home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / v05i016.txt < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  20.9 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V5 #16
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Tuesday, 28 Jan 1992    Volume 5 : Issue 16
  9.  
  10. Today's Topics:
  11.  
  12. Plastique Virus... (PC)
  13. Re: Fprot v2.02 on risc (PC)
  14. Re: NCSA has tested Antivirus Programs (PC)
  15. Re: .SYS Infector? Really? Info Please! (PC)
  16. Re: vsum info... (PC)
  17. Re: VIRUS at AT286 in SCAN85 (PC)
  18. FAT chance? (PC)
  19. Possible Virus, Help!! (PC)
  20. re: New virus????? (PC)
  21. F-PROT/CPAV conflict (PC)
  22. CDef Virus (Mac)
  23. very strange Mac behavior (Mac)
  24. Re: New Antivirus Organization Announced
  25. Re: Trojan definition? Special case
  26. Re: Sigs
  27. new from Padgett Peterson (PC)
  28. "Commercial safety" myth
  29.  
  30. VIRUS-L is a moderated, digested mail forum for discussing computer
  31. virus issues; comp.virus is a non-digested Usenet counterpart.
  32. Discussions are not limited to any one hardware/software platform -
  33. diversity is welcomed.  Contributions should be relevant, concise,
  34. polite, etc.  (The complete set of posting guidelines is available by
  35. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
  36. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
  37. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
  38. Information on accessing anti-virus, documentation, and back-issue
  39. archives is distributed periodically on the list.  Administrative mail
  40. (comments, suggestions, and so forth) should be sent to me at:
  41. krvw@CERT.SEI.CMU.EDU.
  42.  
  43.    Ken van Wyk
  44.  
  45. ----------------------------------------------------------------------
  46.  
  47. Date:    Mon, 20 Jan 92 16:04:00 -1100
  48. From:    Veyis MUEZZINOGLU <VEYIS@TRERUN.BITNET>
  49. Subject: Plastique Virus... (PC)
  50.  
  51. Hi everybody!
  52. We have trouble with a virus whose name is PLASTIQUE.
  53. I think it infect both .EXE and .COM files and place itself to FAT.
  54. Once a file infected, then it does not working and operating
  55. system (or virus itself) gives
  56. "Sector not found..."
  57. or
  58. "File allocation table error on drive...."
  59. errors.
  60. Also, it doesn't possible to copy it.
  61. After this information, does anybody know where can we get
  62. an antivirus program which remove this virus from our PCs.
  63.  
  64. Thanks in advance...
  65.  
  66. Veyis Muezzinoglu
  67. Erciyes University              VEYIS@TRERUN.BITNET
  68. Computer Center
  69.  
  70. ------------------------------
  71.  
  72. Date:    27 Jan 92 12:36:14 +0000
  73. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  74. Subject: Re: Fprot v2.02 on risc (PC)
  75.  
  76. JFORD@UA1VM.BITNET (James Ford) writes:
  77.  
  78. > Also, I attempted to ftp the file ccc21.zip (?), but was unable to access
  79. > the server using anonymous.  If someone has it, please upload it to risc
  80.  
  81. Ooops, I published the address incorrectly. Mea culpa, sorry. The
  82. correct name of the file is ccc91.zip, it is on
  83. ftp.informatik.uni-hamburg.de [134.100.4.42], in the /pub/virus/texts
  84. directory. Please note that we have only one (and quite slow) modem,
  85. so I'll appreciate if the file is made available on more popular
  86. archive sites as well. One more time sorry for the confusion.
  87.  
  88. Regards,
  89. Vesselin
  90. - -- 
  91. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  92. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  93. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  94.  
  95. ------------------------------
  96.  
  97. Date:    27 Jan 92 12:50:21 +0000
  98. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  99. Subject: Re: NCSA has tested Antivirus Programs (PC)
  100.  
  101. RADAI@HUJIVMS.BITNET (Y. Radai) writes:
  102.  
  103. > >There are currently several products, which claim to add a
  104. > >"self-disinfecting" envelope to other programs: I have only McAfee's
  105. > >FShield, but have heard about at least three more - The Untouchable,
  106. > >something from Central Point Software, and a product under
  107. > >development, which I discuss with someone from Bogota, Colombia (if I
  108. > >remember correctly, else - sorry)
  109.  
  110. > Sorry, that's not accurate.  F-Shield (now called File Protector and
  111. > no longer associated with McAfee) does indeed add a self-disinfecting
  112. > envelope to other programs, but Untouchable certainly does not.  It
  113. > keeps all the disinfectant info in a central database. (It does check-
  114. > sum itself before checking other files and warns you if it has been
  115. > modified, but it does not *disinfect* itself on the fly as described
  116. > in your quote from Frisk.)
  117.  
  118. I didn't express myself clearly enough, sorry. My arguments were
  119. mainly against the generic disinfection, regardless how it is
  120. implemented. I agree that keeping the information in a database is
  121. much more correct than to attach it to the files, but I still claim
  122. that generic disinfection is impossible in the general case (even if
  123. using only the currently known infection techniques, and maybe even
  124. with the currently existing viruses). Any, yes, I know that The
  125. Untouchable does not destroy files when it tries to disinfect them,
  126. since it checks whether the repaired file will have the same checksum
  127. as the originals.
  128.  
  129. Regards,
  130. Vesselin
  131. - -- 
  132. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  133. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  134. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  135.  
  136. ------------------------------
  137.  
  138. Date:    27 Jan 92 13:06:38 +0000
  139. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  140. Subject: Re: .SYS Infector? Really? Info Please! (PC)
  141.  
  142. RTRAVSKY@corral.uwyo.edu (Rich Travsky 3668 (307) 766-3663/3668) writes:
  143.  
  144. > What's this about a .sys infector? (Frisk Skulason mentions this in a
  145. > recent Virus-l digest.) Some more information please, this is news for
  146. > me.
  147.  
  148. The device drivers (usually stored in files with SYS extension)
  149. contain executable code, just as the COM and EXE files. They can even
  150. be of the two possible types - COM-type device drivers, and EXE-type
  151. device drivers. Well, to be exact, they have a somewhat special
  152. header, but it is well documented in the manuals and anybody who
  153. bothers to read them can figure out how to write a device driver
  154. infector.
  155.  
  156. It is arguable whether a device-drivers infecting virus will have any
  157. chance to spread only, but nobody said that it must infect only device
  158. drivers... One could (in fact several people already did) write a
  159. virus, which infects both EXE & COM files and device drivers... In
  160. fact, it could infect boot sectors, partition tables, OBJ files,
  161. libraries, etc...
  162.  
  163. There have been device drivers infecting viruses since more than two
  164. years - the Happy New Year (Bulgarian) was the first one, but it's not
  165. so easy to make it infect device drivers, so several people haven't
  166. noticed that. Currently I can recall at least about two other device
  167. drivers infecting viruses, both of Russian origin - SVC 6.0 and
  168. Starship. Yet, I know only about one virus scanner, which checks the
  169. device drivers properly - the Dr. Alan Solomon's AntiVirus ToolKit.
  170.  
  171. Hope the above helps.
  172.  
  173. Regards,
  174. Vesselin
  175. - -- 
  176. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  177. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  178. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  179.  
  180. ------------------------------
  181.  
  182. Date:    27 Jan 92 13:26:30 +0000
  183. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  184. Subject: Re: vsum info... (PC)
  185.  
  186. hobbit@vax.ftp.com (*Hobbit*) writes:
  187.  
  188. > Forgive me if this is a faq; I haven't seen any recent references.  Is
  189. > there a plaintext version of vsumx.h! that is readable by humans
  190. > without use of a program?
  191.  
  192. The package includes the program in question, so you can read it
  193. without problems. If you read it -carefully-, you'll see the
  194. explanation why Patti switched to hypertext versions (hint: look at
  195. the Revision History entry). Although I would like to be able to print
  196. porions of it into files in plain-text mode, without using dirty
  197. tricks and printer redirection...
  198.  
  199. Regards,
  200. Vesselin
  201. - -- 
  202. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  203. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  204. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  205.  
  206. ------------------------------
  207.  
  208. Date:    27 Jan 92 13:20:30 +0000
  209. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  210. Subject: Re: VIRUS at AT286 in SCAN85 (PC)
  211.  
  212. tkorho@cs.joensuu.fi (Tommi Korhonen) writes:
  213.  
  214. > Mine 286 did also JAM after i GOT THE SCAN85.ZIP!!!!!
  215. [description deleted]
  216.  
  217. Hmm, sounds more like a hardware problem, or a corrupted DOS... (No
  218. problem to write a virus, which does the same, of course, but I don't
  219. think this is your case. And it's certainly not because of SCAN /AV.
  220. You could remove the checksums with SCAN /RV and check whether the
  221. problems disappears. Another advise, boot from a clean DOS system disk
  222. and perform a SYS on your hard disk (or use Norton's "make disk
  223. bootable", if the version of your SYS is not smart enough). No
  224. guarantees, but the problem may disappear. Also try CHKDSK and watch
  225. for any reports about corrupted files...
  226.  
  227. Regards,
  228. Vesselin
  229. - -- 
  230. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  231. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  232. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  233.  
  234. ------------------------------
  235.  
  236. Date:    Fri, 24 Jan 92 20:54:16 +0000
  237. From:    lark@Solbourne.COM (Daniel Larkin)
  238. Subject: FAT chance? (PC)
  239.  
  240.     Hi,
  241.  
  242.     Does anyone know of any virus that attacks strictly
  243.     the FAT on the hard disk, and if so, what choices
  244.     (if any) is there to combat this problem? Any
  245.     information on this will be appreciated.
  246.  
  247.     Thanks,
  248.   
  249.     DAN L.
  250.  
  251. ------------------------------
  252.  
  253. Date:    Mon, 27 Jan 92 14:10:00 -0600
  254. From:    "RICKY GATES" <RCG1659@TNTECH.BITNET>
  255. Subject: Possible Virus, Help!! (PC)
  256.  
  257. I was working on a friends Gateway 2000 386SX-20 MHz computer this
  258. weekend, when every time I hit the space bar on the keyboard. It stops
  259. taking input from the keyboard, but the computer types out TUMARC FROM
  260. CHINA on the screen and beeps for about 3 to 4 minutes. It then stops
  261. and leaves the text on the screen. I can backspace it off the screen,
  262. but as soon as I hit the spacebar again it does it again. I asked my
  263. friend when it started doing this to him. He replied that it started
  264. doing it a little while after installing Calender Creater Plus,
  265. AddressBook, and one other program from Power-Up software. I am
  266. wondering if anyone out there has heard of this problem or virus. I
  267. looked in McAfee's virus list and it is not listed, so I am wondering
  268. if this a new virus that has not yet been seen. If anyone has any
  269. suggests at all please send me e-mail. Thanks!!!
  270.  
  271. Ricky Gates
  272. TTU College of Business
  273. Microcomputer Specialist and LAN Mgr
  274. (615) 372-3684
  275. BITNET: RCG1659@TNTECH.BITNET
  276.  
  277. ------------------------------
  278.  
  279. Date:    27 Jan 92 15:32:13 -0500
  280. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  281. Subject: re: New virus????? (PC)
  282.  
  283. >From:    diaz@leland.stanford.edu (Kathy Diaz)
  284.  
  285. >I have a question it seems that I have come across some sort of virus.
  286. >My Dos Machine has in every directory a file called aux.
  287.  
  288. Various words, including "aux", "con" and "prn", are reserved device
  289. names in DOS.  If you try to do anything with them as though they were
  290. files, various odd and unexpected things can happen.  "aux" actually
  291. tells DOS to read to / write from the serial port; if the right sort
  292. of device were hooked up there, it might actually work, although I
  293. haven't heard of anyone doing it.  "con" tells DOS to treat the
  294. keyboard/screen (the "console") as a file; this can be very useful (as
  295. in COPY CON: TEST.JNK), but many editors will get very confused when
  296. faced with "edit con".  Or "edit aux".  For more info, see the index
  297. of most DOS manuals, under "device names".
  298.  
  299. Probably not a virus!   *8)
  300.  
  301. - ---
  302. David M. Chess                                          mI' jIHbe' jay'!
  303. High Integrity Computing Lab                            loD tlhab jIH!
  304. IBM Watson Research                                          -- qama''e'
  305.  
  306. ------------------------------
  307.  
  308. Date:    Tue, 28 Jan 92 00:06:44 +0700
  309. From:    frisk@complex.is (Fridrik Skulason)
  310. Subject: F-PROT/CPAV conflict (PC)
  311.  
  312. A user of F-PROT 2.02 just reported a conflict between that program and the
  313. Central Point anti-virus program:
  314.  
  315. It seems that "Secure Scan" reports:
  316.  
  317.     VSAFE.SYS  Infection: New or modified variant of Flip
  318.     VWATCH.SYS  Infection: New or modified variant of Flip
  319.  
  320. This means that both FLIP signatures are found in the program, but it does not
  321. appear to be a normal infected file - perhaps a new variant.
  322.  
  323. Actually, this is a false alarm, caused by the fact that the folks at CP
  324. use the same signatures as I do, and they do not store them in encrypted form
  325. in the file - something any decent anti-virus program should do... :-)
  326.  
  327. So, if you get this particular message on these files don't worry...I'll do
  328. something about this in the next version, although I really consider this
  329. to be CP's problem....
  330.  
  331. - -frisk
  332.  
  333. ------------------------------
  334.  
  335. Date:    Mon, 27 Jan 92 08:54:31 -0500
  336. From:    Ed Maioriello <edm@athena.cs.uga.edu>
  337. Subject: CDef Virus (Mac)
  338.  
  339. Hello All,
  340.  
  341. I have been seeing alot of the CDEF virus lately.  Does anyone have
  342. any info on the way the virus works etc.  It seems to be caught quite
  343. nicely by the Disinfectant init, and removed easily by Disinfectant
  344. 2.5.1, but I would like to know more about it.
  345.  
  346. Thanks in advance.
  347.  
  348. Ed Maioriello                                   emaiorie @ uga.cc.uga.edu
  349. University Computing & Networking Services           edm @ athena.cs.uga.edu
  350. University of Georgia                    edm @ aisun1.ai.uga.edu
  351. Athens, Ga. 30602                    (404) 542-5162
  352.  
  353. ------------------------------
  354.  
  355. Date:    24 Jan 92 21:41:17 +0000
  356. From:    peter@sysnext.library.upenn.edu (Peter C. Gorman)
  357. Subject: very strange Mac behavior (Mac)
  358.  
  359. Hello -
  360.  
  361. I've got a Mac IIsi, system 6.0.7, that's behaving very strangely:
  362.  
  363. - - When anyone tries to access the Page Setup or Print functions from
  364. just about any application, Gatekeeper says that the application is
  365. trying to violate res(system) privileges against the System -
  366. RsrcMapEntry(DRVR2).
  367.  
  368. - - The Mac was working perfectly happpily until a few days ago; the
  369. user doesn't know of any changes that were made.  (But this is a
  370. semipublic machine)
  371.  
  372. - - Some applications also trigger the warning when loading or when
  373. trying to open a document.
  374.  
  375. - - Disinfectant 2.5.1 sees nothing wrong.
  376.  
  377. Has anyone seen this sort of this thing before?  I don't want to raise
  378. the virus alarm prematurely; It's possible that something's been
  379. corrupted by other means.
  380.  
  381. Oh yeah - replacing the System file and printer drivers doesn't change
  382. anything.
  383.  
  384. Thanks for your help.
  385. - --
  386. Peter Gorman
  387. University of Pennsylvania
  388. Library Systems Office
  389. peter@sysnext.library.upenn.edu
  390.  
  391. ------------------------------
  392.  
  393. Date:    Mon, 27 Jan 92 09:21:13 +0000
  394. From:    Fridrik Skulason <frisk@complex.is>
  395. Subject: Re: New Antivirus Organization Announced
  396.  
  397. RTRAVSKY@corral.uwyo.edu (Rich Travsky 3668 (307) 766-3663/3668) writes:
  398.  
  399. >The following is from the Dec 30,1991/Jan 6,1992 issue of Network World.
  400. >    Northern Telecom, Inc. and universities in Hamburg, Germany, and
  401. >    Iceland.
  402.  
  403. Hm...I suppose that "University of Iceland" is supposed to refer to
  404. me...  but it is a misunderstanding - I quit my job at the university
  405. last April, and now concentrate my efforts on the development of my
  406. product, and virus-related work.
  407.  
  408. - -frisk
  409.  
  410. ------------------------------
  411.  
  412. Date:    27 Jan 92 13:15:53 +0000
  413. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  414. Subject: Re: Trojan definition? Special case
  415.  
  416. vail@tegra.com (Johnathan Vail) writes:
  417.  
  418. > The definition I have in my glossary is:
  419. > ________________
  420. > trojan (horse) - This is some (usually nasty) code that is added to,
  421. >     or in place of, a harmless program.  This could include many viruses
  422. >     but is usually reserved to describe code that does not replicate
  423. >     itself.
  424. > ________________
  425.  
  426. Hmm, the definition is not that bad, but I think that a more exact one
  427. would be "a program, which intentionally performs some undocumented
  428. functions"... Oh well.
  429.  
  430. Regards,
  431. Vesselin
  432. - -- 
  433. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  434. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  435. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  436.  
  437. ------------------------------
  438.  
  439. Date:    Fri, 24 Jan 92 21:22:58 +0000
  440. From:    rslade@cue.bc.ca (Rob Slade)
  441. Subject: Re: Sigs
  442.  
  443. willimsa@unix1.tcd.ie (alastair gavi williams) writes:
  444. >    So, what's a signature virus?  Does it require the file to be
  445.  
  446. The signature virus is a joke.  You will note, on those sigblocks that
  447. have it, the note "append me to your sig file".
  448.  
  449. It is strikingly similar to the "classified ads" virus.  The one that
  450. says "send a copy of me to your local paper classified ads section".
  451.  
  452. ==============
  453. Vancouver      p1@arkham.wimsey.bc.ca   | "Is it plugged in?"
  454. Institute for  Robert_Slade@sfu.ca      | "I can't see."
  455. Research into  rslade@cue.bc.ca         | "Why not?"
  456. User           CyberStore Dpac 85301030 | "The power's off
  457. Security       Canada V7K 2G6           |  here."
  458.  
  459. ------------------------------
  460.  
  461. Date:    Tue, 28 Jan 92 09:53:00 -0500
  462. From:    HAYES@urvax.urich.edu
  463. Subject: new from Padgett Peterson (PC)
  464.  
  465. Hello.
  466. Just received from A. Padgett Peterson and made available:
  467.  
  468. FIXUTIL2.ZIP:
  469.     > Minor updates of FIXUTIL - CHKBOOT finds FORM family, FixFBR won't
  470.     > flag Zenith boot records as suspect - .doc reflects lower pricing
  471.     > (why not ?) minor ASCII changes.
  472.  
  473. Best, Claude.
  474.  
  475. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  476. Claude Bersano-Hayes     HAYES @ URVAX                 (Vanilla BITNET)
  477. University of Richmond   hayes@urvax.urich.edu     (Bitnet or Internet)
  478. Richmond, VA  23173
  479.  
  480.  
  481. ------------------------------
  482.  
  483. Date:    Sun, 26 Jan 92 21:07:52 -0800
  484. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  485. Subject: "Commercial safety" myth
  486.  
  487. DEFMTH8.CVP   920126
  488.  
  489.                      The "Commercial Safety" Myth
  490.  
  491. If I had to choose one viral myth which most contributed to the
  492. unchecked spread of viral programs that exists today, it would be that
  493. of the "safety" of commercial software.  Although there is little
  494. agreement as to actual numbers, most virus researchers would agree with
  495. the statement that the vast majority of viral infections are caused by
  496. viri which are both easy to detect and easy to remove.  Yet one recent
  497. survey of 600,000 PCs indicated that 63% had been hit with an infection. 
  498. Why?  Easy.  Only 25% had any kind of protection against viri.  (Note -
  499. even more disturbing - *at least* 48% *have been hit and STILL HAVE NOT
  500. TAKEN PRECAUTIONS!*)
  501.  
  502. I am often faced with the assertion from computer users that, "Oh, I
  503. don't need to worry about viruses.  *I* only use *commercial* software. 
  504. If it doesn't have shrink wrap, it doesn't go into *my* computer!"  This
  505. statement, and feeling of false security, relies on three assumptions:
  506. 1) that shareware is a major viral vector, 2) commercial software is
  507. never infected, only shareware and pirate software are and 3) there are
  508. no viral vectors other than software.
  509.  
  510. Although shareware has been involved in the spread of viral programs, it
  511. is difficult to say how much of a role that it plays.  In nine years of
  512. involvement with the local and extended communications community, I have
  513. not yet downloaded a file which I found to contain a viral program
  514. infection.  (Except for the ones that were sent to me as such.)  Note
  515. that I am not making any claims to superior knowledge or expertise here:
  516. my random sampling of interesting looking files off the nets and boards
  517. has yet to pull in one which is infected.  Others say otherwise,
  518. although it was interesting to note, in a recent conversation where
  519. someone to the opposing view, that he finally had to admit he'd never
  520. downloaded an infected file either.  In fact, for many years, shareware
  521. antivirals were the only reasonable form of protection.
  522.  
  523. Every major microcomputer operating system except CP/M has had at least
  524. one instance of a major commercial software vendor distributing infected
  525. programs or media.  They take precautions, of course, but apparently
  526. still don't give virus checking a high enough priority.
  527.  
  528. Besides which, there are other possibilities for obtaining viral
  529. infections from "commercial" sources.  Most commercial software is still
  530. distributed on writable media.  Software retailers will often accept
  531. "returned" software, re-wrap it (shrink wrapping is easy to do) and
  532. resell it - often without checking for any incidental infection. 
  533. Hardware or system retailers are all too often selling infected systems
  534. these days, not knowin
  535.