home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / v05i011.txt < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  24.9 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V5 #11
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Wednesday, 22 Jan 1992    Volume 5 : Issue 11
  9.  
  10. Today's Topics:
  11.  
  12. Re: Looking for info on "Friday the 13th" virus (PC)
  13. Keypress and Keypress II (PC)
  14. Re: Making DIR of a contaminated floppy (PC)
  15. Re: NCSA has tested Antivirus Programs (PC)
  16. Novell viruses (PC)
  17. Re: 1575/1591 Virus (PC)
  18. WDEF (mac)
  19. PC Virus Checker for Unix (PC) (UNIX)
  20. Re: New Antivirus Organization Announced
  21. Re: New to the forum - question
  22. Re: New Antivirus Organization Announced
  23. Sigs
  24. Polymorphic viruses
  25. new program from Padgett Peterson available (PC)
  26. Iraqi Computer Virus story Defended !
  27. Mail Problem (McAfee)
  28.  
  29. VIRUS-L is a moderated, digested mail forum for discussing computer
  30. virus issues; comp.virus is a non-digested Usenet counterpart.
  31. Discussions are not limited to any one hardware/software platform -
  32. diversity is welcomed.  Contributions should be relevant, concise,
  33. polite, etc.  (The complete set of posting guidelines is available by
  34. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
  35. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
  36. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
  37. Information on accessing anti-virus, documentation, and back-issue
  38. archives is distributed periodically on the list.  Administrative mail
  39. (comments, suggestions, and so forth) should be sent to me at:
  40. krvw@CERT.SEI.CMU.EDU.
  41.  
  42.    Ken van Wyk
  43.  
  44. ----------------------------------------------------------------------
  45.  
  46. Date:    Fri, 17 Jan 92 06:13:36 +0000
  47. From:    forbes@cbnewsf.cb.att.com (scott.forbes)
  48. Subject: Re: Looking for info on "Friday the 13th" virus (PC)
  49.  
  50. bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
  51. >Yes, but the original poster said that his disk was formatted on
  52. >13-Dec-1991. This excludes the Jerusalems and the South Africans, and
  53. >also Datacrime. If I remember correctly, Monxla, Leningrad, and Omega
  54. >do not format the disk... Or am I wrong? Does any of it at least
  55. >overwrite it? Maybe this has been misinterpretted as formatting... And
  56. >I can't remember what Relzfu does when it activates... :-(
  57.  
  58. My apologies for ambiguity in the original post.  I wrote, "The hard
  59. drive received a low-level format," by which I meant that, as a method
  60. of curing and removing the virus, all recoverable files were removed,
  61. the hard drive was formatted, and the files were restored from master
  62. disks.
  63.  
  64. As to damage caused by the virus, I'm afraid I can't be certain: An
  65. eager but very misguided person got to the computer before I did, and
  66. attempted to make repairs by copying several files *onto* the damaged
  67. drive...
  68.  
  69. The only things I know for certain are that the disk was made
  70. unbootable, and that later attempts to repair the drive (using Norton
  71. Utilities) showed a damaged File Allocation Table.
  72.  
  73. Hope this helps.  Any/all info would be appreciated.
  74.  
  75. - -- Scott Forbes
  76.  
  77. ------------------------------
  78.  
  79. Date:    Fri, 17 Jan 92 03:35:31 -0500
  80. From:    <CSRCC%CUNYVM.BITNET@mitvma.mit.edu>
  81. Subject: Keypress and Keypress II (PC)
  82.  
  83. Hi everyone.
  84.             Does anyone have a product thet can clean an infected
  85. program from Keypress, Keypress II and Tirku ???
  86.  
  87.  /Colin St Rose
  88.        Internet: CSRCC@CUNYVM.CUNY.EDU
  89.               Bitnet: CSRCC@CUNYVM
  90.                    Compuserve: 75730.2121@COMPUSERVE.COM
  91.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  92.  
  93. ------------------------------
  94.  
  95. Date:    17 Jan 92 10:29:12 +0000
  96. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  97. Subject: Re: Making DIR of a contaminated floppy (PC)
  98.  
  99. UBAESQ01@EBCESCA1.BITNET (Josep Fortiana Gregori) writes:
  100.  
  101. >      1. Boot from a clean write-protected floppy
  102. >      2. SCAN C:\ /m /chkhi
  103. >         >> No viruses found
  104. >      3. SCAN B:\
  105. >         >> Found Anti-Tel Virus A-Vir! in boot sector
  106. >      4. DIR B:
  107. >      5. SCAN C:\ /m /chkhi
  108. >         >> Found Anti-Tel Virus A-Vir!
  109. >            active in memory
  110.  
  111. >     My conjecture is that the boot sector is read in one of the
  112. >     DOS buffers, so that the virus is present in memory as data,
  113. >     not code (so it is not active).
  114. >     Is that correct?
  115.  
  116. Yes, your conjecture is correct. It's not a virus, it's a ghost false
  117. positive in memory. Possible fixes are:
  118.  
  119. 1) Run CHKDSK (on a non-infected disk) each time after SCAN detects a
  120. virus or you copy an infected file/diskette. CHKDSK will flush the DOS
  121. buffers, and the stupid ghost will disappear.
  122.  
  123. 2) After 2., always run SCAN with the /nomem switch. After all, you
  124. have already checked your memory (including the upper memory, which is
  125. completely useless, since no known virus is using it and SCAN can
  126. detect only known viruses), so you -know- that the memory is not
  127. infected.
  128.  
  129. 3) Pester McAfee Associates to write a better memory detection
  130. routine. It can be done (there are several scanners like HTScan,
  131. TbScan, F-Prot, which already do it) in such a way, that these stupid
  132. ghost false positives do not occur. I am doing this since quite a long
  133. time, let's hope that if more users do it, SCAN's memory checking will
  134. be finally improved.
  135.  
  136. Hope the above helps.
  137.  
  138. Regards,
  139. Vesselin
  140. - -- 
  141. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  142. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  143. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  144.  
  145. ------------------------------
  146.  
  147. Date:    17 Jan 92 10:41:15 +0000
  148. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  149. Subject: Re: NCSA has tested Antivirus Programs (PC)
  150.  
  151. frisk@complex.is (Fridrik Skulason) writes:
  152.  
  153. >    They wanted to program to be able to disinfect itself in memory,
  154. >    disable the virus, if it was active in memory, and continue as if
  155. >    nothing had happened...something which I consider too dangerous.
  156.  
  157. Even worse - I claim that the above is IMPOSSIBLE in all cases. There
  158. are currently several products, which claim to add a
  159. "self-disinfecting" envelope to other programs: I have only McAfee's
  160. FShield, but have heard about at least three more - The Untouchable,
  161. something from Central Point Software, and a product under
  162. development, which I discuss with someone from Bogota, Colombia (if I
  163. remember correctly, else - sorry)
  164.  
  165. Neither of the products is able to do the above against all possible
  166. viruses, even if we limit the viruses to use only the currently known
  167. techniques. In fact, I'm almost certain, that even some of the
  168. currently existing viruses will be able to circumvent all of the
  169. products mentioned...
  170.  
  171. It just cannot be done!
  172.  
  173. > Actually - quite a few of the "American" anti-virus program are actually
  174. > American at all...quite a few of them are just repackaged programs from
  175. > elsewhere...Israel for example.
  176.  
  177. Yeah, if you mean CPAV and the Untouchable... But, I have observed the
  178. same thing as the original poster - the European anti-virus programs,
  179. at least the scanners, seem to be supperior to the American ones, at
  180. least those we have here at the VTC.
  181.  
  182. When compared with Dr. Solomon's Anti-Virus ToolKit and your product,
  183. only McAfee's scan was able to compete, and only if I compared the
  184. capabilities to detect whether an object (file or boot sector) is
  185. infected or not. Even VirX (the free version) didn't score that
  186. much... (More exactly, SCAN was somewhere between AVTK and F-Prot.)
  187. However, I tested only the detection capability, since this is the
  188. most important, IMHO, property. If one considers anything else -
  189. speed, user interface, flexibility, exactness of the reports,
  190. documentation, ability to remove viruses, ability to detect unknown
  191. variants of the known viruses, then even SCAN is left far behind...
  192.  
  193. American anti-virus producers, where are you? The challenge is here to
  194. take... Just don't ferget that the task is not easy and involves a
  195. huge amount of research efforts...
  196.  
  197. Regards,
  198. Vesselin
  199. - -- 
  200. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  201. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  202. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  203.  
  204. ------------------------------
  205.  
  206. Date:    17 Jan 92 12:49:01 -0500
  207. From:    Doug Eckert <75140.1550@CompuServe.COM>
  208. Subject: Novell viruses (PC)
  209.  
  210. Greetings, All;
  211.  
  212. I'm interested in obtaining a (believable) list that says which
  213. viruses infect and/or spread through Novell local area networks,
  214. and what effects they cause (error messages and the like). I've
  215. followed information about the GP1 ("Get Password 1") about as
  216. far as seems worthwhile (it doesn't work).
  217.  
  218. Below I'll share with you what some testing I was involved in
  219. early last year showed. My feeling is there needs to be more
  220. trustworthy information available on this subject. If NOVELL has
  221. any such listing, last time I checked they weren't sharing.
  222.  
  223. We were testing Central Point Anti-Virus version 1.0, at the time
  224. of the below. The results were shared with Central Point. And
  225. while they are heartening for those of us who depend upon LANs
  226. every day, the sample is obviously too small for any general
  227. smugness about the imperviousness of Novell Trustee Rights.
  228.  
  229.            VIRUS / LOCAL AREA NETWORK TESTING
  230.  
  231. SUMMARY
  232. Only two of the five viruses tested, 1701 and Invader, proved
  233. capable of cirumventing the file attributes set by the Novell
  234. FLAG.EXE command. Repeated attempts with all 5 viruses to infect
  235. files protected by Novell Trustee Rights (for example, IBM DOS
  236. 3.30 files in F:\PUBLIC\IBM_PC\V3.30 when logged in as a non-
  237. supervisory user without trustee rights to those subdirectories)
  238. were unsuccessful. Upon execution, Jerusalem-B consistently
  239. either prevented or broke the connection to the LAN.
  240.  
  241. SETUP
  242. A test local area network (LAN) using Novell NetWare 2.15, 3COM
  243. ethernet adapters, coaxial cable, IBM DOS 3.30, 2 IBM PS/2 Model
  244. 50's, 2 AST '286's, and one IBM PS/2 Model 80 as a file server
  245. was set up. Three types of network shells were used: ODI, NET3
  246. version 3.01 rev. E, and NET3 version 2.15.
  247.  
  248. Attempts were made to infect test .COM and .EXE files stored
  249. under F:\USERS\<username> and C:\TESTEXEC, using the following
  250. viruses:
  251.        (1) Jerusalem-B (aka. "Friday the 13th")
  252.        (2) 1701 (aka. "1701/1704")
  253.        (3) 4096 (aka. "100 Years", "Frodo", "Stealth")
  254.        (4) Invader (aka. "Anticad-2", "Plastique")
  255.        (5) Whale (aka. "Motherfish")
  256.  
  257. All of these viruses except 1701 were obtained from an anti-
  258. virus software vendor. Two versions of Whale were tested. 1701
  259. was obtained from an infected site in Michigan.
  260.  
  261. Test network files NE.COM and FASTGIF.COM were flagged as read-
  262. only using Novell's FLAG.EXE program. The file BROWSE.COM was
  263. "wrapped" on both the network and the local (C:) drive, using
  264. Central Point Anti-Virus's (CPAV) immunization coding, which
  265. added 779 bytes to the file size (1737 new size minus the 958
  266. original size).
  267.  
  268. RESULTS
  269. While successful at infecting C:\TESTEXEC files, repeated efforts
  270. to get Jerusalem-B, 4096 and Whale to infect network files - to
  271. which the user had all rights - were unsuccessful.
  272.  
  273. Jerusalem-B continually interfered with the LAN connection.
  274. Several attempts to login to the network after becoming infected
  275. were unsuccessful. Attempts to become infected after logging in
  276. to the network consistently resulted in network adapter card
  277. error messages that required re-booting to escape. These results
  278. were consistent across all three driver sets and both PC types.
  279.  
  280. Novell technical support indicated there have been reports that
  281. certain network adapters, among them those by 3COM, are
  282. incompatible with Jerusalem-B.
  283.  
  284. 4096 evidenced no conflict with the network connection and
  285. infected C:\TESTEXEC executables, but - strangely - NOT the same
  286. files in F:\USERS\<username> when changed to that directory
  287. immediately afterwards. The file BROWSE.COM, previously "wrapped"
  288. (immunized) by CPAV, was protected from infection by 4096.
  289.  
  290. Whale also evidenced no conflict with the network connection.
  291. Attempts to infect network files with the Whale virus were also
  292. unsuccessful. Immediately subsequent calls of the same executable
  293. files on drive C: infected those files with Whale.
  294.  
  295. Previous CPAV immunization did NOT protect the file BROWSE.COM
  296. from infection by the Whale virus. The CPAV reconstruction
  297. feature for this immunized file was also not triggered by future
  298. calls of BROWSE.COM. Cleaning of BROWSE.COM by the menu-driven
  299. CPAV program left 8 extra bytes which caused execution of
  300. BROWSE.COM to hang the computer.
  301.  
  302. Regards,
  303.  
  304. Eck
  305.  
  306. ------------------------------
  307.  
  308. Date:    Sat, 18 Jan 92 13:04:19 +0000
  309. From:    Fridrik Skulason <frisk@complex.is>
  310. Subject: Re: 1575/1591 Virus (PC)
  311.  
  312. In Message 15 Jan 92 11:20:06 GMT,
  313.   bontchev@fbihh.informatik.uni-hamburg.de (Vesselin writes:
  314.  
  315. >There are 6-7 variants of this virus, but they are essentially the
  316. >same.
  317.  
  318. Eh, no...Alan Solomon discovered he was wrong - he included one variable
  319. byte in his checksumming range.  There seem to be at most two variants.
  320.  
  321. - -frisk
  322.  
  323. ------------------------------
  324.  
  325. Date:    Fri, 17 Jan 92 20:20:36 +0000
  326. From:    brown20@obelix.gaul.csd.uwo.ca (Dennis Brown)
  327. Subject: WDEF (mac)
  328.  
  329. This is a request for information concering the virus WDEF.  It seems that I
  330. have contracted this virus and I am now trying to get rid of it.  
  331.  
  332. Here's the facts:Mac Plus
  333.          External HD
  334.  
  335. About a week ago, while doing a routing copy of some files, I created a
  336. folder that is empty and is unremoveable.  Shortly after this, about 3/4 of
  337. the icons on my desktop dissappeared.  The missing files are still
  338. accessable to some programs (eg: the system that disappeared, still boots
  339. the drive when started up, and the cdev boomering can access files that it
  340. knows the path to even if it is one of the files that dissapeared).  I am
  341. told that this virus is searched for by the newest version of SAM, but are ther
  342. e
  343. any other programs out there that will find WDEF?
  344.  
  345. Any help would be greatly appreciated.
  346.  
  347.     Dennis Brown                                brown20@gaul.csd.uwo.ca
  348.  
  349. ------------------------------
  350.  
  351. Date:    Fri, 17 Jan 92 13:11:39 +0000
  352. From:    dylan@ibmpcug.co.uk (Matthew Farwell)
  353. Subject: PC Virus Checker for Unix (PC) (UNIX)
  354.  
  355. I've been wondering for a while whether there are actually any PC
  356. Virus checkers which work under Unix.  I'm wondering this because we
  357. have a fairly large download area, which contains a lot of DOS/OS/2
  358. stuff, and it might be an idea to just run through the lot with a
  359. checker once in a while.  It's a bit of a pain taking them all to a
  360. DOS machine & then bringing them all back again.
  361.  
  362. Anyone got any ideas?
  363.  
  364. Dylan.
  365. - -- 
  366. Opinions above are mine, unless discovered to be wrong.
  367.  
  368. ------------------------------
  369.  
  370. Date:    17 Jan 92 10:58:53 +0000
  371. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  372. Subject: Re: New Antivirus Organization Announced
  373.  
  374. bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
  375.  
  376. > >     Virus Busters Join Hands  --  The Antivirus Methods Congress, a
  377. > >     newly formed organization to combat computer viruses, was announced
  378. > >     last week with the goal of bringing users, vendors and researchers
  379. > >     together to tackle virus attacks on networks in the private and
  380. > >     government sectors.
  381.  
  382. > >     Dick Lefkon, associate professor at New York University and chair-
  383. > >     man of the new group, said the organization already has 50 members,
  384. > >     including representatives from Martin Marietta Corp., the
  385. > >     insurance industry, the state of Arizona's legal department,
  386. > >     Northern Telecom, Inc. and universities in Hamburg, Germany, and
  387. > >     Iceland.
  388.  
  389. > Well, to be honest, I have never heard about that. But, I can speak
  390. > only about myself; I'll ask Prof. Brunnstein whether he knows
  391. > something on the subject (he is the head of the Virus Test Center at
  392. > the Hamburg University) and will inform you.
  393.  
  394. Well, I did. It seems that these are pretty hot news - since the last
  395. Saturday. This organization has been indeed established, and we are
  396. indeed members of it. It will be in the States something similar to
  397. what EICAR is in Europe. More news should appear on the 5th
  398. International Virus & Security conference on March 11-13, in New York.
  399.  
  400. BTW, Padgett Peterson should also know about that... Padgett?
  401.  
  402. A more detailed message with explanations was promised by Prof.
  403. Brunnstein. In fact, I alread got the message, and Ken should have a
  404. copy of it too. Ken, if my boss forgets to CC a copy to Virus-L, could
  405. you please forward it here? Thanks.
  406.  
  407. Regards,
  408. Vesselin
  409. - -- 
  410. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  411. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  412. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  413.  
  414. ------------------------------
  415.  
  416. Date:    17 Jan 92 11:07:24 +0000
  417. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  418. Subject: Re: New to the forum - question
  419.  
  420. geoffb@coos.dartmouth.edu (Geoff Bronner) writes:
  421.  
  422. > This is something that varies from site to site, I'm sure.  Dartmouth
  423. > is a site that is very prone to viruses, we have many inexperienced
  424. > mac users on the campus who have the ability to share files all the
  425. > time. Viruses get here very quickly on visitors disks or via ftp and
  426.  
  427. Well, it depends what you mean by "very prone"... :-)
  428.  
  429. > I would say that the avergage user here who is running Disinfectant
  430. > INIT (most do) sees viri very rarely. A couple times a year maybe.
  431.  
  432. Well, isn't it more plausible to suppose that people, who do NOT run
  433. any virus detection software, see the viruses much less, since they
  434. are unable to detect them?... :-)
  435.  
  436. > Since I run a cluster and support dozens of macs and ibms directly I
  437. > see them more often. Even so, things are better. 3 or 4 years ago I
  438. > could expect to see an infected disk or hard disk every day.  After
  439. > several years of spreading inits like Disinfectant INIT and Gatekeeper
  440. > Aid around I see an infected disk maybe once a week. Usually on the
  441.  
  442. Just out of interest, here at the VTC, we get averagely one to two
  443. requests for help per week, from all over the Germany. I don't know,
  444. maybe for some people this means that the computers in Germany are
  445. "very prone" to viruses... To me it means that there are almost no
  446. viruses here... When I was in Bulgaria, an average of 20 phone calls
  447. per DAY, and only from Sofia, was something usual.... :-)
  448.  
  449. Regards,
  450. Vesselin
  451. - -- 
  452. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  453. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  454. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  455.  
  456. ------------------------------
  457.  
  458. Date:    17 Jan 92 13:02:12 +0000
  459. From:    douglas@rhi.hi.is (Douglas Brotchie)
  460. Subject: Re: New Antivirus Organization Announced
  461.  
  462. RTRAVSKY@corral.uwyo.edu (Rich Travsky 3668 (307) 766-3663/3668) writes:
  463.  
  464. >The following is from the Dec 30,1991/Jan 6,1992 issue of Network World.
  465.  
  466. >    Virus Busters Join Hands  --  The Antivirus Methods Congress, a
  467. >    newly formed organization to combat computer viruses, was announced
  468. >    last week  [...]
  469.  
  470. >    Dick Lefkon, associate professor at New York University and chair-
  471. >    man of the new group, said the organization already has 50 members,
  472. >    including representatives from Martin Marietta Corp., the
  473. >    insurance industry, the state of Arizona's legal department,
  474. >    Northern Telecom, Inc. and universities in Hamburg, Germany, and
  475. >    Iceland.
  476.         ^^^^^^^
  477.  Not to my knowledge.
  478.  
  479.  Douglas A. Brotchie
  480.  Director of Computing Services
  481.  University of Iceland
  482.  
  483. ------------------------------
  484.  
  485. Date:    Sat, 18 Jan 92 16:54:32 +0000
  486. From:    willimsa@unix1.tcd.ie (alastair gavi williams)
  487. Subject: Sigs
  488.  
  489.     So, what's a signature virus?  Does it require the file to be
  490. written to an acc before it will infect it?
  491.     Thanks
  492.                A  G Williams
  493.         willimsa@unic1.tcd.ie
  494.  
  495. ------------------------------
  496.  
  497. Date:    Sat, 18 Jan 92 23:42:10 +0700
  498. From:    frisk@complex.is (Fridrik Skulason)
  499. Subject: Polymorphic viruses
  500.  
  501. Terms such as "Viruses using variable encryption with a variable
  502. decryption routine" are rather cumbersome, but no accurate single word
  503. has been found for those viruses, of which V2P6, Whale, Maltese
  504. Amoeba, Russian Mutant and PC-Flu 2 are examples.
  505.  
  506. Until now.
  507.  
  508. It is hereby proposed that the term "polymorphic" be used fore this
  509. class of viruses, but this term originated in one of the marathon
  510. 5-hour telephone conversations I had with Alan Solomon on the subject
  511. of virus naming.
  512.  
  513. - -frisk
  514.  
  515. ------------------------------
  516.  
  517. Date:    Sun, 19 Jan 92 16:44:00 -0500
  518. From:    HAYES@urvax.urich.edu
  519. Subject: new program from Padgett Peterson available (PC)
  520.  
  521. Hello.
  522. Just received and made available for FTP processing a new utility from
  523. A. Padgett Peterson.
  524.     CHK.ZIP        Integrity checker.  Can be used to detect the Michel-
  525.             Angelo virus.
  526.  
  527. Best, Claude Bersano-Hayes.    <hayes@urvax.urich.edu>
  528.  
  529. ------------------------------
  530.  
  531. Date:    Sun, 19 Jan 92 22:05:00 -0500
  532. From:    "David Bridge" <DAVID@SIMSC.BITNET>
  533. Subject: Iraqi Computer Virus story Defended !
  534.  
  535. from "The Washington Post" Washington, DC USA
  536. Tuesday, January 14, 1992.  Page A7.
  537.  
  538. COMPUTER VIRUS REPORT IS SIMILAR TO SPOOF
  539. Magazine Rechecking Story That U.S. Disabled Iraqi Network
  540. Associated Press
  541.  
  542.   A newsmagazine report that U.S. intelligence agents planted a
  543. disabling "virus" in an Iraqi military computer network before the
  544. Persian Gulf War is strikingly similar to an article published last
  545. year as an April Fool's joke.
  546.   The main author of the U.S. News and Report article, Brain Duffy,
  547. said yesterday [= Jan. 13], "I have no doubt" that U.S. intelligence
  548. agents carried out such an operation, but he said the similarities
  549. with the spoof article were "obviously troubling."
  550.   Duffy said the magazine was rechecking the sources who told it about
  551. the operation to determine whether details from the spoof article
  552. could have "leached into our report."
  553.   In an article in its Jan. 20 issue, U.S. News said it had learned
  554. from unidentified U.S. officials that intelligence agents placed the
  555. virus in a computer printer being smuggled to Baghdad through Amman,
  556. Jordan.
  557.   It said the printer, described as French-made, spread the virus to
  558. an Iraqi mainframe computer that the magazine said was critical to
  559. Iraq's air defense system.
  560.   The magazine reported that the trick apparently worked, but it
  561. provided no details.
  562.   The main elements of the U.S. News virus story are similar to an
  563. article published in the April 1, 1991, edition of InfoWorld, a
  564. computer industry publication based at San Mateo, Calif.  The article
  565. was not explicitly labeled as fiction but the last paragraph made
  566. clear that it was written as an April Fool's joke.
  567.   Duffy said he had not heard of the InfoWorld spoof.  In response to
  568. an inquiry by the Associated Press, he said a U.S. News reporter in
  569. Tokyo got the "initial tip" on the computer virus story, which the
  570. reporter then confirmed through "a very senior official" in the U.S.
  571. Air Force.  Duffy said he personally confirmed the story through a
  572. senior official in the Air Force and a senior intelligence official.
  573.   Some private computer experts said it seemed highly unlikely that a
  574. virus could be transferred to a mainframe computer from a printer.  "A
  575. printer is a receiving device.  Data does not transmit from the
  576. printer to the computer," said Winn Schwartaw, executive director of
  577. the International Partnership Against Computer Terrorism.
  578. =====================================================================
  579. from "The Washington Post" Washington, DC USA
  580. Saturday, January 18, 1992.  Page A4.
  581.  
  582. COMPUTER VIRUS STORY DEFENDED
  583. Associated Press
  584.  
  585.   U.S. News & World Report said Thursday [= Jan. 16] it is sticking by
  586. its story that U.S. intelligence agents tried to disable an Iraqi air
  587. defense network with a computer virus several weeks before the start
  588. of the Persian Gulf War.
  589.   The magazine said it had confirmed that the attempt was made, as
  590. reported in its Jan. 20 issue and later questioned, but had not been
  591. able to determine whether it was successful.  The original story,
  592. published Monday [= Jan. 13], quoted two senior U.S. officials as
  593. saying that the virus "seems to have worked as planned."
  594.   Questions arose about the story after it was learned that the
  595. computer industry publication InfoWorld spelled out a strikingly
  596. similar scenario in a column that ran as an April Fool's joke last
  597. year.
  598.  
  599. ------------------------------
  600.  
  601. Date:    Fri, 17 Jan 92 02:12:28 +0000
  602. From:    mcafee@netcom.netcom.com (McAfee Associates)
  603. Subject: Mail Problem (McAfee)
  604.  
  605. Hello all,
  606.  
  607. Sorry for wasting bandwidth over this, but:
  608.  
  609. I have accidentally lost part of my workspace for the week of Jan 6th
  610. to Jan 13th.  If anyone from Europe sent mail to mcafee@netcom.com and
  611.  
  612.