home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / v05i012.txt < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  24.2 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V5 #12
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Wednesday, 22 Jan 1992    Volume 5 : Issue 12
  9.  
  10. Today's Topics:
  11.  
  12. Low-level utilities (PC)
  13. SBC? (PC)
  14. Michelangelo questions (PC)
  15. Loading Vshield High (PC)
  16. PC Computing Magazine Virus Articles, Feb 92 (PC)
  17. FLASH Virus (WAS: Re: More myths) (PC)
  18. New virus found (PC)
  19. WWIV4.20 doesn't like Vshield (PC)
  20. Re: WARNING - Michelangelo Virus (PC)
  21. An A/B floppy drive switch design (PC)
  22. Virus Detection and Protection for Unix (UNIX)
  23. Help Required re IBM RSCS malicious programs (IBM VM/SP)
  24. Re: The modem virus myth
  25. VS920109.ZIP on risc (PC)
  26. new pgms from Padgett Peterson (PC)
  27. RE: NCSA Has Tested Anti-Virus Programs (PC)
  28.  
  29. VIRUS-L is a moderated, digested mail forum for discussing computer
  30. virus issues; comp.virus is a non-digested Usenet counterpart.
  31. Discussions are not limited to any one hardware/software platform -
  32. diversity is welcomed.  Contributions should be relevant, concise,
  33. polite, etc.  (The complete set of posting guidelines is available by
  34. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
  35. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
  36. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
  37. Information on accessing anti-virus, documentation, and back-issue
  38. archives is distributed periodically on the list.  Administrative mail
  39. (comments, suggestions, and so forth) should be sent to me at:
  40. krvw@CERT.SEI.CMU.EDU.
  41.  
  42.    Ken van Wyk
  43.  
  44. ----------------------------------------------------------------------
  45.  
  46. Date:    Mon, 20 Jan 92 11:14:31 -0500
  47. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
  48. Subject: Low-level utilities (PC)
  49.  
  50.     OK, I find it hard to stay away. Yesterday my son cleaned out
  51. & painted his room and it was raining so I had a chance to put
  52. together a final piece I had been meaning to for some time: FixFBR,
  53. the last part of my low level utilities.
  54.  
  55.     FixFBR is designed to replace the Boot Record on floppy disks
  56. with non-bootable code that performs part of my integrity checking and
  57. displays a message if a boot from floppy is performed. An additional
  58. warning will be displayed if a typical Boot Sector Infector is present
  59. (the .DOC has more of an explination).
  60.  
  61.     The technique is fairly simple so I do not anticipate problems
  62. (right) and it has been tested but at this point it must be considered
  63. an ALPHA. Since I do not have a 2.88 floppy drive, at the moment it is
  64. limited to the big four floppies: 360k, 720k, 1.2Mb, & 1.44 Mb (did
  65. not see any need for including 160k or 320k 5 1/4s but would not be
  66. difficult).
  67.  
  68.     Since the entire BR including the BPB is replaced, any viruses
  69. lurking there are defanged (incidently FixFBR also performs a number
  70. of integrity checks on the original BR that will announce the presence
  71. of most BR viruses - not the name but that "something" is wrong. The
  72. BR is then - with permission - overwritten).
  73.  
  74.     Also, with this release, the Shareware price of the "Fix"
  75. utilities is changed to $1.00 per supported PC/user (other options
  76. available - see the .Doc). This includes both FixMBR and FixFBR. The
  77. code used in SafeFBR and SafeMBR as well as NoFBoot and the CHK
  78. detection utilities remain copyrighted Freeware (may be used freely so
  79. long as not changed).
  80.  
  81.     Barring major setbacks, this should be available for Anonymous
  82. FTP from Claude Hayes at URVAX (141.166.1.6) as FIXUTIL.ZIP in the
  83. antivirus directory - Right, Claude ?
  84.  
  85.                     Warmly (and tired),
  86.  
  87.                             Padgett
  88.  
  89. ------------------------------
  90.  
  91. Date:    Mon, 20 Jan 92 16:09:32 -0500
  92. From:    kenm@maccs.dcss.mcmaster.ca (...Jose)
  93. Subject: SBC? (PC)
  94.  
  95.     Does anyone know anything about a virus that McAfee SCAN
  96. reports as SBC?  Neither SCAN 8.4 nor F-PROT seem to know about it
  97. (though f-prot 2.01's analyze will detect it in memory).
  98.  
  99.     Any info will be appreciated....
  100.                     ....Ken
  101.  
  102. - ------------------------------------------------------------------------------
  103. |Kenneth C. Moyle                                 MOYLEK@SSCVAX.CIS.MCMASTER.CA|
  104. |Computing Services Coordinator (Sciences)                      MOYLEK@MCMASTER|
  105. |Computing and Information Services                 ...!uunet!mnetor!maccs!kenm|
  106. |McMaster University - Hamilton, Ontario (Canada)                              |
  107. - ------------------------------------------------------------------------------
  108.  
  109. ------------------------------
  110.  
  111. Date:    Tue, 21 Jan 92 10:30:00 -0800
  112. From:    Michael_Kessler.Hum@mailgate.sfsu.edu
  113. Subject: Michelangelo questions (PC)
  114.  
  115. I had a Zenith 386 SX machine infected.  When booting up with the
  116. infected diskette, I get a "Disk read error" message.  When I reboot
  117. off the hard disk, I get a "Unable to read boot code from partition"
  118. message, and the computer is disabled unless I boot off the floppy.
  119. If I run a CHKDSK, I still get 655360 bytes total memory.  F-Prot 2.01
  120. recognizes the existence of the virus, but does not remove it.  The
  121. installation of VIRSTOP does not seem to affect the installation of
  122. the virus or the subsequent screen messages.  McAfee's CLEAN does
  123. remove it.
  124.  
  125. Since the virus denies access to the hard disk as soon as it is
  126. installed, what is the meaning of the March 6th date?  Isn't the virus
  127. supposed to be dormant until that date?  Why does my experience not
  128. match Padgett's description of its activities?
  129.  
  130. MKessler@HUM.SFSU.EDU
  131.  
  132. ------------------------------
  133.  
  134. Date:    Tue, 21 Jan 92 14:05:58 -0500
  135. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
  136. Subject: Loading Vshield High (PC)
  137.  
  138. >From:    hendee%3338.span@Sdsc.Edu (Jim Hendee)
  139.  
  140. >I've noticed that you can use Quarterdeck's QEMM386 and LOADHI to load
  141. >VSHIELD1.EXE in high memory, as well as FPROT's VIRSTOP.EXE, but you
  142. >can't load VSHIELD.EXE high (so far as I'm aware).
  143.  
  144. Do not know about VIRSTOP but can make the following observations
  145. about VSHIELD: Have been loading high for some time using its /LH
  146. switch. This also works under QEMM 5.0+ but only with MS-DOS 5.0 -
  147. does not work with earlier MS-DOS versions nor with DR-DOS 6.0
  148. (reports itself as IBM 3.3).  When the internal /LH switch is used a
  149. 416 byte "connection" is left in low menory. This can also be loaded
  150. high with either the DOS LOADHIGH or the QEMM LOADHI commands but then
  151. CHKSHLD cannot find it (if you care).
  152.  
  153. Can also say it finds things when loaded this way, at least on my PCs.
  154.  
  155. Believe the problem stems from the large extent of memory required for
  156. initial memory & vital area check it makes that is reduced following
  157. load.  Have also found that it needs a certain amount of contiguous
  158. memory (forget how much) to load and consequently load it FIRST in
  159. Autoexec.Bat (I believe the .DOC recommends loading it LAST but had
  160. case of refusing to load then - at present I have about 121k loaded
  161. high).
  162.  
  163.                     Warmly again,
  164.  
  165.                             Padgett
  166.         I-Net: padgett%tccslr.dnet@mmc.com
  167.                     (my opinions, obviously)
  168.  
  169. ------------------------------
  170.  
  171. Date:    Tue, 21 Jan 92 12:13:27 -0700
  172. From:    Chris McDonald ASQNC-TWS-R-SO <cmcdonal@wsmr-emh03.army.mil>
  173. Subject: PC Computing Magazine Virus Articles, Feb 92 (PC)
  174.  
  175.     PC Computing Magazine, February 1992, has two articles on computer
  176. viruses.  The first, entitled "Virus-Proof Your PC", examines the
  177. characteristics of 11 products.  With no false modesty I must comment
  178. that Rob Slade's reviews and my own on anti-viral programs are of
  179. higher quality.  Different persons reviewed the 11 products, and
  180. propose some evaluation statements without much supporting
  181. information.  There is no overview of the test methodology, no
  182. specific identification of those malicious programs against which the
  183. programs performed, and no consistent identification of the version of
  184. the program actually tested.  The article relies heavily on
  185. information from the National Computer Security Association and on
  186. Patricia Hoffman's Hypertext Virus Summary List.  There is no mention
  187. of the Virus-L Forum which is unforgivable.
  188.  
  189.     The second article is a summary of 350 FAX responses to a
  190. questionnaire on computer viruses which appeared in an earlier
  191. edition.  The survey size is so small that the results on infection
  192. rates and on defensive strategies seem statistically insignificant.
  193.  
  194. ------------------------------
  195.  
  196. Date:    21 Jan 92 22:38:42 +0000
  197. From:    vail@tegra.com (Johnathan Vail)
  198. Subject: FLASH Virus (WAS: Re: More myths) (PC)
  199.  
  200. p1@arkham.wimsey.bc.ca (Rob Slade) writes:
  201.  
  202.              More hardware myths
  203.    3) "BIOS" virus
  204.    First of all, BIOS is ROM BIOS.  The RO in ROM stands for "read
  205.    only".  The BIOS, therefore, cannot be infected by a virus.  At
  206.    least, not yet.  Intel has already developed flash EEPROMs which
  207.    it is pushing as "upgradeable" ROMs for the BIOS.  It *is*
  208.    possible to get "bad" ROMs, and it is even possible that a run
  209.    of BIOS ROMs would be programmed such that they constantly
  210.    "release" a virus.  It hasn't yet happened, though, and it is
  211.    extremely unlikely, as well as being easy to trace.
  212.  
  213. "Upgradeable" means the *user* can update (*change*) his BIOS from a
  214. program distributed on a floppy or other media.  The danger of flash
  215. EAPROMs is a real area of concern and should not be taken lightly.
  216.  
  217. True, they have not hit the marketplace yet but figure:
  218.  
  219. * first line virus defense is booting off a floppy from power-on so that
  220.   you have a "known" stable and virus free environment.
  221.  
  222. * a flash virus invades the system and reprograms the system BIOS
  223.  
  224. * your BIOS that is a known state can be altered then it is now an
  225.   "unknown" and no longer trustworthy.
  226.  
  227. This is the danger to be considered but fortunately it has been.  The
  228. following things can/are being done:
  229.  
  230. * hardware enable of reprogramming (switch/jumper plug, etc)
  231. * "protected" portions of the chip that cannot be changed.
  232. * elaborate "locks" to reprogram (indeed, the memory cells are
  233.   relatively fragile and can be damaged by improper programming
  234.   algorithms).
  235. * CRCs, LRCs and or checksums to increase reliability and integrity.
  236.  
  237. Most importantly is that different vendors are implementing their own
  238. hardware and the lack of a "standard" should prevent any flash virus
  239. from having a large enough culture to thrive in.
  240.  
  241. jv
  242.  
  243. "theobromine: a compound which, contrary to it's name,
  244. contains neither bromine nor God" -- David Throop
  245.  _____
  246. |     | Johnathan Vail     vail@tegra.com     (508) 663-7435
  247. |Tegra| jv@n1dxg.ampr.org    N1DXG@448.625-(WorldNet)
  248.  -----  MEMBER: League for Programming Freedom (league@prep.ai.mit.edu)
  249.  
  250. ------------------------------
  251.  
  252. Date:    Tue, 21 Jan 92 16:02:17 +1100
  253. From:    Miguel de Icaza <DEICA@UNAMVM1.BITNET>
  254. Subject: New virus found (PC)
  255.  
  256. I recently found a new virus, here in Mexico City. After debugging the
  257. code, I found a message ("Moctezumas Revenge"), The virus uses an
  258. aproach to code infection similar to the Jerusalem virus. No virus
  259. scanner catchs it so I wrote a signature for the virus (this signature
  260. works fine with ThunderByte Scan):
  261.  
  262.              062e 8f060201 1e2e 8f0600010e07
  263.  
  264. as soon as I know more about the internals of the virus (such as the
  265. date of activation: Yes, it has an activation date, but it seems that
  266. it only clears a portion of the screen), I'll post-it here.
  267.  
  268. Miguel de Icaza.
  269. Instituto de Ciencias Nucleares, Universidad Nacional Autonoma de Mexico
  270.  
  271. ------------------------------
  272.  
  273. Date:    21 Jan 92 18:15:53 -0600
  274. From:    "Jerome.Grimmer" <ST6267@SIUCVMB.BITNET>
  275. Subject: WWIV4.20 doesn't like Vshield (PC)
  276.  
  277. I recently got WWIV4.20 and started to set up a BBS here in
  278. Carbondale.  I was running Vshield at the time, and noted that WWIV
  279. would boot OK, and every thing would run normally untill I decided to
  280. exit WWIV (I'm still doing setup).  When I would exit WWIV, the system
  281. would HARD HANG and I would have to hit the reset button.  I have
  282. since stopped using Vshield and have taken to scanning the HD regulary
  283. for viruses using SCAN85, which seems to work just fine.  I haven't
  284. got enough RAM to run DV, that's next...does anyone know if there are
  285. any incompatibilities between McAfee's antivirus utilities and
  286. Desqview?
  287.  
  288. Jerome Grimmer
  289. ST6267@SIUCVMB.BITNET
  290. ST6267@siucvmb.siu.edu
  291.  
  292. ------------------------------
  293.  
  294. Date:    Tue, 21 Jan 92 22:15:32 -0500
  295. From:    Charles Fee <CXF111@psuvm.psu.edu>
  296. Subject: Re: WARNING - Michelangelo Virus (PC)
  297.  
  298. To those who are interested in information regarding the Michelangelo Virus
  299.  
  300. My machine was infected with Michelangelo for about two weeks, and worked
  301. normally for that time.  The only clue I had was that Microsoft SmartDrive
  302. would not load and cited an 'Incompatible Disk Partition'
  303.  
  304. After banging my head against the wall trying to figure out why, I ran F-prot
  305. 2.01 and it discovered the Michelangelo Virus.  I removed it successfully with
  306. F-prot 2.01 and the problems with SmartDrive were eliminated..
  307.  
  308. I hope this possible sign helps...
  309. ______
  310. Charles A. Fee          DOS Lived...                   814-862-2543
  311. cxf111@psuvm.psu.edu    DOS Lives...
  312. fee@wilbur.psu.edu      DOS Will Live...            128 Beaver Hall
  313. fee@vivaldi.psu.edu                       Univeristy Park, PA 16802
  314.  
  315. ------------------------------
  316.  
  317. Date:    Mon, 20 Jan 92 08:30:54 +0000
  318. From:    rmason@ecst.csuchico.edu (Robert Mason)
  319. Subject: An A/B floppy drive switch design (PC)
  320.  
  321.     Last August, I posted a two part paper that described attempts
  322.     to contain virus infections at San Jose State University. It
  323.     referred to a device for helping prevent infections.
  324.     This posting describes that device, which makes a single
  325.     floppy drive appear as either A or B, depending on the switch
  326.     position. This purpose of this functionality is to allow or prevent
  327.     booting a single floppy drive PC from a floppy disk. While the
  328.     switch is in the non-boot mode, floppy disks infected with boot
  329.     sector infectors, such as Azusa or Stoned, are prevented from
  330.     infecting the hard disk. The device has been tested on an IBM
  331.     XT class machine, clones using the Phoenix and AMI BIOS, and an
  332.     AST Premium machine.
  333.  
  334.     A simple design using a 74LS157 Quad 2-IN Multiplexer can switch
  335.     the drive select and motor enable signals to the floppy drive to
  336.     make it appear electrically as drive A or drive B. The CMOS setup
  337.     also needs to be changed to show drive A or B installed, according
  338.     to the switch position. Ideally, the switch would be the keylock
  339.     type that is built into most AT-class machines. The device can be
  340.     inserted into the FDC cable, by means of a 8 pin edge card connector,
  341.     or a 8 pin DIP plug connector. Note that only 4 lines are shown
  342.     coming in. The ribbon cable actually has 7 lines that are cut and
  343.     twisted 180 deg. at the FD A connector. The odd numbered lines are
  344.     at signal ground. The electrical-physical design is shown below. The
  345.     lines marked as FDC come from the controller. The lines marked as
  346.     FD go to the floppy drive A connector. The LS157 pin numbers are
  347.     given next to the multiplexor symbols, with pin 15 connected to
  348.     an odd numbered input line. The chip must also be connected to power
  349.     (+5v) and ground at pins 16 and 8, respectively.
  350.  
  351.  
  352.               Floppy drive A/B switch
  353.         (Switch open selects B drive signals)
  354.         -------------------------------------
  355.  
  356.              IC1
  357.              |\
  358.     FDC 10 --13--|B \o-15-o
  359.              |    \__12___________ FD 10
  360.              |    /
  361.     FDC 16 --14--|A /
  362.              |/ |
  363.             |
  364.              |\ |
  365.     FDC 12 --10--|B \
  366.              |    \___9___________ FD 12
  367.              |    /
  368.     FDC 14 --11--|A /
  369.              |/ |
  370.             |
  371.              |\ |
  372.     FDC 14 ---6--|B \
  373.              |    \___7___________ FD 14
  374.              |    /
  375.     FDC 12 ---5--|A /
  376.              |/ |
  377.             |
  378.              |\ |
  379.     FDC 16 ---3--|B \
  380.              |    \___4___________ FD 16
  381.              |    /
  382.     FDC 10 ---2--|A /
  383.              |/ | 1                              
  384.          +5v    |           Prototype Parts List:
  385.          |      |           ---------------------------------
  386.          R1     |           1   IC1 74LS157               .35
  387.       ____/ _|______|           1   R1 10kOhm, 1/4w, 5%       .02
  388.       |  SW1                    1   16 pin DIP socket         .12
  389.       |                         2   8 pin DIP plugs           .49 ea.
  390.       |                         2   8 pin DIP sockets         .11 ea
  391.      GND                        1   1 pin header (power)      .02
  392.                     1   2 pin header (keylock)    .04
  393.                     1.5 sq. in. circuit board     .40
  394.                     ----------------------------------
  395.                     Total:                      $2.15
  396.  
  397.     Wirewrap and solder prototypes were built and tested for the
  398.     approximate cost indicated. Power is obtained from a line to
  399.     the second FD power connector, and an extension can be made to
  400.     an AT machine's keylock cable for use with this application. If
  401.     the machine's keylock is used, it cannot be used to lock the
  402.     keyboard. I have a single layer board design to manufacture
  403.     these devices in quantity, if anyone is interested.
  404. - --
  405. Bob Mason - rmason@ecst.csuchico.edu
  406.  
  407. ------------------------------
  408.  
  409. Date:    Mon, 20 Jan 92 07:40:45 -0800
  410. From:    Scott_Hollenbeck.McLean_CSD@xerox.com
  411. Subject: Virus Detection and Protection for Unix (UNIX)
  412.  
  413. I'm looking for recommendations for SunOS (at least 4.1) software
  414. packages to provide virus detection and protection services.  My
  415. preference is for a supported commercially available product, and I'd
  416. like to hear from any vendors or users that can provide a detailed
  417. product and mechanism description.
  418.  
  419. Please call or respond via e-mail.
  420.  
  421. Thanks,
  422. Scott Hollenbeck
  423. Xerox Corporation
  424. (703) 790-3766
  425.  
  426. ------------------------------
  427.  
  428. Date:    Wed, 15 Jan 92 00:00:00
  429. From:    U10009@SNAESP2.BITNET
  430. Subject: Help Required re IBM RSCS malicious programs (IBM VM/SP)
  431.  
  432. Hi! Everybody!
  433.  
  434. My name is Xavier Salmon and I am in charge of the computer System in
  435. the ESPOL ( Escuela Superior Politecnica del Litoral ) in Guayaquil-E-
  436. cuador.
  437.  
  438. We are new in this "universe" ( BITNET ) and naturally we have had some
  439. difficulties seting on our communication system.
  440.  
  441. Now our major concern is about security, could somebody out there,
  442. help us with suggestions or references where we can find information
  443. about protection against "Malicious Programs" ( worms, virus, etc.
  444. within BITNET network ).
  445.  
  446. Our system is and IBM-4341 running RSCS Version 2 Release 3 under VM/SP
  447. 6.0.
  448.  
  449. Any information will be appreciated.
  450. Please write directly to U10009@SNAESP2.BITNET.
  451. Thank you very much.
  452.  
  453. ------------------------------
  454.  
  455. Date:    21 Jan 92 23:02:01 +0000
  456. From:    vail@tegra.com (Johnathan Vail)
  457. Subject: Re: The modem virus myth
  458.  
  459. p1@arkham.wimsey.bc.ca (Rob Slade) writes:
  460.  
  461.    As people started to raise objections to the possibility of this
  462.    ridiculous scenario, the initial report was traced back to a
  463.    posting on Fidonet (the earliest date I have in my records is
  464.    October 6, 1988) by someone who gave his name as "Mike
  465.    RoChenle".  Ken later suggested this might be read as
  466.    "microchannel", the then new bus for IBM's PS/2 machines.
  467.  
  468. I think the moral of the story is not to blindly believe what you
  469. read, especially if it comes off of fidonet.  I always felt that
  470. fidonet was the lowest form of life on the internet foodchain.
  471.  
  472. Seriously, one of the "problems" with the internet and related
  473. networks is that to a casual observer the "Mike RoChenle"s have the
  474. same visibility and stature as the Rob Slades and Padgett Petersons.
  475.  
  476.    it.  BBSes, and, by extension, modems, have had a consistently,
  477.    and unfairly, bad press over the past few years.  BBSes are seen
  478.    as the ultimate source of all "evil" programs; viri and trojans;
  479.    and anything bad said about them is to be believed.
  480.  
  481. It is still my belief that BBSs are a major vector for the spread of
  482. viruses and nasty code.  I don't mean to paint all BBSs with the same
  483. brush but consider that access is mostly anonymous and a lot of people
  484. using BBSs are barely computer literate.  The ease of access to BBSs
  485. and the questionable nature of security and integrity make them an
  486. easy target to aid the spreading of viruses.
  487.  
  488. jv
  489.  
  490. "Everything that gives us pleasure gives us pain to measure it by."
  491.     -- The Residents, GOD IN THREE PERSONS
  492.  _____
  493. |     | Johnathan Vail     vail@tegra.com     (508) 663-7435
  494. |Tegra| jv@n1dxg.ampr.org    N1DXG@448.625-(WorldNet)
  495.  -----  MEMBER: League for Programming Freedom (league@prep.ai.mit.edu)
  496.  
  497. ------------------------------
  498.  
  499. Date:    Tue, 21 Jan 92 16:58:48 -0600
  500. From:    James Ford <JFORD@UA1VM.BITNET>
  501. Subject: VS920109.ZIP on risc (PC)
  502.  
  503. The file vs920109.zip has been placed on risc.ua.edu for anonymous ftp
  504. in the directory pub/ibm-antivirus.  This file replaces vs911114.zip
  505. and was ftped down from Simtel20.
  506.  
  507. Fyi, if an update of an ibm antivirus file is announced on Virus-l, it
  508. will usually be on risc.ua.edu a couple of days later if not sooner.
  509. I do try to keep the archives updated, but sometimes forget to post
  510. the upgrade(s) on mibsrv-l@ua1vm.ua.edu
  511. - ----------
  512. Is there any truth to the rumor that everything is really okay?
  513. - ----------
  514. James Ford -  Consultant II, Seebeck Computer Center
  515.               The University of Alabama (in Tuscaloosa, Alabama)
  516.               jford@ua1vm.ua.edu, jford@risc.ua.edu
  517.  
  518. ------------------------------
  519.  
  520. Date:    Tue, 21 Jan 92 04:33:00 -0500
  521. From:    HAYES@urvax.urich.edu
  522. Subject: new pgms from Padgett Peterson (PC)
  523.  
  524. Hello.  Glad to report the availability of new programs from A.
  525. Padgett Peterson:
  526.  
  527. FIXMBR22.ZIP    This program is designed to replace the standard MS-DOS master
  528.         boot record program with code that does more than just find the
  529.         active partition and jump to the O/S boot record.
  530.         This archive contains also the latest version of SafeMBR.
  531.         Now shareware.  Update.
  532.  
  533. CHK     .ZIP    Two utilities to check both floppy and hard disk and detect the
  534.         "Michelangelo" virus.
  535.         These two programs are integrity checkers.
  536.  
  537. FIXFBR11.ZIP    FixFBR is a generic anti-virus program and repair tool for
  538.         infected and corrupted boot records on floppy disks.  FixFBR
  539.         first checks the disk for a valid Boot Parameter Block (BPB)
  540.         and does a generic test for infection/corruption.  Once the
  541.         disk has been identified (and the user has an option to
  542.         change if incorrect), the complete boot record is replaced with
  543.         non-bootable but error checking and flagging code.  If the disk
  544.         is wished to be made bootable, the DOS SYS command will be
  545.         effective.
  546.  
  547. FIXUTIL .ZIP    For the user who wishes to get Padgett's FIXxxx programs.
  548.         Contains:  CHK.ZIP, FixMBR22.ZIP and FixFBR.ZIP.
  549.  
  550. CHKINT  .ZIP    Checks the interrupts of a given program without running the
  551.         said program.  Useful to track possible trojan horses.
  552.         This program used to be in [.msdos.utility].
  553.  
  554. Reading the respective doc files is a must with Padgett's programs to avoid
  555. problems later.
  556.  
  557. - ----------
  558.  
  559. site:        urvax.urich.edu, IP# 141.166.1.6
  560. system:        vax/vms 5.4, Multinet as FTP processing program
  561. directory:      .msdos.antivirus
  562. user:        anonymous
  563. password:    your_email_address
  564.  
  565. Please note:
  566.     a) at logon, the user is in the anonymous directory.  typing:
  567.         cd msdos.antivirus<ret>
  568.        will put the user in this directory.
  569.  
  570.     b) I received reports of problems with some files when downloaded on
  571.        PCs.  This is *hopefully* solved.  For whose who use Zmodem, no
  572.        change will be apparent.  For whose using Kermit, the command
  573.        set file type fixed instead of set file type binary *MUST* be issued
  574.        *before* the server command and download start.
  575.  
  576. Regards, Claude.
  577.  
  578. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  579. Claude Bersano-Hayes     HAYES @ URVAX                 (Vanilla BITNET)
  580. University of Richmond   hayes@urvax.urich.edu     (Bitnet or Internet)
  581. Richmond, VA  23173
  582.  
  583. ------------------------------
  584.  
  585. Date:    Tue, 21 Jan 92 08:23:00 -0500
  586. From:    "Gerry Santoro - CAC/PSU 814-863-7896" <GMS@PSUVM.PSU.EDU>
  587. Subject: RE: NCSA Has Tested Anti-Virus Programs (PC)
  588.  
  589. In VIRUS-L V5 #8 someone posted the following:
  590.  
  591. >Subject: RE: NCSA Has Tested Anti-Virus Programs
  592. >
  593. >The information you presented was correct, though outdated.  Those
  594. >results were from the previous virus scanner evaluation report, and
  595. >were printed last year in Network World, as you said.  Just this week,
  596. >the latest update to that scanner evaluation was released, and is
  597. >available from the NCSA at 717-258-1816.  The results may surprise
  598. >you.....  Hope this helps, happy virus-bust
  599.