home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / v05i006.txt < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  33.0 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V5 #6
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Tuesday, 14 Jan 1992    Volume 5 : Issue 6
  9.  
  10. Today's Topics:
  11.  
  12. Virus vector Identified (PC)
  13. Odd Problem with F-PROT 2.01 (PC)
  14. Re: Looking for info on "Friday the 13th" virus (PC)
  15. Re: Question re Stoned (PC)
  16. Re: password program (PC)
  17. Re: List of Viruses (PC)
  18. Re: Norton Anty Virus (PC)
  19. Re: Joshi Virus and IDE Hard Drives (PC)
  20. Re: Norton Anty Virus (PC)
  21. Re: List of Viruses (PC)
  22. Re: Looking for info on "Friday the 13th" virus (PC)
  23. Philosophy and Time (PC)
  24. Info about UNIX viruses (UNIX)
  25. I/O bound CPU bound definitions
  26. New Antivirus Organization Announced
  27. Write protection - software
  28.  
  29. VIRUS-L is a moderated, digested mail forum for discussing computer
  30. virus issues; comp.virus is a non-digested Usenet counterpart.
  31. Discussions are not limited to any one hardware/software platform -
  32. diversity is welcomed.  Contributions should be relevant, concise,
  33. polite, etc.  (The complete set of posting guidelines is available by
  34. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
  35. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
  36. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
  37. Information on accessing anti-virus, documentation, and back-issue
  38. archives is distributed periodically on the list.  Administrative mail
  39. (comments, suggestions, and so forth) should be sent to me at:
  40. krvw@CERT.SEI.CMU.EDU.
  41.  
  42.    Ken van Wyk
  43.  
  44. ----------------------------------------------------------------------
  45.  
  46. Date:    09 Jan 92 15:57:05 +0000
  47. From:    suned1!slced1.Nswses.Navy.Mil!lev@elroy.Jpl.Nasa.Gov (Lloyd E Vancil)
  48. Subject: Virus vector Identified (PC)
  49.  
  50. The following received wide distribution at this location. I strongly
  51. advise anyone out there who works for Uncle Sam to be aware and take
  52. proper steps.
  53. L.V.
  54.  
  55. [Printed with permission]
  56.                                                        5230
  57.                                                        01-MB
  58.                                                        8 JAN 92
  59. MEMORANDUM
  60.  
  61. From:  Executive Officer
  62.  
  63. Subj:  COMPUTER VIRUS
  64.  
  65. Ref:   (a) CINCPACFLT Pearl Harbor HI 250649Z Dec 91
  66.  
  67. 1.  Following extracted from reference (a) and forwarded for your
  68. information:
  69.  
  70.     QUOTE  1.  Information has been received concerning the
  71.     receipt (principally by Public Affairs Offices (PAO)) of a
  72.     quantity of rambling, disjointed literature and a computer
  73.     disk from a "Masterfard Muhammad" of Chicago, IL.  Some of the
  74.     packages were mailed from Manhattan and Junction City,
  75.     Kansas.
  76.  
  77.     2.  The diskette enclosed with the material has been found to
  78.     contain a version of the "stoned" computer virus which is a
  79.     boot sector virus which will contaminate the hard disk of a
  80.     personal computer when booted and cause a "hard disk crash" to
  81.     the infected microcomputer.
  82.  
  83.     3.  If the material described above is received, do not open
  84.     the package.  Contact your servicing NIS activity for
  85.     disposition instructions.  UNQUOTE
  86.  
  87.                                 M. S. BACIN
  88.  
  89. Distribution D                                                                 
  90.          
  91.  
  92. - --
  93. |suned1!lev@elroy.JPL.Nasa.Gov|lev@suned1.nswses.navy.mil|sun!suntzu!suned1!lev
  94. |
  95. |S.T.A.R.S. The revolution has begun!|  My Opinions are Mine mine mine hahahah!
  96. |
  97.  
  98. ------------------------------
  99.  
  100. Date:    09 Jan 92 12:40:00 -0600
  101. From:    "William Walker C60223 x4570" <WALKER@aedc-vax.af.mil>
  102. Subject: Odd Problem with F-PROT 2.01 (PC)
  103.  
  104. While testing F-PROT 2.01 against my suite of captive viri, I noticed a
  105. curious behavior.  When F-PROT prompted to "Press ENTER to scan next
  106. diskette," I swapped diskettes, pressed ENTER, and F-PROT began scanning
  107. the diskette, but the files it reported scanning were those on the
  108. previous diskette.  Removing and reinserting the diskette didn't help
  109. any.  Only when I quit and restarted the program did it scan the diskette
  110. correctly.  However, this was 100% repeatable -- when I changed diskettes
  111. again F-PROT reported scanning the files on the first diskette.  Other
  112. scanners work correctly when scanning multiple diskettes, and the machine
  113. (Unisys 3256 25MHz 386 w/12MB RAM, 3.5" and 5.25" floppies, 340MB SCSI
  114. hard disk, DOS 4.01) is working OK.  No disk-caching programs are
  115. resident.  Booting from a clean, pure DOS 4.01 floppy didn't help, either.
  116. Also, this problem was only present with drive B: (5.25" 360K).  F-PROT
  117. otherwise worked OK, and when it correctly read the diskettes, it detected
  118. all viri presented.
  119.  
  120. Has anyone else encountered this problem with F-PROT 2.01?  Does anyone
  121. have any ideas what might be causing this, if it's not F-PROT?  Please
  122. excuse me if this has already been brought up -- I haven't had the
  123. opportunity to read through all of my back issues of VIRUS-L as thoroughly
  124. as I would like to.
  125.  
  126. Bill Walker ( WALKER@AEDC-VAX.AF.MIL ) |
  127. OAO Corporation                        |     "That's not a bug,
  128. Arnold Engineering Development Center  |      that's a feature!"
  129. M.S. 120                               |          - Anonymous
  130. Arnold Air Force Base, TN  37389-9998  |
  131.  
  132.  
  133. ------------------------------
  134.  
  135. Date:    09 Jan 92 19:17:38 +0000
  136. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  137. Subject: Re: Looking for info on "Friday the 13th" virus (PC)
  138.  
  139. forbes@cbnewsf.cb.att.com (scott.forbes) writes:
  140.  
  141. > I also have a PC which recently lost its hard drive, at approximately
  142. > the stroke of midnight on Friday, December 13.  :-) I don't think this
  143. > is a coincidence, and would like to find out more about the virus in
  144. > question to prevent a recurrence.
  145.  
  146. > The hard disk received a low-level format, but I still don't know the
  147.  
  148. All the viruses which activate on Friday 13th that I know (lots of
  149. Jerusalems and South Africans) delete files; do not format the drive.
  150. The Hybrid virus overwrites the hard disk, but as far as I remember,
  151. it does this only on Friday 13th in 1992 and later...
  152.  
  153. Regards,
  154. Vesselin
  155. - -- 
  156. Vesselin Vladimirov Bontchev         Virus Test Center, University of Hamburg
  157. Bontchev@Informatik.Uni-Hamburg.De   Fachbereich Informatik - AGN, rm. 107 C
  158. Tel.:+49-40-54715-224, Fax: -246     Vogt-Koeln-Strasse 30, D-2000, Hamburg 54
  159.  
  160. ------------------------------
  161.  
  162. Date:    09 Jan 92 19:37:12 +0000
  163. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  164. Subject: Re: Question re Stoned (PC)
  165.  
  166. HAYES@urvax.urich.edu writes:
  167.  
  168. > At any rate, "Stoned" seems to be history in our lab, if only because
  169. > it does not seem to infect 3.5" diskettes (which we've recently
  170. > switched to).
  171.  
  172. Stoned infects 3.5" diskettes perfectly, but it only does this on
  173. drive A: (on the first physical drive, more exactly). They have
  174. probably installed 3.5" drives as dirve B: and/or above.
  175.  
  176. > My question is this.  For the benefit of many users who only have
  177. > 5.25" drives at home and want to use one of our 3.5" PC's, we set up a
  178. > 3-floppy PC with menu-driven software for file copying and diskette
  179. > formatting.  A: & B: drives are 360K and 1.2M (respectively); C: is
  180. > 1.44M.  D: is the hard drive.  If ever a PC would be succeptable to
  181.  
  182. With this configuration, even if both the floppies in drive A: and the
  183. hard disk (D:) are infected and even if the virus is active in memory,
  184. the copies from drive B: and above will never get infected.
  185.  
  186. > (Like I say--I know "Stoned" is still around here.)  Is there
  187. > something about the four-disk controller setup (or the drive name
  188. > "D:") that creates an immunity to "Stoned"?  Or have we been
  189. > incredibly lucky?
  190.  
  191. As I said, you cannot infect the copies you make. As to why you have
  192. not been infected yet, I guess you just had luck and didn't try to
  193. boot from an infected disk (that is, didn't forget an infected disk in
  194. drive A:).
  195.  
  196. Hope the above helps.
  197.  
  198. Regards,
  199. Vesselin
  200. - -- 
  201. Vesselin Vladimirov Bontchev         Virus Test Center, University of Hamburg
  202. Bontchev@Informatik.Uni-Hamburg.De   Fachbereich Informatik - AGN, rm. 107 C
  203. Tel.:+49-40-54715-224, Fax: -246     Vogt-Koeln-Strasse 30, D-2000, Hamburg 54
  204.  
  205. ------------------------------
  206.  
  207. Date:    09 Jan 92 20:14:05 +0000
  208. From:    bob1@cos.com (Bob Blackshaw)
  209. Subject: Re: password program (PC)
  210.  
  211. bdrake@oxy.edu (Barry T. Drake) writes:
  212.  
  213. >Another way to reset the CMOS is to disconnect the battery.
  214.  
  215. >If it's a soldered-in NiCad, try draining it completely with a light bulb
  216. >or other load (unless you *really* want to unsolder it).
  217.  
  218. >- --Barry (bdrake@oxy.edu)
  219.  
  220. Please don't use a light bulb. Look around the motherboard near the
  221. built-in NiCad for an in-line 4 pin Berg connector (4 vertical pins)
  222. which are usually provided for replacement of the NiCad by an out-
  223. board battery. Two pins should be jumpered together, sort of like so
  224.  
  225.         o o o o
  226.         + N   -
  227.  
  228. where + and - are the usual external battery connections and N is the
  229. positive side of the NiCad, so the + and the N would be jumpered to-
  230. gether. The negative side of the NiCad is connected to the ground
  231. plane of the MB. Removing the jumper and shorting + and - will drain
  232. your CMOS. I think most MB mfrs did this so that we would not have
  233. to take a soldering iron to a six-layer MB (shudder).
  234.  
  235. Bob B.
  236.  
  237. ------------------------------
  238.  
  239. Date:    09 Jan 92 17:57:10 +0000
  240. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  241. Subject: Re: List of Viruses (PC)
  242.  
  243. GLWARNER@SAMFORD.BITNET (THE GAR) writes:
  244.  
  245. > Someone faxed me a list of viruses, that I believe he got from Center
  246. > Point, with codes for him to enter to update his virus information for
  247. > the package.  He sent it to me to show how many viruses Center Point
  248. > protected him from that McAfee fails to protect me from.
  249.  
  250. Unfortunately, I don't have the latest version of CPAV, but I'm rather
  251. disappointed by the one I last saw. It has a lot of fancy menus but is
  252. not a -very- good anti-virus tool. Especially having in mind that it
  253. is based on TNTVIRUS, which is an -extremely- bad anti-virus tool.
  254.  
  255. As to SCAN, its latest version (85) is pretty good in detecting
  256. infections. During the tests it didn't detect only about 63 different
  257. variants of our virus collection, which consists of more than 1,000
  258. different virus variants. Unfortunately, you must always have in mind
  259. that you MUST NOT DRAW ANY CONCLUSIONS FROM THE SCAN'S OUTPUT OTHERS
  260. THAN WHETHER A PARTICULAR FILE IS INFECTED OR NOT. Any information
  261. SCAN may give you about the actual name of the virus, the number of
  262. viruses in the file, the properties of the virus, the relationship of
  263. the virus to other viruses, very often has nothing to do with the
  264. truth and can be quite misleading. Fortunately, most users do not need
  265. anything more than a program, which tells them whether any new files
  266. they get are infected or not.
  267.  
  268. > My question (McAfee rep?) is whether these are actually detected by
  269. > McAfee but called something else.
  270.  
  271. Very often SCAN uses a different name; replies to this question follow
  272. each of the viruses you ask about.
  273.  
  274. > Also, can anyone identify any of the following that are especially
  275. > prevalent?  Or are these mostly "laboratory" viruses?
  276.  
  277. Most of them are not widespread.
  278.  
  279. > Twelve Tricks
  280.  
  281. This is not a virus, it's a trojan. It does not spread, so it cannot be
  282. widespread. SCAN recognizes it as 12 Tricks Trojan [Tricks].
  283.  
  284. The following are boot sector viruses. I don't have them in live form, so I
  285. was unable to test how we does SCAN recognize them.
  286.  
  287. > Golden Gate 1
  288. > Golden Gate 2
  289.  
  290. These are supposed to be Yale variants. I have only one variant of Yale and
  291. I doubt pretty much that others exist - until I see them.
  292.  
  293. > Stoned III
  294.  
  295. This is known also as NoINT.
  296.  
  297. > Zapper
  298.  
  299. Stoned variant.
  300.  
  301. > Den-Zuk 2
  302.  
  303. Probably the virus, called Ohio.
  304.  
  305. > Anthrax PT
  306. > Omicron PT (More well known as Flip)
  307.  
  308. The above two are multi-partite viruses. This means that they infect both
  309. files and boot sectors. Probably by PT the guys at CPS mean that they can
  310. detect the virus not only in the files, but also in the partition table.
  311. Big deal.
  312.  
  313. Well, now about the file infectors.
  314.  
  315. > Kylie
  316. > Faggot
  317.  
  318. I never succeeded to make these work and spread. In fact, I suspect that
  319. Faggot is a trojan, not a virus. You can guess how "widespread" they are.
  320. Anyway, SCAN identifies them as
  321.  
  322. Kylie: Jerusalem Related [Jeru]
  323. Faggot: VHP Related [VHP]
  324.  
  325. > 740
  326. > April 15
  327. > France
  328.  
  329. I don't know what they mean by these names. In general, it's a bad practice
  330. to use a number, a date, or a place as a name of a virus. I certainly don't
  331. know all the infective lengths of our more than 1,000 viruses by heart, but
  332. I don't remember one with infective length of exactly 740 bytes. Maybe
  333. Fridrik Skulason can correct me. April 15th is the activation date of a
  334. variant of the Murphy virus, called Swami. SCAN detects is as Murphy
  335. [Murphy]. There are at least three viruses from France; what they probably
  336. mean is the Paris virus. SCAN detects it as Paris [Paris].
  337.  
  338. > Lunch
  339. > PC Bandit
  340. > Doctor
  341. > Drug
  342.  
  343. Never heard about these. They are either new ones, or very obscure names of
  344. old viruses.
  345.  
  346. > 805
  347.  
  348. This is probably one of the Stardot variants. SCAN detects it as V-801
  349. [V801]. Not spread at all.
  350.  
  351. > 1590
  352.  
  353. This is probably the Green Caterpillar. Scan detects it as 1591/1575
  354. [15xx]. Not spread.
  355.  
  356. > Amoeba 2
  357.  
  358. This is probably the Maltese Amoeba. Watch out if you live in Ireland; the
  359. virus is quite widespread there. It's a dangerous polymorphic multi-partite
  360. fast infector. SCAN detects it as Irish [Irish].
  361.  
  362. > Anarkia
  363.  
  364. A Jerusalem variant. SCAN detects it as Jerusalem Related [Jeru] and Fu
  365. Manchu - Version A [Fu]. Not spread.
  366.  
  367. > Beast C
  368. > Beast D
  369.  
  370. These are No. of the Beast variants. This virus has 13 variants, all of
  371. them detected as 512 [512] by SCAN. Some of the variants are (not very
  372. widely) spread in Bulgaria.
  373.  
  374. > Cascade YAP
  375.  
  376. There is a misunderstanding here; in fact two different Cascade variants
  377. were called with this name. SCAN recognizes both as Yap [Yap]. Not spread
  378. at all.
  379.  
  380. > Dark Lord
  381.  
  382. A Terror variant. SCAN recognizes it as Terror [Ter]. Found once in the
  383. wild in Bulgaria.
  384.  
  385. > Decide
  386.  
  387. SCAN recognizes it as Deicide [Dei]. Not spead at all.
  388.  
  389. > Diamond
  390.  
  391. SCAN recognizes it as Alfa Related [Alf]. More exactly is to say "reports
  392. it", since it reports like this a lot of other (completely unrelated)
  393. viruses as well. Two variants were once uploaded to a BBS in Bulgaria.
  394.  
  395. > HIV
  396.  
  397. A Murphy variant. SCAN recognizes it as Murphy [Murphy]. Never found in the
  398. wild.
  399.  
  400. > Horse II
  401.  
  402. There are 9 variants of the Horse viruses, so I don't know what they mean by
  403. that. SCAN recognizes the first 8 only as Horse [Hrs] (and sometimes
  404. reports also 512 [512], which has nothing to do here). Most of them are not
  405. very widespread in Bulgaria, mainly in some schools in Sofia. Probably
  406. Horse II is the last variant, which SCAN does not detect, since it is a bit
  407. different from the others.
  408.  
  409. > Justice
  410.  
  411. SCAN recognizes it as Justice [Justice]. Once found in the wild in
  412. Bulgaria.
  413.  
  414. > Phoenix
  415.  
  416. There are 6 variants of this virus. SCAN recognizes 800 as V800 [V800],
  417. 1226, Phoenix, Proud, and Evil as P1 Related [P1r], and V82 as [V82].
  418. Relatively widespread in Bulgaria and several times uploaded to BBSes in
  419. West Europe.
  420.  
  421. > Suomi
  422.  
  423. SCAN recognizes it as 1008 [1008]. Not very widespread in Finnland.
  424.  
  425. > Tequila
  426.  
  427. SCAN recognizes it as Tequila [Teq]. Widespread in West Europe, a
  428. polymorphic multi-patrtite fast infector. Beware.
  429.  
  430. > Vienna 656
  431.  
  432. SCAN recognizes it as Lisbon Virus [Lisbon] and VHP Related Virus [VHP].
  433. Not spread at all.
  434.  
  435. > Virdem 792
  436.  
  437. SCAN recognizes it as Burger [Burger]. Not spread at all.
  438.  
  439. > Vriest
  440.  
  441. SCAN recognizes it as Vriest [Vrst]. Not spread.
  442.  
  443. Hope the above helps.
  444.  
  445. Regards,
  446. Vesselin
  447. - -- 
  448. Vesselin Vladimirov Bontchev         Virus Test Center, University of Hamburg
  449. Bontchev@Informatik.Uni-Hamburg.De   Fachbereich Informatik - AGN, rm. 107 C
  450. Tel.:+49-40-54715-224, Fax: -246     Vogt-Koeln-Strasse 30, D-2000, Hamburg 54
  451.  
  452. ------------------------------
  453.  
  454. Date:    Thu, 09 Jan 92 21:12:29 +0000
  455. From:    brian@norton.com (Brian Yoder)
  456. Subject: Re: Norton Anty Virus (PC)
  457.  
  458. CEZAR@PLEARN.BITNET (Cezar Cichocki) writes:
  459. > Hi folks,
  460. > I use Peter Norton's programm and I very interesting in his antyviral
  461. > program. Somebody said me that there is Shareware version of NAV
  462. > (about 1.5 or something like this). Is this true ?
  463.  
  464. No, there is no version of NAV in the public domain or as shareware.
  465. I suspect that someone is pulling your leg (and perhaps his own).
  466.  
  467. - -- 
  468. - -- Brian K. Yoder (brian@norton.com) - Q: What do you get when you cross     --
  469. - -- Peter Norton Computing Group      -    Apple & IBM?                       --
  470. - -- Symantec Corporation              - A: IBM.                               --
  471.  
  472. ------------------------------
  473.  
  474. Date:    Fri, 10 Jan 92 01:59:39 +0000
  475. From:    mcafee@netcom.netcom.com (McAfee Associates)
  476. Subject: Re: Joshi Virus and IDE Hard Drives (PC)
  477.  
  478. arg@netcom.netcom.com (Greg Argendelli) writes:
  479. >How are people removing the Joshi virus from IDE hard drives?  Based
  480. >on what I have read in Patricia's VSUM program, the only way to reomve
  481. >the virus is via a low-level format.  Since we can't do such a format
  482. >on an IDE, do we wind up trashing the drive?  Inquiring minds need to
  483. >know.  McAfee's scan/clean find it, and claim to clean it, but
  484. >don't....
  485.  
  486. Hi Greg,
  487.  
  488. I'm not sure that the problem is that you are having with VIRUSCAN and
  489. CLEAN-UP but it sounds like the PC in question is becoming re-infected
  490. after removal of the virus.  You may want to check any floppies in the
  491. vicinity of the PC and see if they have the virus on them and are
  492. re-introducing it.
  493.  
  494. In any case, if CLEAN-UP says that a virus cannot safely be removed from
  495. the partition table, you have several options available to you other
  496. then doing a low-level format.
  497.  
  498. 1.    If you're so inclined, you can copy the partition table off of
  499.     an identically partitioned hard disk and copy it over the PT of
  500.     the infected hard disk. 
  501.  
  502. 2.    If you have MS-DOS 5.00, you can run the DOS FDISK command with
  503.     the /MBR option.  This is an undocumented switch in the FDISK
  504.     command that replaces the Master Boot Record code (alias partition
  505.     table) while leaving the data portion intact.
  506.  
  507. 3.    Use a sector editor to change the last two bytes of the partition
  508.     table, which are "55 AA" to anything else.  This will invalidate
  509.     the partition table information, and you can then re-FDISK and
  510.     FORMAT the disk.
  511.  
  512. Naturally, there is always a small amount of risk in doing any of this, so
  513. it's always a good idea to make a backup of the hard disk before proceeding.
  514.  
  515. Another possibility is that you do not have the virus at all and instead are
  516. experiencing a "ghost" effect, that is, when a fragment of viral code is left
  517. at the end of a file somewhere on the disk that is loaded into memory with
  518. the file and causes a false alarm.  This can be fixed by running a disk 
  519. optimizing program to defragment the disk, or there's a program somwhere in
  520. the simtel archives called COVERUP or COVERUP1 that will null-out the ends
  521. of files.
  522.  
  523. BTW, I assume that you have tried using the latest (V85) version of
  524. CLEAN-UP to remove the virus, both with the [JOSHI] and [GENP] ID
  525. codes, as well as giving M-DISK a shot (if formatted with DOS 3-4).
  526.  
  527. Regards,
  528.  
  529. Aryeh Goretsky
  530. McAfee Associiates Technical Support
  531. - -- 
  532. - - - -
  533. McAfee Associates        | Voice (408) 988-3832 | mcafee@netcom.com  (business)
  534. 4423 Cheeney Street      | FAX   (408) 970-9727 | "Welcome to the alligator 
  535. Santa Clara, California  | BBS   (408) 988-4004 | farm..."
  536. 95054-0253  USA          | v.32  (408) 988-5190 | CompuServe ID: 76702,1714
  537. ViruScan/CleanUp/VShield | HST   (408) 988-5138 | or GO VIRUSFORUM 
  538.  
  539. ------------------------------
  540.  
  541. Date:    Fri, 10 Jan 92 05:33:23 +0000
  542. From:    rslade@cue.bc.ca (Rob Slade)
  543. Subject: Re: Norton Anty Virus (PC)
  544.  
  545. CEZAR@PLEARN.BITNET (Cezar Cichocki) writes:
  546. >program. Somebody said me that there is Shareware version of NAV
  547. >(about 1.5 or something like this). Is this true ?
  548.  
  549. No, it is not true.
  550.  
  551. A number of people are posting the upgrade virus signature files on
  552. private BBSes.  Norton does not condone this either.
  553.  
  554. ==============
  555. Vancouver      p1@arkham.wimsey.bc.ca   | "If you do buy a
  556. Institute for  Robert_Slade@sfu.ca      |  computer, don't
  557. Research into  rslade@cue.bc.ca         |  turn it on."
  558. User           CyberStore Dpac 85301030 | Richards' 2nd Law
  559. Security       Canada V7K 2G6           | of Data Security
  560.  
  561. ------------------------------
  562.  
  563. Date:    Fri, 10 Jan 92 09:05:58 +0000
  564. From:    Fridrik Skulason <frisk@complex.is>
  565. Subject: Re: List of Viruses (PC)
  566.  
  567. In Message 3 Jan 92 20:09:42 GMT, GLWARNER@SAMFORD.BITNET (THE GAR) writes:
  568. >1590                         Golden Gate 1
  569. >740                          Golden Gate 2
  570. >805                          HIV
  571. >Amoeba 2                     Horse II
  572. >Anarkia                      Justice
  573. >Anthrax PT                   Kylie
  574. >April 15                     Lunch
  575. >Beast C                      Omicron PT
  576. >Beast D                      PC Bandit
  577. >Cascade YAP                  Phoenix
  578. >Dark Lord                    Stoned III
  579. >Decide                       Suomi
  580. >Den-Zuk 2                    Tequila
  581. >Diamond                      Twelve Tricks
  582. >Doctor                       Vienna 656
  583. >Drug                         Virdem 792
  584. >Faggot                       Vriest
  585. >France                       Zapper
  586.  
  587. Some of the names in the list are old and well-known viruses, such as
  588. Anarkia, Cascade YAP, Dark Lord, Deicide, Diamond, HIV, Justice, Kylie,
  589. Phoenix, Suomi, Tequila, the Vienna variants and Vriest.
  590.  
  591. The others are either not viruses (12 Tricks) a case of bad naming
  592. practices, or (in a few cases) something I have never heard of,
  593. such as Drug and Lunch.
  594.  
  595. - -frisk
  596.  
  597. ------------------------------
  598.  
  599. Date:    Fri, 10 Jan 92 09:28:26 +0000
  600. From:    Fridrik Skulason <frisk@complex.is>
  601. Subject: Re: Looking for info on "Friday the 13th" virus (PC)
  602.  
  603. There are around 20 viruses which activate on Friday the 13th, such as
  604. "South African" (which may not be South African at all), Jerusalem (with a
  605. bunch of variants), Datacrime (well, sort of...), Relzfu (Fake-VirX),
  606. Monxla, Leningrad and Omega.
  607.  
  608. Unfortunately the available information is not specific enough to determine
  609. which virus is the cause in this case.
  610.  
  611. - -frisk
  612.  
  613. ------------------------------
  614.  
  615. Date:    Fri, 10 Jan 92 11:10:42 -0500
  616. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
  617. Subject: Philosophy and Time (PC)
  618.  
  619.      For over a year now we have be discussing simple  techniques
  620. for virus prevention - not 100% techniques but then stopping  the
  621. spread does not require 100%, it is significantly less.
  622.  
  623.      Lately,  I  have come to realize that virus spread  is  best
  624. modeled   using  a  diffusion-limited  aggregation  process  from
  625. Fractal  Geometry:  infected  populations grow  in  clusters  and
  626. larger  clusters  grow faster but slow again as they  approach  a
  627. limit  imposed  by the envelope. While the math is  complex,  the
  628. underlying  fact is not - if the clusters never exceed a  certain
  629. size, epidemics do not occur.
  630.  
  631.      Consequently, I have focused my work not on 100%  prevention
  632. with  the draconian measures that this would incur but a  gentler
  633. process  that  provides  a near-certain likelihood  (I  have  not
  634. mastered all of the math yet) of blocking viruses. With little or
  635. no effect on the PC.
  636.  
  637.      Initially,  I decided to concentrate on the BIOS  viruses  -
  638. those  infecting  the MBR (master boot record) and BR  (DOS  Boot
  639. Record)  of hard disks. There were two reasons for  this:  First,
  640. not  many  people  seemed to be working in  this  primeval  area.
  641. Second,  the  rules  were simpler and I felt  that  it  would  be
  642. possible  to  avoid  the Turing "halting"  difficulty  since  the
  643. system at that point is rigorously defined.
  644.  
  645.      The   results  were  several:  DISKSECURE  was   the   first
  646. technology demonstrator though its roots go back several years to
  647. a  pair of programs designed to detect the Pakistani Brain  (also
  648. see the "Six Byte" method). Observations made at that time led to
  649. some DS principles.
  650.  
  651.      Of  course, the real problems came from  compatibility  with
  652. all   of  the  diverse  systems  used  around  the  world,   only
  653. discoverable  in practice. I wish to thank all of the V-L  people
  654. who  provided feedback on what did not work that permitted me  to
  655. accumulate a database of "compatibility requirements" - seventeen
  656. bytes  in  one area that could not be depended on to  be  stable,
  657. operating  systems that expected certain registers to  be  passed
  658. intact, etc.
  659.  
  660.      In  comparison, a manufacturer who only has to  worry  about
  661. his  current  hardware  and  software  has  it  easy.  I  have  a
  662. tremendous  respect for all of the anti-virus vendors who  manage
  663. to write programs that WORK. The marvel is not that they work  so
  664. well,  the  marvel is that they work at all (paraphrased  from  a
  665. quote  but  have  no idea whose). - No  wonder  most  third-party
  666. FORMAT routines simply put code in the BR that says "This disk is
  667. not Bootable".
  668.  
  669.      As is usual in later generations, I found that while DS  was
  670. effective  in its purpose, less rigorous methods  would  suffice:
  671. for  anti-virus  work. This led to the SafeMBR concept -  an  MBR
  672. that  also did integrity checking using a special pair  of  rules
  673. but did not have to go resident (unlike DS) to be effective. This
  674. was  followed  by  NoFBoot,  a  small  TSR  designed  to  prevent
  675. "accidents"  that  (IMHO) cause most MBR  infections.  The  final
  676. step, CHKSMBR (a non-resident program included in FixMBR v  2.1),
  677. simply verifies that SMBR has not been tampered with and  permits
  678. Network authentication as well.
  679.  
  680.      This  complete "layered" system is IMHO capable of  knocking
  681. out  the spread of all known MBR viruses (that account  for  over
  682. 50%  of  all  computer  virus  infections  -  data  from   McAfee
  683. Associates  -  and all of the latest  round  of  "shrink-wrapped"
  684. infections including the Dec. Novell incident).
  685.  
  686.      Of course, and again IMHO, where this technology belongs  is
  687. in  the Operating Systems. It is trivial to  incorporate  SafeMBR
  688. techniques  into FDISK and NoFBoot could easily  be  incorporated
  689. into  either  the  hidden files  or  COMMAND.COM.  FixMBR  simply
  690. demonstrates  a virus-aware repair capability easily included  in
  691. FDISK  as  an  extension of the /MBR switch  in  5.0.  One  clone
  692. manufacturer has shown an interest and I have seen an  indication
  693. that Compaq may be working this area also (though how seriously I
  694. have no idea) but thusfar that is the extent.
  695.  
  696.      In  any  event,  with the completion of  FixMBR  v  2.1,  my
  697. feeling  is  that this study has gone far enough and  that  other
  698. things  are more interesting (besides, over the holidays  I  came
  699. close  to exhaustion and zero-free-time has been a fact  of  life
  700. for too long now).
  701.  
  702.      Consequently, for the next while I plan to use what time  is
  703. available  for  studying networks (I see the potential  for  some
  704. serious   liabilities implicit in peer-peer networks that  cannot
  705. require use of login scripts), Fractals, and putting my  Pontiacs
  706. together.
  707.  
  708.                                         Warmly,
  709.                                                   Padgett
  710.  
  711.                     <padgett%tccslr.dnet@mmc.com>
  712.  
  713. ------------------------------
  714.  
  715. Date:    Thu, 09 Jan 92 17:57:00 +0100
  716. From:    "Olivier M.J. Crepin-Leblond" <UMEEB37@VAXA.CC.IMPERIAL.AC.UK>
  717. Subject: Info about UNIX viruses (UNIX)
  718.  
  719. Could someone please forward me info about *any* UNIX viruses.  I'm
  720. not talking about worms, but actual viruses, comparable to MS-DOS
  721. viruses, for example. I'd just like a description of them (if any).
  722. Pointers to sources of info are also welcome.  Thanks,
  723.  
  724. Olivier M.J. Crepin-Leblond, Communications Sys., Elec. Eng. Dept.
  725. Imperial College of Science, Technology and Medicine, London, UK.
  726. <umeeb37@vaxa.cc.ic.ac.uk> - Internet/Bitnet
  727.  
  728. ------------------------------
  729.  
  730. Date:    Thu, 09 Jan 92 08:45:19 -0800
  731. From:    ROBERTS@ratvax.dnet.EDA.Teradyne.COM
  732. Subject: I/O bound CPU bound definitions
  733.  
  734. nkjle@locus.com (John Elghani) writes:
  735.  
  736. >   1- A virus obviously is a program that is CPU bound, io bound, ..etc.
  737. >     i.e. it occupies system's resources.  Some could probably delete
  738. >     all files on a system? right?
  739.  
  740. Let's clarify I/O bound (input/output bound) and CPU bound.  These
  741. terms refer to computers, not the programs.  They simply point out the
  742. "weakest link" or "bottleneck".  An I/O bound computer means that it
  743. is using all of its I/O resources to the maximum, but the CPU is often
  744. idle.  CPU bound means that the CPU is processing at its maximum, but
  745. there is plenty of unused DMA or I/O channels.  To improve the
  746. performance of a CPU bound computer, one could buy a faster cpu (not
  747. necessarily true for the I/O bound computer).
  748.  
  749. - - George Roberts
  750. roberts@ratvax.DNET.EDA.Teradyne.COM
  751. decwrl.dec.com!teda!ratvax.dnet!roberts
  752.  
  753. ------------------------------
  754.  
  755. Date:    Thu, 09 Jan 92 16:36:00 -0700
  756. From:    "Rich Travsky 3668 (307) 766-3663/3668" <RTRAVSKY@corral.uwyo.edu>
  757. Subject: New Antivirus Organization Announced
  758.  
  759. The following is from the Dec 30,1991/Jan 6,1992 issue of Network World.
  760.  
  761.     Virus Busters Join Hands  --  The Antivirus Methods Congress, a
  762.     newly formed organization to combat computer viruses, was announced
  763.     last week with the goal of bringing users, vendors and researchers
  764.     together to tackle virus attacks on networks in the private and
  765.     government sectors.
  766.  
  767.     Dick Lefkon, associate professor at New York University and chair-
  768.     man of the new group, said the organization already has 50 members,
  769.     including representatives from Martin Marietta Corp., the
  770.     insurance industry, the state of Arizona's legal department,
  771.     Northern Telecom, Inc. and universities in Hamburg, Germany, and
  772.     Iceland.
  773.  
  774. Any typos are without a doubt mine!  (BTW, anyone have a list/whatever of
  775. existing antivirus orgs? Just curious.)
  776.  
  777. +-----------------+     Richard Travsky
  778. |                 |     Division of Information Technology
  779. |                 |     University of Wyoming
  780. |                 |
  781. |                 |     RTRAVSKY @ CORRAL.UWYO.EDU
  782. |           U W   |     (307) 766 - 3663 / 3668
  783. |            *    |     "Wyoming is the capital of Denver." - a tourist
  784. +-----------------+     "One of those square states." - another tourist
  785. Home state of Dick Cheney,  Secretary of Defense of these here UNITED STATES!
  786.  
  787. ------------------------------
  788.  
  789. Date:    Mon, 06 Jan 92 12:37:22 -0800
  790. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  791. Subject: Write protection - software
  792.  
  793. DEFMTH3.CVP   920105
  794.  
  795.                   Write protection - software
  796.  
  797. An aspect related to hardware damage is that of "write
  798. protection".  Although this aspect of security is a part of
  799. normal computer operation, the details are not necessarily well
  800. understood by the general public.  In addition, certain
  801. procedures related to write protection often recommended as
  802. anti-viral measures are of little or no use.  They may, indeed,
  803. be "dangerous", in that they encourage users to think themselves
  804. safe and not to take further measures.
  805.  
  806. First of all, there is software write protection.  Many user
  807. manuals for antiviral programs have suggested changing the file
  808. attributes of all program files to "read-only" and "hidden".  A
  809. minor problem with this is that a number of programs write to
  810. themselves when making a change in configuration.  However, the
  811. more major problem is that this action provides almost no real
  812. protection.  What software (the operating system or protection
  813. program) can do, software (a virus) can undo.  The overcoming of
  814. this protection in MS-DOS is so trivially simple that utility
  815. programs, asked to make a change to a protected program, simply
  816. remind the user that the file is protected and ask for
  817. permission to proceed.  (At least, the better written ones ask. 
  818. Such is the contempt for "read-only" flags, that some programs
  819. just "do it".)
  820.  
  821. There are, as well, programs which attempt to write protect the
  822. hard disk as a whole, or individual files.  Since these programs
  823. use methods other than the standard OS calls they are generally
  824. more successful in protecting against "outside intrusion". 
  825. However, I must again repeat that what software can prevent,
  826. software can circumvent.
  827.  
  828. Software write protection must, of course, be running to do any
  829. good.  Thus boot sector infectors, and any other viri which
  830. manage to start up before the software protection is invoked,
  831. have little to fear from these programs.  Some of the protection
  832. programs start themselves as replacements for the master or
  833. partition boot record, in order to get around such "early"
  834. infectors.  However, in testing none have been able to prevent
  835. infection by the ubiquitous "Stoned" virus.  (Regular readers of
  836. the reviews will note the recent trial of one such hard disk
  837. security program which not only did not prevent the infection,
  838. but would not, thereafter, allow disinfection!  In my reviewing
  839. I have come to be much
  840.