home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.227 < prev    next >
Encoding:
Text File  |  1995-01-03  |  12.6 KB  |  309 lines
  1. VIRUS-L Digest   Tuesday, 31 Oct 1989    Volume 2 : Issue 227
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Re: Virus scanners
  17. Re: Virus source available in Toronto
  18. RE: BootChek (possible virus) (PC)
  19. Re: MacDraw II 1.1/GateKeeper 1.1 problems (Mac)
  20. Re: Another suggestion for preventing viral spread (PC)
  21. stoned removal? (PC)
  22. Re: Macintoch MacWrite, STR 801 (Mac)
  23. Free catalog disk update
  24. Yale/Alameda & Stoned Viruses (PC)
  25.  
  26. ---------------------------------------------------------------------------
  27.  
  28. Date:    Mon, 30 Oct 89 16:32:39 +0000
  29. From:    yale!slb-sdr!sdr.slb!shulman@uunet.UU.NET (Jeff Shulman)
  30. Subject: Re: Virus scanners
  31.  
  32. portal!cup.portal.com!cpreston@Sun.COM writes:
  33.  
  34. >My point about "How good are scanning programs" is mainly that if the
  35. >program uses well-chosen search strings it can be more effective than
  36. >I, at least, initially expected.  Several scanning programs for the
  37. >Macintosh relied only on resource names (resources include program
  38. >code on the Mac).  These resource names, such as nVIR, are very easily
  39. >and quickly changed to hPat or anything else, completely defeating the
  40. >scanning program.
  41.  
  42. >Charles M. Preston                     MCI Mail 214-1369
  43. >Information Integrity                  BIX cpreston
  44. >Box 240027                             907-344-5164
  45. >Anchorage, AK 99524
  46.  
  47. Very true.  Which is why the scanning strings in VirusDetective(TM)
  48. are (1) resource type/ID independent (for all the Mac viruses) and (2)
  49. *user* configurable [but the GIGO rule applies: Use invalid search
  50. strings and you will get invalid results].
  51.  
  52. Plug:
  53.  
  54. VirusBlockade(TM) II Ltd. has just been released by me (along with VD
  55. 3.1) which, among other things, allows you to scan floppies in
  56. background (when used with VD 3.1) when they are inserted WITHOUT
  57. having to have VD open.  [VB II Ltd. is a DEMO of VB II which does
  58. everything except save any configuration changes to disk]
  59.  
  60.                                    Jeff Shulman
  61.                                    VirusDetective & VirusBlockade author
  62. - --
  63. uucp:      ...rutgers!yale!slb-sdr!shulman
  64. CSNet:     SHULMAN@SDR.SLB.COM
  65. Delphi:    JEFFS
  66. GEnie:     KILROY
  67. CIS:       76136,667
  68. AppleLink: KILROY
  69.  
  70. ------------------------------
  71.  
  72. Date:    30 Oct 89 17:04:03 +0000
  73. From:    kelly@uts.amdahl.com (Kelly Goen)
  74. Subject: Re: Virus source available in Toronto
  75.  
  76. Yes it is indeed true that viral sources are published in several
  77. areas... however "Viruses , A high Tech disease" published only
  78. overwriting viruses!! more similar to a logic bomb as when they infect
  79. the target executable the file is immediately destroyed(VERY EASY to
  80. detect) by the overwriting process. However any COMPETANT Assembly
  81. coder can manufacture far more unobtrusive viruses if he just thinks
  82. about it!! the published sources working or non working are really not
  83. that much of a threat...
  84.             cheers from the front lines!!
  85.              kelly/silly CON Valley!!
  86.  
  87. ------------------------------
  88.  
  89. Date:    Mon, 30 Oct 89 10:15:39 -0500
  90. From:    Arthur Gutowski <AGUTOWS%WAYNEST1.BITNET@VMA.CC.CMU.EDU>
  91. Subject: RE: BootChek (possible virus) (PC)
  92.  
  93. In Virus-L Digest v2, i226, Jeffrey Perry expressed some concern about
  94. his copy of BootChek that he is running.  I sent him a note asking him
  95. to send me the copy of the program he is running now, the corrupt.hex
  96. files, and the copy of the boot sector generated by BootChek.  Since
  97. ViruScan and other products have failed to find anything, I doubt it
  98. is a virus that infected him (although it is possible a new nasty has
  99. surfaced :-( ... Thus my interest in the corrupted boot sector files).
  100. I can only make the assumption for the time being that the program is
  101. bugged.  I am looking into the matter, and if in fact there is a bug
  102. in the program, a version update will be released with the fix and
  103. posted via Jim Wright's antiviral archives.
  104.  
  105. I also asked him to take some measures in re-running the program in a
  106. (relatively) guaranteed clean environment.  Hopefully, these tests will
  107. show that there isn't yet another new virus out there.
  108.  
  109. I will post an update when more info is available.
  110.  
  111. Arthur Gutowski,
  112. Co-author of BootChek
  113.  
  114. +--------------------------------------------------------------------+
  115. | Arthur J. Gutowski, Student Assistant                              |
  116. | Antiviral Group / Tech Support / WSU University Computing Center   |
  117. | 5925 Woodward; Detroit MI  48202; PH#: (313) 577-0718              |
  118. | Bitnet: AGUTOWS@WAYNEST1   Internet: AGUTOWS@WAYNEST1.BITNET       |
  119. +====================================================================+
  120. | Rules to live by, #153:                                            |
  121. |     Never get caught on the wrong side of a Doppler shift.         |
  122. +--------------------------------------------------------------------+
  123.  
  124. ------------------------------
  125.  
  126. Date:    30 Oct 89 17:04:46 +0000
  127. From:    ut-emx!chrisj@cs.utexas.edu (Chris Johnson)
  128. Subject: Re: MacDraw II 1.1/GateKeeper 1.1 problems (Mac)
  129.  
  130. In article <0010.8910301224.AA05511@ge.sei.cmu.edu> HONORS@kuhub.cc.ukans.edu w
  131. rites:
  132. >Question: Does GateKeeper 1.1 have problems with MacDraw 1.1? Our
  133. (stuff deleted)
  134. >                      Travis Butler at HONORS@kuhub.cc.ukans.edu
  135.  
  136. The answer is that GateKeeper 1.1 is making the problem apparent -
  137. it's not at all clear whether the problem is a very obscure bug in
  138. GateKeeper (and it would have to be obscure since so few pieces of
  139. software demonstrate this problem) or a bug in MacDraw.  I've been
  140. working with Ken Walters at Claris for some time now, and we haven't
  141. reached any useful conclusions as yet.
  142.  
  143. There are other packages that demonstrate related problems.  They
  144. include MacWrite 1.x and Claris CAD, and a few programs from other
  145. vendors, as well.
  146.  
  147. The solution (after a fashion) is to use version 1.1.1 of GateKeeper.
  148. Although the problem remains, 1.1.1 can be warned about programs that
  149. suffer from the problem.  Thus warned, GateKeeper avoids the
  150. situations that give rise to the problem.
  151.  
  152. There are a number of other good reasons to upgrade to 1.1.1, so consider
  153. the upgrade *highly* recommended.
  154.  
  155. - ----Chris (Johnson)
  156. - ----chrisj@emx.utexas.edu
  157. - ----Author of Gatekeeper
  158.  
  159. ------------------------------
  160.  
  161. Date:    30 Oct 89 17:37:56 +0000
  162. From:    kelly@uts.amdahl.com (Kelly Goen)
  163. Subject: Re: Another suggestion for preventing viral spread (PC)
  164.  
  165.  Sorry close but no cigar... OBJ files are even easier for a viral
  166. writer to manipulate... the format is EXTREMELY well document...  how
  167. do I know??? simply I have written a few linkers!! its quite trivial
  168. to cause a OBJ type virus to repropagate!! I suggest if you are
  169. interested further check out the MS-DOS encyclopedia!! from microsoft
  170. press!!
  171.     cheers
  172.     kelly
  173.  
  174. ------------------------------
  175.  
  176. Date:    Mon, 30 Oct 89 13:18:15 -0500
  177. From:    howard@maccs.dcss.mcmaster.ca (Howard Betel)
  178. Subject: stoned removal? (PC)
  179.  
  180. I have a friend that has recently been hit by the stoned virus.  His
  181. question quite simply is whether there is anyway to eradicate the virus
  182. without having to do a low level format.  After the low level, is there
  183. anything else he should be worried about?
  184.  
  185. If no files are involved in your answer could you please mail him at:
  186. 39CJORDAN@SHERCOL1.BITNET or if there are files involved please respond
  187. to me so I can grab them for him.
  188.  
  189. Thanks for any help you can give, I think he's almost around the bend.  :-0
  190.  
  191. - --
  192. Howard Betel                                    Howard@maccs.dcss.McMaster.CA
  193. Dept of Computer Science                     ...!unet!utai!utgpu!maccs!howard
  194. McMaster University
  195.  
  196. ------------------------------
  197.  
  198. Date:    30 Oct 89 22:29:42 +0000
  199. From:    ut-emx!chrisj@cs.utexas.edu (Chris Johnson)
  200. Subject: Re: Macintoch MacWrite, STR 801 (Mac)
  201.  
  202. In article <0002.8910271112.AA11335@ge.sei.cmu.edu> JS05STAF%MIAMIU.BITNET@VMA.
  203. CC.CMU.EDU (Joe Simpson) writes:
  204. >I'm unclear about the STR 801 discussion.  Let me tell a little story
  205. >to see if I can further confuse things.
  206. >
  207. >About 4 months ago a client reported that MacWrite was growing in file
  208. >size on a public Mac.  I checked to see that VACCINE was turned on.
  209. >I ran Disinfectant 1.2.  A clean machine.
  210. >
  211. >I then ran ResEdit to look at the MacWrite file.  There were a large
  212. >number of STR 801 resources.  The program was adding STR 801 resources
  213. >at some unknown interval.
  214. >
  215. >I replacedthe file with a fresh copy of MacWrite and the problem disappeared.
  216. >
  217. >I put it down to normal computer miseries and not a computer virus.
  218.  
  219. You were right to assume that it was just normal "miseries".  Ken Walters
  220. at Claris recently mentioned that they've received reports of this problem
  221. in the past with version 5.x of MacWrite (possibly earlier versions, too -
  222. I didn't get all the details on which versions).  They don't worry about
  223. it, though, because they now put out MacWrite II which doesn't have this
  224. problem, so, as far as they're concerned, the bug is "fixed".  :-)
  225.  
  226. And, when you consider it, it would be a pretty simple mistake to
  227. make...  all that's required is for someone to forget to do a
  228. UseResFile() at the right time (just before the AddResource() call is
  229. made), and the STR 801 could go into any of the currently open
  230. resource files, including MacWrite's own file.
  231.  
  232. So, it doesn't sound like there's anything to be concerned about.
  233.  
  234. - ----Chris (Johnson)
  235. - ----chrisj@emx.utexas.edu
  236. - ----Author of Gatekeeper
  237.  
  238. ------------------------------
  239.  
  240. Date:    Mon, 30 Oct 89 18:30:00 -0500
  241. From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
  242. Subject: Free catalog disk update
  243.  
  244. Regarding the xxx catalog disk mentioned last week. here is an update.
  245. the three infected files were uploaded to homebase for evaluation by
  246. the experts there. one of the files cl.com was a hidden file and
  247. would not be seen just by doing a dir command.
  248.  
  249. the company was contacted, (the phone was answered by a kid who yelled
  250. out, "hey daddy it's for you"),and the responsible party was informed
  251. that the disk received had three viruses on it.
  252.  
  253. his reply, and i quote was "that is impossible, i wrote the all of the
  254. programs on the free catalog disk." he then proceeded to ask why he
  255. would include a virus. an attempt was made to explain that the infected
  256. programs were shareware used by batch files on the catalog disk.
  257.  
  258. he was not at aLL INTERESTED IN HEARING ABOUT THE PROBLEM AND RATHER
  259. RUDELY SLAMMED THE PHONE DOWN, AFTER UTTERING A FEW CHOICE WORDS.
  260.  
  261. TO REITERATE, THIS DISK WAS received in response to a "bingo card"
  262. request from the back of one of the major computer magazines. the
  263. ad offered a free disk containing a catalog of shareware and other
  264. software sold by the xxx company in hesperia, california.
  265.  
  266. the disk label appears as follows:
  267.  
  268.                         1989 xxx catalog
  269.                      **********************
  270.                   p.o. xxxx hesperia, ca 92345
  271.                 may view or print catalog & orderform
  272.                    to start catalog . . . a>start
  273.  
  274. the company name and post office box number have been replaced by
  275. x's to avoid any legal problems.
  276.  
  277. on the disk there is the root directory and a subdirectory named
  278. \ord. in the root directory two files are infected. cl.com is the
  279. hidden file in the root which is infected. in the \ord directory
  280. a file is also infected.
  281.  
  282. other than that i am at a loss. attempts to speak to the company
  283. have failed, so i guess it will take a complaint to the editor
  284. of the magazine where the ad appeared.
  285.  
  286. ------------------------------
  287.  
  288. Date:    Mon, 30 Oct 89 18:45:54 -0500
  289. From:    Tom Luthman <ST9%UGA.BITNET@VMA.CC.CMU.EDU>
  290. Subject: Yale/Alameda & Stoned Viruses (PC)
  291.  
  292.    Here in the PC labs at UGA we've been having outbreaks of what
  293. Scanv45 calls the Yale/Alameda virus in the boot sector.
  294.    What does this virus do and how dangerous is it?
  295.  
  296.    Also, one user found a "stoned" virus on his hard drive.
  297.  
  298.    Are there removal programs available for either or both of these?
  299. And how can we get 'em?
  300.               Thanks...
  301.  
  302.                       --- Tom Luthman (st9 @ uga)
  303.  
  304. ------------------------------
  305.  
  306. End of VIRUS-L Digest
  307. *********************
  308. Downloaded From P-80 International Information Systems 304-744-2253
  309.