home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / v05i008.txt < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  22.8 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V5 #8
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Wednesday, 15 Jan 1992    Volume 5 : Issue 8
  9.  
  10. Today's Topics:
  11.  
  12. Re: VIRUS at AT286 in SCAN85 (PC)
  13. Re: Odd Problem with F-PROT 2.01 (PC)
  14. Re: Does this behaviour sound like a virus (PC)
  15. Re: Antitelifonica (A-VIR) (PC)
  16. Re: Question re Stoned (PC)
  17. Form virus infected Dos 5.0 diskettes (PC)
  18. Re: Antitelifonica (A-VIR) (PC)
  19. Re: NCSA has tested Antivirus Programs (PC)
  20. Re: Gulf War "virus"
  21. Re: Viruses against Iraq??????
  22. LANs & Viruses
  23. RE: NCSA Has Tested Anti-Virus Programs
  24. Re: Military Viruses
  25. Re: UNIX viruses, request for information (UNIX)
  26. VIRX19.ZIP - VIRX v1.9: Easy to use free virus checker (PC)
  27.  
  28. VIRUS-L is a moderated, digested mail forum for discussing computer
  29. virus issues; comp.virus is a non-digested Usenet counterpart.
  30. Discussions are not limited to any one hardware/software platform -
  31. diversity is welcomed.  Contributions should be relevant, concise,
  32. polite, etc.  (The complete set of posting guidelines is available by
  33. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
  34. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
  35. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
  36. Information on accessing anti-virus, documentation, and back-issue
  37. archives is distributed periodically on the list.  Administrative mail
  38. (comments, suggestions, and so forth) should be sent to me at:
  39. krvw@CERT.SEI.CMU.EDU.
  40.  
  41.    Ken van Wyk
  42.  
  43. ----------------------------------------------------------------------
  44.  
  45. Date:    Wed, 15 Jan 92 06:16:32 +0000
  46. From:    mcafee@netcom.netcom.com (McAfee Associates)
  47. Subject: Re: VIRUS at AT286 in SCAN85 (PC)
  48.  
  49. DVORACEK@CSEARN.BITNET (Jarda Dvoracek) writes:
  50. >
  51. >      !!!             AT 286  USERS              !!!
  52. >      !!!   WARNING  !!!  WARNING  !!!  WARNING  !!!
  53. >      !!!   SCANV85 INFECTED, CLEAR85 MAYBE TOO  !!!
  54.                                   
  55. Hello Jarda,                                   
  56.  
  57. >
  58. >In Czechoslovakia, I got some new virus with the SCANV85.ZIP from some
  59. >BBS. It makes all .COM, .EXE and .ASM files 10 bytes longer, the first
  60.  
  61. When SCAN is run with the /AV option, it will create a validation code
  62. that is used to compare the file against so that it can be checked for
  63. unknown virus.  This process adds ten (10) bytes to the end of .COM
  64. and .EXE files.
  65.  
  66. [some of message deleted]
  67. >During 3 days it has infected all files but COMMAND.COM, some of them
  68. >worked normally, several terminated just after calling them.
  69. [rest of message deleted]
  70.  
  71. SCAN does not add ten bytes to COMMAND.COM or the system files.
  72. Instead, it stores the validation data in a hidden file in the root
  73. directory called SCANVAL.VAL.
  74.  
  75. Regards,
  76.  
  77. Aryeh Goretsky
  78. McAfee Associates Technical Support
  79. - -- 
  80. - - - -
  81. McAfee Associates        | Voice (408) 988-3832 | mcafee@netcom.com  (business)
  82. 4423 Cheeney Street      | FAX   (408) 970-9727 | "Welcome to the alligator 
  83. Santa Clara, California  | BBS   (408) 988-4004 | farm..."
  84. 95054-0253  USA          | v.32  (408) 988-5190 | CompuServe ID: 76702,1714
  85. ViruScan/CleanUp/VShield | HST   (408) 988-5138 | or GO VIRUSFORUM 
  86.  
  87. ------------------------------
  88.  
  89. Date:    Wed, 15 Jan 92 10:48:19 +0000
  90. From:    Fridrik Skulason <frisk@complex.is>
  91. Subject: Re: Odd Problem with F-PROT 2.01 (PC)
  92.  
  93. In Message 9 Jan 92 18:40:00 GMT,
  94.   WALKER@aedc-vax.af.mil (William Walker C60223 x457 writes:
  95.  
  96. >While testing F-PROT 2.01 against my suite of captive viri, I noticed a
  97. >curious behavior.  When F-PROT prompted to "Press ENTER to scan next
  98. >diskette," I swapped diskettes, pressed ENTER, and F-PROT began scanning
  99. >the diskette, but the files it reported scanning were those on the
  100. >previous diskette.
  101.  
  102. This problem has been fixed in version 2.02.  The problem only appears on
  103. certain types of 360K drives - mostly old ones - which do not have a
  104. disk change status line - 1.2M drives and 3.5" drives did not cause the
  105. problem, which is why it never surfaced in testing.
  106.  
  107. Version 2.02 also corrects a few other problems:
  108.  
  109.   "Secure Scan" used to report a "possible new variant of Yaunch" when
  110.   scanning certain files, including some OS/2 executables - fixed.
  111.  
  112.   "Analyse Program" would occasionally crash with a "Divide error"
  113.   message - fixed.
  114.  
  115.   Version 2.01 had some problems when scanning Bernoulli boxes, and
  116.   when run from the OS/2 DOS box - fixed.
  117.  
  118. The major changes in 2.02 are not bug fixes of course, but a
  119. considerable speed improvement ans some other nice features.  It is
  120. finished - I am just making some changes to the virus names, to bring
  121. them in line with the recent "standard" naming scheme.
  122.  
  123. Expect to see an annoucement that 2.02 is available in a couple of days or
  124. so.
  125.  
  126. - -frisk (author of F-PROT)
  127.  
  128. ------------------------------
  129.  
  130. Date:    Mon, 13 Jan 92 16:54:00 +0000
  131. From:    Anthony Naggs <AMN@vms.brighton.ac.uk>
  132. Subject: Re: Does this behaviour sound like a virus (PC)
  133.  
  134. In issue 1 Mark Saake reports:
  135.  
  136. >The other day I inserted a floppy into the A: drive on my pc and tried
  137. >to do a dir.  I got the message back stating "Sector not found" and it
  138. >was unable to read the disk.
  139. >...
  140. >I tried booting off a a floppy instead of the hard drive and was able
  141. >to read other floppies fine, with and without write protect tabs.
  142. >However, after some experimenting, I discovered that if I booted off
  143. >the hard drive I could read floppies as long as they had the write
  144. >protect tab on but the second I took the tab off the disks became
  145. >trashed. Note that when booting off an original system floppy this
  146. >behavior was not exhibited. Everything worked fine.
  147.  
  148. Yes Mark you definitely have a 'boot sector' virus, probably a variant
  149. of New Zealand (also known as Stoned or Marijuana).
  150.  
  151. So what is happening?
  152. Well, the first sector on each DOS diskette is the boot sector, this
  153. carries a short 'boot strap' program and some information about the
  154. disk format.  To infect a diskette the virus copies the original boot
  155. sector to somewhere safe (towards the end of the root directory for
  156. the New Zealand virus), and places a copy of itself in the first
  157. sector.  The purpose of the bootstrap program is to examine the disk
  158. and decide whether it is suitable to boot from, by ensuring the DOS
  159. system files are present, and giving a warning message if they are
  160. missing.
  161.  
  162. The effect you see is due to a major fault in the New Zealand virus,
  163. and most of subsequent variants, it does not understand that there are
  164. different diskette sizes.  It therefore doesn't include the the disk
  165. size information in the new boot sector.  Without the disk size
  166. information DOS does not correctly recognise some sizes of disk, eg it
  167. assumes 1.2M diskettes are 360k and reads the root directory from the
  168. wrong part of the disk.
  169.  
  170. The New Zealand virus spreads if you boot your PC from an infected
  171. diskette, even if the diskette does not have the system files.  This
  172. is because the virus is loaded by the BIOS ROM, the virus looks for a
  173. hard disk and infects that, and then it loads the original bootstrap
  174. program.
  175.  
  176. To confirm this run CHKDSK, for 640k of standard memory it should
  177. normally report "655360 bytes total memory", with New Zealand virus in
  178. memory this will be reduced to 653312.
  179.  
  180. The solution: either acquire some anti-virus software locally, or send
  181. me your postal address & you can have a program of mine which will
  182. disinfect your hard disk & should be able to recover all your floppy
  183. disks.  To ensure that my program works with the virus version that
  184. you have you can post a copy of an infected diskette to me:
  185.         P.O. Box 1080,
  186.         PEACEHAVEN
  187.         East Sussex  BN10 8BT
  188.         GREAT BRITAIN
  189.  
  190. Good luck with your clean up,
  191.                             Anthony Naggs
  192.                             ~~~~~~~~~~~~~
  193.  
  194. PS "Review: A Pathology of Computer Viruses"
  195. Interested to see Gene Spafford's review especially as I am still
  196. awaiting my review copy.  Ho hum.
  197.  
  198. ------------------------------
  199.  
  200. Date:    14 Jan 92 09:51:01 +0000
  201. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  202. Subject: Re: Antitelifonica (A-VIR) (PC)
  203.  
  204. ahubbell@orlith.bates.edu (Arlyn Hubbell) writes:
  205.  
  206. > Antitelifonica.  According to McAffee's SCAN85 documentation it can
  207. > only be cleaned using a program called M-DISK.  Has anyone out there
  208.   ^^^^
  209. Well, "only" is a bit hard... :-) M-DISK is certainly not the only
  210. anti-virus program in the world, which can help you get rid of this
  211. virus. In fact, if you have a DOS 5.0 system disk, you don't need any
  212. anti-virus program at all in order to remove the virus from the hard
  213. disk. Just run FDISK with the /MBR option. It will rewrite the master
  214. boot sector program without touching your partition table information.
  215. The bad news is that the virus might have already destroyed some
  216. information on some kinds of hard disks, but that same happens with
  217. Stoned...
  218.  
  219. You can remove the virus from diskettes (if their root directory
  220. information has not been destroyed) by copying all the files to
  221. another diskette and reformatting the infected one.
  222.  
  223. In order to remove the infection from the files (this is a
  224. multi-partite virus), you need some kind of virus scanner, which will
  225. tell you which files are infected, so you can delete them and replace
  226. them from clean backups.
  227.  
  228. Of course, all this must be done while the virus is not active in
  229. memory (i.e., after booting from a write-protected non-infected system
  230. diskette), since the virus is a stealth one.
  231.  
  232. If you really want to disinfect the infected files (instead of
  233. removing them), which I strongly discourage you, you might consider
  234. getting a good disinfector. Dr. Solomon's Anti-Virus ToolKit is one,
  235. but even McAfee's CLEAN 85 is able to disinfect this virus from the
  236. files (and it is less expensive than the AVTK). Fridrik Skulason's
  237. F-Prot 2.01 is also a good choice (read: it detects the virus
  238. perfectly, but I haven't found time yet to test its disinfection
  239. capabilities on this virus. You can contact Fridrik Skulason at
  240. frisk@complex.is for more information.) and it is -very- cheap.
  241.  
  242. Regards,
  243. Vesselin
  244. - -- 
  245. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  246. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  247. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  248.  
  249. ------------------------------
  250.  
  251. Date:    14 Jan 92 10:56:00 +0000
  252. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  253. Subject: Re: Question re Stoned (PC)
  254.  
  255. martin@cs.ualberta.ca (Tim Martin; FSO; Soil Sciences) writes:
  256.  
  257. > For stoned to infect a hard disk, the computer must be booted from an
  258. > infected diskette.  It may be that in its current setup no student ever
  259.  
  260. The wording of the above sentence is not very exact, which often leads
  261. to misunderstandings. (Tim, I know that you know what you're talking
  262. about, you just didn't express it in the most exact way.)
  263.  
  264. The wording should be: "For Stoned to infect a hard disk, there must
  265. be an ATTEMPT to boot from and infected diskette." Note that this does
  266. not imply that the attempt is successful. According to my own
  267. experience, most users get re-infected by Stoned not by actually
  268. booting from and infected bootable diskette, but by forgetting an
  269. infected data diskette (i.e., with no DOS or even any executable files
  270. on it) in the A: drive when they are truning their computer on.
  271.  
  272. The trick is that when you see the "Press any key" message, the hard
  273. disk is -already- infected.
  274.  
  275. Regards,
  276. Vesselin
  277. - -- 
  278. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  279. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  280. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  281.  
  282. ------------------------------
  283.  
  284. Date:    Tue, 14 Jan 92 11:05:49 +0000
  285. From:    root@itnsg1.cineca.it (Valter Cavecchia)
  286. Subject: Form virus infected Dos 5.0 diskettes (PC)
  287.  
  288. Some time ago we were infected by the Form (boot sector) virus.
  289. Nothing serious happened, but among the computers infected few of them
  290. were running Dos 5.0. We tried to remove the virus using M-DISK but
  291. found that Dos 5.0 is not yet supported.  Is there a new version of
  292. M-DISK available?  Is there any other way to clean up the diskettes
  293. (without formatting :-)) ?
  294.     Thanks a lot for any help
  295.  
  296.     Valter
  297.  ---------------------------------------------------------------------------
  298. |  Valter V. Cavecchia          | Bitnet:       cavecchi@itncisca           |
  299. |  Centro di Fisica del C.N.R.  | Internet:     valter@itnsg1.cineca.it     |
  300.  
  301. ------------------------------
  302.  
  303. Date:    Tue, 14 Jan 92 13:43:12 +0000
  304. From:    Fridrik Skulason <frisk@complex.is>
  305. Subject: Re: Antitelifonica (A-VIR) (PC)
  306.  
  307. >We here at Bates College have just come across our first occurrence of
  308. >Antitelifonica.
  309.  
  310. This virus is also known under the following names:
  311.  
  312.     Kampana (boot)
  313.     Telefonica
  314.     Spanish Telecom (boot)
  315.     Telecom (boot)
  316.  
  317. It is a very rapidly spreading boot sector virus, which can be quite harmful
  318. as it may reformat the disk on the 400th boot.
  319.  
  320. This virus is sometimes "dropped" by a different virus - a program virus,
  321. which exists in several versions.  You probably have only the boot virus.
  322.  
  323. > According to McAffee's SCAN85 documentation it can
  324. >only be cleaned using a program called M-DISK.
  325.  
  326. "only" is not correct - I think most other anti-virus programs, at least my
  327. own - can disinfect it as well.
  328.  
  329. - -frisk
  330.  
  331. ------------------------------
  332.  
  333. Date:    Tue, 14 Jan 92 13:57:00 +0000
  334. From:    Fridrik Skulason <frisk@complex.is>
  335. Subject: Re: NCSA has tested Antivirus Programs (PC)
  336.  
  337. In Message 8 Jan 92 16:26:35 GMT, RZOTTO@DKNKURZ1.BITNET (Otto.Stolz) writes:
  338.  
  339. >   F-Prot V. 2.0                 | F. Skulason           | 129
  340.  
  341. Well, I'm not complaining...I was quite happy with the results, and getting
  342. the top score has only helped me... :-)
  343.  
  344. Actually, the main reasons why I did not get a perfect score (140 points)
  345. were:
  346.  
  347.     Speed - Version 2.0 was quite slow compared to some of the other
  348.             scanners - a problem which has been fixed in 2.02.
  349.  
  350.    Handling of "self-infections" - I did not agree with this part of the
  351.    review, but the question was what what the scanner program should do if
  352.    it determined that it had been infected with a virus.
  353.  
  354.    Obviously 0 points were awarded if the scanner did not detect the
  355.    infection, but my opinion was that the program should simply abort
  356.    and announce that it had been infected, telling the user to reboot from
  357.    a "clean" disk, and run an original copy of the program.
  358.  
  359.    They wanted to program to be able to disinfect itself in memory,
  360.    disable the virus, if it was active in memory, and continue as if
  361.    nothing had happened...something which I consider too dangerous.
  362.  
  363. >england) ranking among the best ones. Most apparently, high-quality
  364. >European products in this domain will be recognized internationally.
  365.  
  366. Actually - quite a few of the "American" anti-virus program are actually
  367. American at all...quite a few of them are just repackaged programs from
  368. elsewhere...Israel for example.
  369.  
  370. - -frisk
  371.  
  372. ------------------------------
  373.  
  374. Date:    15 Jan 92 11:30:05 +0000
  375. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  376. Subject: Re: Gulf War "virus"
  377.  
  378. fstuart@eng.auburn.edu (Frank Stuart) writes:
  379.  
  380. > CNN is reporting that a computer "virus" was used during the Gulf War.
  381. > Reportedly, the virus was used to blank the screens of Iraq's air
  382. > defense computers.  The alleged virus was supposed to have been hidden
  383. > in a printer chip that was smuggled in from Jordan.  I (and many
  384. > others, I'm sure) would be very interested if anyone has further
  385. > information.
  386.  
  387. This is old news; I heard about that when I was in Bulgaria, maybe in
  388. May. I'm afraid that it is based on an April 1st joke, published by a
  389. computer magazine (was it Computerworld?)... It is, essentially,
  390. nonsense, of course.
  391.  
  392. Regards,
  393. Vesselin
  394. - -- 
  395. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  396. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  397. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  398.  
  399. ------------------------------
  400.  
  401. Date:    15 Jan 92 14:44:04 +0000
  402. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  403. Subject: Re: Viruses against Iraq??????
  404.  
  405. stus5239@mary.cs.fredonia.edu (Kevin Stussman) writes:
  406.  
  407. >     Virus on a chip?? How and when did it go off? What type virus?
  408. > (it probably wasn't a real virus (not self replicating) but nasty
  409. > screen killing code on a chip) So now hacking is now legal, but only
  410. > during wartime against an enemy. (goes with killing)
  411.  
  412. Nonsense, complete nonsense. If it is in the printer, it cannot force
  413. you to execute it. It cannot copy itself to the computer. It cannot
  414. exist. Period.
  415.  
  416. The whole story is a rumor, just as the "modem virus", an excellent
  417. article about which was posted by Rob Slade just in time.
  418.  
  419. And the rumor in this case is based on an April 1st joke, made by a
  420. computer magazine.
  421.  
  422. Regards,
  423. Vesselin
  424. - -- 
  425. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  426. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  427. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  428.  
  429. ------------------------------
  430.  
  431. Date:    Mon, 13 Jan 92 16:33:16 -0500
  432. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
  433. Subject: LANs & Viruses
  434.  
  435. It is my conviction that part of effective LAN protection from Viruses
  436. and other malicious software must center arount the ability of the
  437. server to be able to authenticate clients prior to permitting access.
  438. This requires the ability for the client to force the client to run
  439. certain applications during the login process. While most
  440. client-server networks provide for such login "scripts", I do not know
  441. of any perr-peer networks that do. I would appreciate hearing from
  442. users who know of any peer-peer networks that can force such action on
  443. the requestor by the requestee (or alternately, any client-server
  444. systems that cannot.
  445.  
  446. Please reply to me directly.
  447.                         Warmly (73 today),
  448.  
  449.                             Padgett
  450.  
  451.         padgett%tccslr.dnet@mmc.com
  452.  
  453. ------------------------------
  454.  
  455. Date:    Mon, 13 Jan 92 19:53:00 -0500
  456. From:    <RUTSTEIN@HWS.BITNET>
  457. Subject: RE: NCSA Has Tested Anti-Virus Programs
  458.  
  459. The information you presented was correct, though outdated.  Those
  460. results were from the previous virus scanner evaluation report, and
  461. were printed last year in Network World, as you said.  Just this week,
  462. the latest update to that scanner evaluation was released, and is
  463. available from the NCSA at 717-258-1816.  The results may surprise
  464. you.....  Hope this helps, happy virus-busting....
  465.  
  466.                               Charles
  467.  
  468. **************************************************************************
  469. Rutstein@HWS.BITNET
  470. (Charles Rutstein)
  471. ***************************************************************************
  472.  
  473. ------------------------------
  474.  
  475. Date:    14 Jan 92 10:12:06 +0000
  476. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  477. Subject: Re: Military Viruses
  478.  
  479. U953001@RUTADMIN.BITNET (Nick Di Giovanni) writes:
  480.  
  481. > The Review reported that Software and Electrical Engineering (SEE) was
  482. > one of two organizations preparing reports for the Army Center for
  483. > Signal Warfare on the deliberate use of computer viruses and worms to
  484.  
  485. Probably SPARTA, INC. is the other one.
  486.  
  487. > incapacitate computer networks.  The center identified the desired
  488. > effects of such a use as including data disruption, denial of use, and
  489. > affecting the operation of processors and the management of data
  490.  
  491. Yeah, yeah, but this is mainly wishful thinking - they dream to have
  492. viruses which are able to do this... Currently no such things are
  493. available, of course.
  494.  
  495. > storage.  SEE's contract was reportedly for $50,000; however, it stood
  496. > to make as much as $500,000, according to this account, if it received
  497. > a contract for the follow-up phase of the project, which involves
  498. > devising particular viruses, demonstrating them, and devising possible
  499. > defenses against their use.
  500.  
  501. This is not quite exact, and it involves not only SEE.
  502.  
  503. In fact, the DoD's SBIR (Small Business Innovation Research) program
  504. consists of three phases. During the first one (Concept Feasability),
  505. contracts are awarded for a study of feasability of the projects in
  506. the Army' areas of interest. The awards are for $50,000 over a
  507. six-month period. They say that the available funds will permit
  508. support of approximately 20 % of the proposals received.
  509.  
  510. Firms that successfully complete Phase I study are eligible to submit
  511. Phase II (Research and Developpment) proposals in that area of study.
  512. The Phase II awards fund research, developpment, and prototype
  513. production. The awards cover a period of two years, and average
  514. $450,000. They expect that the funds will permit to about 40 % of
  515. those who have completed Phase I to progress to Phase II.
  516.  
  517. Success in Phase II is expected to lead to Phase III (Production and
  518. Commercialization). The SBIR contractors normally obtain funding for
  519. this phase of their product or service from the private sector. The
  520. Government, through its agencies, also provides financial support for
  521. contractors whose products will be used by the U.S. Government. By
  522. law, no SBIR funds are extended for this phase.
  523.  
  524. Sigh... After all that, there will be again people, who will claim
  525. that I'm a KGB agent... :-) Just FYI, I read all this in an article,
  526. published in the proceedings of a Virus & Security conference. The
  527. document bears, indeed, sceals from the Department of Defense, the
  528. Department of the Army, the Department of the Navy, the Department of
  529. the Air Force, DARPA, the Defense Nuclear Agency, and the Strategic
  530. Defense Initiative Organization, but it also has an inscription, which
  531. says that "Nothing on this page is classified or proprietary
  532. information/data"...
  533.  
  534. Hope that this clears any misunderstandings... :-)
  535.  
  536. Regards,
  537. Vesselin
  538. - -- 
  539. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  540. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  541. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  542.  
  543. ------------------------------
  544.  
  545. Date:    Tue, 14 Jan 92 10:31:50 -0500
  546. From:    m19940@mwvm.mitre.org (Emily H. Lonsford)
  547. Subject: Re: UNIX viruses, request for information (UNIX)
  548.  
  549. You might want to read the article by Tom Duff called "Experience with
  550. Viruses on UNIX systems" in the 1989 V2#2 issue of Computing Systems.
  551. pp155-171.
  552. **************************
  553. *        EMILY H. LONSFORD
  554. *        MITRE - HOUSTON H123  (713) 333-0922
  555. *        EHL@MITRE.ORG
  556. **************************
  557.  
  558. ------
  559.