home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.255 < prev    next >
Encoding:
Text File  |  1995-01-03  |  8.6 KB  |  206 lines
  1. VIRUS-L Digest   Thursday,  7 Dec 1989    Volume 2 : Issue 255
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Differences... (PC)
  17. Re: scan problems (PC)
  18. I need a copy of m-jruslm.arc (PC)
  19. SCAN Versions (PC)
  20. Strange video - VIRUS SOLVED (PC)
  21.  
  22. ---------------------------------------------------------------------------
  23.  
  24. Date:    Wed, 06 Dec 89 14:26:50 +0000
  25. From:    frisk@rhi.hi.is (Fridrik Skulason)
  26. Subject: Differences... (PC)
  27.  
  28. The question "How many different PC viruses are known ?" is a hard one.
  29. The two main reasons why it is so:
  30.  
  31. 1) Some viruses have been reported, but not made available for research,
  32.    so nobody has been able to compare them to existing viruses. In some
  33.    cases there are even doubts that the viruses in question exist at all.
  34.    The viruses in this group are "4096", "Nichols", "Missouri", "Agiplan",
  35.    "Retro" and "Screen".
  36.  
  37. 2) Even when the viruses are available for study, it is often hard to
  38.    determine if two viruses are different or not.
  39.  
  40.    Consider the following possibilities:
  41.  
  42.       I Binary identical. No problem here - the viruses are identical.
  43.  
  44.      II Code is identical on the binary level - text strings changed.
  45.         Some of the variants of "Brain" are a good example.
  46.  
  47.     III Identical on assembly language level. One example includes viruses
  48.         created by typing in a disassembly and then assembling it, using an
  49.         assembler different from the one originally used. Different
  50.         assemblers will in many cases create different opcodes for the same
  51.         instruction. (the POP/PUSH instructions for example). An example
  52.         is the two variants of the "South African" virus that I have. One
  53.         is an original, the other is created using the disassembly by Jim
  54.         Goodwin.
  55.  
  56.      IV Minor changes to code, extra NOP instructions added or other changes
  57.         made that have no effects on the function of the virus, but may
  58.         invalidate search strings. The "Lisbon" virus is a good example
  59.         of this.
  60.  
  61.       V Minor changes to code, different lengths, bug corrections, different
  62.         activation dates and similar changes. Most of the 1701/1704 variants
  63.         fall in this category, but also "Saratoga", "2930","Mix1-B" etc.
  64.  
  65.      VI Identical replication code, different functions. The "Sunday" virus
  66.         is a good example of this. Also "Ghost", "1704-Format", "Typo" and
  67.         "Advent".
  68.  
  69.     VII Partially identical code - very different functions. "Fu Manchu"
  70.         is the best example.
  71.  
  72.    VIII Different code - identical functions. Example: The "ping-pong"
  73.         effect in the MIX-1 virus.
  74.  
  75.      IX Different code, Functionally identical replication and/or infection
  76.         mechanism. Different functions. No problem - different viruses.
  77.  
  78. So, what do we do ?  We need to define when we consider two viruses to be...
  79.  
  80.         ...different viruses
  81.         ...different strains of the same virus
  82.         ...not to be considered different
  83.  
  84. Of course we can proceed from a different angle - select a few identification
  85. strings for each virus and then classify new viruses as follows:
  86.  
  87.       ... contains all the identfication strings of the old one -> same
  88.  
  89.       ... contains some of the identification strings -> new variant
  90.  
  91.       ... contains none of the identification strings -> new virus
  92.  
  93.  
  94. Or maybe use this method:
  95.  
  96.       ... the new virus can be removed by using the same program that was
  97.           used to remove the old one -> identical
  98.  
  99.       ... only a single constant or two need to be changed to make it
  100.           possible to use the same program to disinfect -> new variant
  101.  
  102.       ... new disinfection program/routine must be written -> new virus.
  103.  
  104. My opinion is that those two suggestions are practically useless, since two
  105. different people working on the same virus may not reach the same conclusion.
  106.  
  107. comments/suggestions ?
  108.  
  109. - -frisk
  110.  
  111. ------------------------------
  112.  
  113. Date:    Wed, 06 Dec 89 10:44:52 -0400
  114. From:    Ken Bell <SYKLB@NASAGISS.BITNET>
  115. Subject: Re: scan problems (PC)
  116.  
  117. > I just downloaded and uudecoded Scanv49.arc and Scanrs49.arc from
  118. > Simtel. The trouble is that when I try to execute either of them the
  119. > pc I'm using hangs!
  120.  
  121. From the combination of this and the next quote, I'd guess that he's
  122. trying to execute the .ARC files directly instead of unarcing them
  123. first.
  124.  
  125. > know I have a virus stalking around here and somehow attached to all
  126. > labelled disks which makes me believe it infected Label.com. Not only
  127. > that, I recently bought both Pctools 5.1 and Turbo C 2 & Assembler and
  128. > on doing executing simply Dir to check the contents of the diskettes
  129. > they all reported one hidden file with size 0 bytes! They couldn't
  130. > have left Central Points and Borland already infected! I've just found
  131. > out to my discomfort that practically all pc's here are infected.
  132.  
  133. Yeah.  It's the disk label (hidden file, 0 bytes).
  134. Acknowledge-To: <SYKLB@NASAGISS>
  135.  
  136. ------------------------------
  137.  
  138. Date:    06 Dec 89 23:01:47 +0000
  139. From:    boulder!tramp!baileyc@ncar.UCAR.EDU (BAILEY CHRISTOPHER R)
  140. Subject: I need a copy of m-jruslm.arc (PC)
  141.  
  142. I need someone to MAIL me a copy of m-jruslm.arc (avail most ftp
  143. places) because for some reason whenever I download from an ftp site,
  144. and then download it to my machine, these archives don't work.  I'm
  145. not sure whats wrong at this moment.  So if someone could mail me the
  146. Jeruselum/ 1813 virus disinfector I'd really appreciate it!  I need it
  147. soon, have a computer program due tomorrow.
  148.  
  149. Chris Bailey :: baileyc@tramp.Colorado.EDU
  150. One Agro Mountain Biker - Dialed in for ultra gonzo badness!
  151. "No his mind is not for rent, to any god or government" - RUSH
  152. Member of Team Buck Naked of Buckingham Palace
  153.  
  154. ------------------------------
  155.  
  156. Date:    Wed, 06 Dec 89 13:28:31 -0800
  157. From:    Alan_J_Roberts@cup.portal.com
  158. Subject: SCAN Versions (PC)
  159.  
  160. This is a forward from John McAfee:
  161.  
  162.         The latest version of SCAN is SCANV50.  While version 51 will be
  163. released on December 10, the currently reported V51, unless a re-numbered
  164. version of an earlier release, is not legitimate.  If anyone has a copy
  165. of this file, please upload it to HomeBase at 408 988 4004.
  166.         On another issue:  Bob Gowan, Erik Sherk and others have inquired
  167. about disinfectors (programs that can remove viruses and repair infected
  168. files) for the various viruses.  The individual disinfectors on HomeBase
  169. (M-JRUSLM for the Jerusalem, M-DAV for Dark Avenger, etc.) have been and
  170. still are available for public download.  These individual disinfectors
  171. exist for the more common viruses, and SCAN version 50 and above contains
  172. a list of each virus and the required shareware disinfector.
  173.        In addition, a program called VIRUS CLEAN is available for emergency
  174. access on HomeBase.  This program disinfects all of the known PC viruses.
  175. It is not a shareware product, but free access is provided for emergency
  176. situations.  For emergency access, call voice at 408 988 3832 for
  177. instructions.
  178.  
  179. John McAfee
  180.  
  181. ------------------------------
  182.  
  183. Date:    07 Dec 89 07:15:58 +0000
  184. From:    boulder!tramp!baileyc@ncar.UCAR.EDU (BAILEY CHRISTOPHER R)
  185. Subject: Strange video - VIRUS SOLVED (PC)
  186.  
  187. Well, the strange video problems I was having were on account of the
  188. 1813 or Jeruselem (A I think) virus.  I was able to remedy it by
  189. deleteing all the infected files and replacing them with safe backups.
  190. I used IBM's VIRSCAN program to detect it.  I had been infected in 717
  191. places (about 60 files worth), and some floppies.  I then tried
  192. VIRSCAN on my roommates disks, and found he had the Bouncing Ball
  193. virus!  Sheesh!  OUr network is submerged!  Thanks, I no longer need a
  194. remedy/disinfectant!
  195.  
  196. Chris Bailey :: baileyc@tramp.Colorado.EDU
  197. One Agro Mountain Biker - Dialed in for ultra gonzo badness!
  198. "No his mind is not for rent, to any god or government" - RUSH
  199. Member of Team Buck Naked of Buckingham Palace
  200.  
  201. ------------------------------
  202.  
  203. End of VIRUS-L Digest
  204. *********************
  205. Downloaded From P-80 International Information Systems 304-744-2253
  206.