cc.binghamton.edu
  199. Subject: Binghamton Jerusalem-B virus - The day after. (PC)
  200.  
  201. Thanks to all of you who responded so quickly to my messages for help.
  202. We now have several programs that will arm us in controlling the
  203. virus.  Any more messages, although appreciated, are unnecessary.
  204.  
  205. It's good to see that people are so eager to help when a crisis
  206. occurs.
  207.  
  208.                                 -Robert Konigsberg
  209.  
  210. ------------------------------
  211.  
  212. Date:    Wed, 04 Oct 89 15:07:00 -0400
  213. From:    Jim Shanesy <JSHANESY%NAS.BITNET@VMA.CC.CMU.EDU>
  214. Subject: M-1704 question (PC)
  215.  
  216. We (Don Kazem of our Technical Systems group, and myself, a
  217. programmer/analyst) have just downloaded M-1704.ARC from the Homebase
  218. bulletin board and found upon reading the documentation that SCANV40
  219. is supposed to detect M-1704.EXE as a virus.  It does not.  We both
  220. ran SCANV40 (also obtained from Homebase) on our respective hard disks
  221. and SCAN reports them both as clean.
  222.  
  223. Don's machine is a PS/2 Model 70 with ESDI-controlled 120 Meg hard
  224. disk, and mine is a PS/2 Model 60 with ESDI-controlled 66 Meg hard
  225. drive.  We are reluctant to run this program until we verify that it
  226. is not indeed infected, since its behavior is different from that
  227. described in the documentation.
  228.  
  229. Any comments, Mr. McAfee?
  230.  
  231. [Ed. I believe that the newer ViruScan versions were modified to *not*
  232. produce this false alarm; perhaps Mr. McAfee can confirm this.]
  233.  
  234. **********************************************************************
  235.  Jim Shanesy  JSHANESY@NAS.BITNET
  236.  Office of Computer and Information Technology
  237.  National Academy of Sciences
  238.  2101 Constitution Ave., NW
  239.  Washington, DC  20418
  240.  (202)-334-3219
  241. **********************************************************************
  242.  
  243. ------------------------------
  244.  
  245. Date:    Wed, 04 Oct 89 12:58:00 -0600
  246. From:    Chris McDonald ASQNC-TWS-RA <cmcdonal@wsmr-emh10.army.mil>
  247. Subject: WSMR newspaper article on Anti-Virus program
  248.  
  249.                     THE WSMR ANTI-VIRUS PROGRAM
  250.  
  251.     The subject of computer "viruses" has attracted considerable
  252. attention in the last three years.  The publicity of a Columbus Day
  253. virus and the continuing infection rates of several Friday the 13th
  254. viruses has pointed out the necessity of ensuring all users are aware
  255. of common sense policies and procedures to minimize the threat of
  256. viral attacks.  This article attempts to describe our virus defense
  257. program at the Range.
  258.  
  259.     We at White Sands have a unique history in viral research.
  260. In the summer of 1984 we at White Sands Missile Range sponsored a
  261. computer virus "experiment" by a University of Southern California
  262. (USC) undergraduate, Mr.  Fred Cohen.  Fred went on to obtain his PhD
  263. and has written and lectured extensively on the computer virus
  264. phenomenon.  So we have had some direct experience in the area at a
  265. rather early stage.
  266.  
  267.     The definition of a "virus" from Dr. Cohen's original research
  268. work is short, but extremely important to understand some recent viral
  269. attacks.  He defined a "virus" as "a computer program that can infect
  270. other programs by modifying them to include a possible evolved copy of
  271. itself."  With the infection property a virus can spread throughout a
  272. computer system or network using the authorizations of every user who
  273. might use it to infect their own programs.
  274.  
  275.     Viruses can spread on personal computers as well as on
  276. mainframes.  For a variety of reasons we have seen the majority of
  277. viruses infecting personal computers.  An Israeli researcher has
  278. published a catalog of 77 identified MS-DOS viruses, including their
  279. variations, as of 2 Oct 89.  Other researchers have identified at
  280. least 10 Macintosh viruses, including variations, as of 3 Oct 89.
  281. "Variations" occur as individuals receive a copy of an original virus
  282. and then make some change to it for the purpose of creating a "new"
  283. virus.
  284.  
  285.     If a "computer virus" is similar to a "biological virus," then
  286. could one apply the defenses or at least the methodology used to
  287. counter infectious human diseases to the issue of automation security?
  288. On the assumption that the comparison holds, then prevention,
  289. treatment and education would seem logical control measures.
  290.  
  291.     We can limit our exposure to computer viruses by controlling
  292. and by monitoring the source of our software.  We can "buy" from
  293. reputable sources.  We can apply the two-person rule to the
  294. development and to the review of software which we develop in-house.
  295. If we must use public domain and shareware software, then we have an
  296. obligation to observe the policies and procedures which our particular
  297. organization has for the acquisition, control and testing of such
  298. software.  Users should also be aware that certain tenant activities
  299. at WSMR prohibit the use of public domain software.
  300.  
  301.     We have at our disposal both commercial and shareware software
  302. products to detect known computer viruses.  We have advertised over
  303. the Workplace Automation System (WAS) electronic bulletin board the
  304. availability of VIRUSCAN which specifically detects several Friday the
  305. 13th and Columbus Day viruses identified as the DatacrimeI and
  306. DatacrimeII viruses.  Users can contact either Bob Rothenbuhler, the
  307. installation systems security manager, at 678-4236, or Chris Mc
  308. Donald, an ISC information systems management specialist, at 678-4176
  309. for assistance.
  310.  
  311.     There are a variety of "disinfectant" programs for the MS-DOS
  312. and for the Macintosh worlds which we maintain in the event of a viral
  313. outbreak.  We also have access to the resources of the National
  314. Computer Security Center (NCSC), the Computer Virus Industry
  315. Association (CVIA), and the Computer Emergency Response Center (CERT)
  316. in the event of viral attacks.  While it is impossible to stockpile
  317. all possible "treatment" remedies, we have at least a good foundation.
  318.  
  319.     Finally, an article such as this serves to "educate" you, the
  320. user community, as to the threats and to some of the defenses
  321. applicable to the computer virus problem.  We have available a
  322. briefing on computer viruses entitled "Everything the New England
  323. Journal of Medicine will never tell you!"  which discusses this
  324. subject in some detail.  The Information Systems Command has also
  325. initiated an eight hour training class, "Protection of Automation
  326. Resources", which will address the whole subject of automation
  327. security, to include viruses.  Both Bob and Chris are always available
  328. to answer specific questions and to assist users within their
  329. respective fields of interest.
  330.  
  331.     While we cannot eliminate computer viruses, we can maintain a
  332. program of prevention, detection and education to minimize the
  333. possibly negative impact on our computing environment.  Using good
  334. common sense computing practices can reduce the likelihood of
  335. contracting and spreading any virus.
  336.  
  337.         - Backup your files periodically
  338.         - Control access to your PC or terminal and limit use to those people
  339.           whom you know and trust
  340.         - Know what software should be on your system and its characteristics
  341.         - Use only software obtained from reputable and reliable sources
  342.         - Test public domain, shareware, and freeware software before you use
  343.           it for production work
  344.         - If you suspect your PC contains a virus, STOP using it and get
  345.           assistance
  346.  
  347. ------------------------------
  348.  
  349. End of VIRUS-L Digest
  350. *********************
  351. Downloaded From P-80 International Information Systems 304-744-2253
  352.