home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / v06i151.txt < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  63.1 KB

  1. To:       VIRUS-L@LEHIGH.EDU
  2. Subject:   VIRUS-L Digest V6 #151
  3. --------
  4. VIRUS-L Digest   Tuesday, 30 Nov 1993    Volume 6 : Issue 151
  5.  
  6. Today's Topics:
  7.  
  8. Bleeding edge & scanners?
  9. Re: Liabilities
  10. Article available (General)
  11. general information on computer viruses
  12. Re: Draft Swiss AntiVirus regulation
  13. Re[2]: Liabilities
  14. Percentage of virus that infect boot sectors
  15. essex virus (PC)
  16. Generic boot virus? (PC)
  17. Re: VIRSTOP.EXE and 386max memory manager.... (PC)
  18. Re: IBM pc's and viruses (PC)
  19. Re: Stoned Dual-report with McAffee Scan (PC)
  20. Wrapper Virus? (PC)
  21. MS-DOS 6.2 is not a virus (it just acts that way) (PC)
  22. Re[2]: Sorry I need more RAM Memory (PC)
  23. Re SCAN memory requirements (PC)
  24. False +ve: SCAN thought that VET was infected with Invisible Man (PC)
  25. need help with possible virus (PC)
  26. Re: Why should a scanner HAVE to open a file? (PC)
  27. Re: Scanning below the DOS level (PC)
  28. Virstop & Boot sector infectors (PC)
  29. Re: Attention! False positives in SCAN 108 (PC)
  30. Re: Scanning below the DOS level (PC)
  31. F-PROT 2.10 now available (PC)
  32. 1.2 Getting Started (CVP)
  33. Quick reference antiviral review chart
  34. Administrative: Call for volunteers
  35.  
  36. VIRUS-L is a moderated, digested mail forum for discussing computer
  37. virus issues; comp.virus is a gatewayed and non-digested USENET
  38. counterpart.  Discussions are not limited to any one hardware/software
  39. platform - diversity is welcomed.  Contributions should be relevant,
  40. concise, polite, etc.  (The complete set of posting guidelines is
  41. available by FTP on CERT.org or upon request.)  Please sign submissions
  42. with your real name; anonymous postings will not be accepted.
  43. Information on accessing anti-virus, documentation, and back-issue
  44. archives is distributed periodically on the list.  A FAQ (Frequently
  45. Asked Questions) document and all of the back-issues are available by
  46. anonymous FTP on CERT.org (192.88.209.5).
  47.  
  48. Administrative mail (e.g., comments, suggestions, beer recipes)
  49. should be sent to me at: krvw@ASSIST.IMS.DISA.MIL.
  50.  
  51. All submissions should be sent to: VIRUS-L@Lehigh.edu.
  52.  
  53.    Ken van Wyk
  54.  
  55. ----------------------------------------------------------------------
  56.  
  57. Date:    Mon, 22 Nov 93 09:48:50 -0500
  58. From:    BRENNAN@hal.hahnemann.edu (A. Andrew Brennan)
  59. Subject: Bleeding edge & scanners?
  60.  
  61.       I've seen a recent rash of "Is this the newest version?" and "where
  62.    else is this package available" messages on here ...
  63.  
  64.       Since it's beginning to look like a large number of anti-virus ppl
  65.    are on the net (whatever gave me that idea?  :^) - how about a possible
  66.    solution to these that would keep the FAQs up-to-date, and the dates &
  67.    CRCs for the most recent versions in "authorized" sites?  With c.virus
  68.    being a moderated list (and I'm not complaining or offering to replace
  69.    the moderator - I'm lucky to keep up with the messages as is) any time
  70.    a new release is "announced," there's a bit of lagtime between it's 
  71.    actual release and the announcement circulating.
  72.  
  73.       This morning I grabbed FP_210.zip (ftp://oak.oakland.edu/pub/msdos/ -
  74.    virus/fp_210.zip) which has a Nov 21 (yesterday) date.  Generally I don't
  75.    worry about CRCs, secure archives - the whole shooting match.  But - by
  76.    the same factor - I am often a couple of weeks behind releases of F-Prot.
  77.  
  78.       I checked the newsgroup to see if there had been a release note - it
  79.    hasn't come through yet.  So - I'll probably end up sitting on this one
  80.    until I see a note because I have no way to be sure that it's legit.
  81.  
  82.       Perhaps it's just a minor point, but it might be an overall answer to
  83.    some of the "most recent" questions if the AV people could keep verbose
  84.    archive listings in their .plan files ... or have a dummy account with a
  85.    listing in it's .plan file.  I suppose that this would be asking everyone
  86.    to check the FAQ before asking "recent version" questions ... but we all
  87.    do that already, don't we?  :^)
  88.  
  89.       andrew.  (brennan@hal.hahnemann.edu)
  90.  
  91. ------------------------------
  92.  
  93. Date:    Mon, 22 Nov 93 10:53:40 -0500
  94. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  95. Subject: Re: Liabilities
  96.  
  97. Karl Tarhk (ktark@src4src.linet.org) writes:
  98.  
  99. > With all the respect this analogy is seriously flawed.
  100.  
  101. Most analogies are, including yours, as I will show below.
  102.  
  103. > Viruses are not living entities that can 'escape' unless helped by
  104. > humans with secondary intentions. 
  105.  
  106. While they are indeed not living organisms, they can very well
  107. "escape" against the will of the person who has them, if this person
  108. it not knowledgeable and/or no careful enough. I am certain that many
  109. readers of Virus-L/comp.virus can confrim that, based on their own
  110. experience. Heck, even I have once accidentally released a virus on my
  111. computer and the sucker succeeded to infect al lot of four files, 
  112. before I figured out what's happening and was able to stop it.
  113.  
  114. > Viruses are just inanimated pieces
  115. > of computer code.
  116.  
  117. That doesn't prevent them from spreading rather well.
  118.  
  119. > By attributing non existent powers to computer code
  120. > using such analogies is a dangerous thing. 
  121.  
  122. The main properties of computer viruses I was refering to were
  123. "spreading" and "causing damage". Is *this* what you are calling
  124. "non-existent properties"?
  125.  
  126. > If you take a couple of
  127. > preventive measures no computer virus can escape like a 'tiger'.
  128.  
  129. If you take the proper preventive measures, you can prevent even a
  130. tiger from escaping. You have completely missed my point. My point was
  131. that *if* the tiger (or the virus) escapes and causes damage, then you
  132. are liable for it.
  133.  
  134. > Lets look at the following counter analogy:
  135.  
  136. > I am a gun manufacturer and inventor.  Should I be held liable for the
  137. > uses and misuses of such weapon, if I am not able to control who gets
  138. > it and who does not?  Absolutely, positively NOT!
  139.  
  140. Your analogy is flawed too. You are standing on US-centric positions.
  141. The world is wide and there are many countries in which owning,
  142. buying, or selling a weapon *is* illegal, regardless of whether you
  143. misuse it or not.
  144.  
  145. (Please, folks, it is not my intention to start a gun/anti-gun
  146. flamewar here. I just want to point out that just because something is
  147. allowed in your country, you should not assume that it is also allowed
  148. everywhere else in the world. Also, unlike guns, computer viruses
  149. *are* able to spread and to cross national boundaries.)
  150.  
  151. > The bottom of the line here is not whether to write viruses or not to
  152. > write viruses but who gets them.
  153.  
  154. Nope. The bottom line is whether damage is caused. And spreading
  155. computer viruses *is* causing damage.
  156.  
  157. > And we all know that there is a few CARO virus collections floating
  158. > around in the wrong places, so that should answer the question of who
  159. > is responsible or who is not.
  160.  
  161. You all know? Then all your knowledge is wrong. :-) First of all,
  162. there is no such thing as a "CARO virus collection". It simply doesn't
  163. exist. Each CARO member is maintaining his own virus collection.
  164. Second, anybody can claim whatever they want (e.g. "I have the CARO
  165. virus collection", or "I wrote the K-4 virus", or "I know who killed
  166. JFK", or whatever). However, irresponsible claims tend to lower the
  167. reputation of the person who is making them.
  168.  
  169. > The point to be made is, that regardless of how careful anyone is
  170. > distributing code , for each person the code given to, the
  171. > possibilities that the code will end up in the wrong hands is
  172. > increased at an exponential rate.
  173.  
  174. Yes, I would agree with the above. That's why, the more limited the
  175. circle of people who get malicious code is, the better. This is one of
  176. the reasons why I am opposed to the virus exchange BBSes. It is just
  177. irresponsible to distribute malicious code without any control
  178. whatsoever on who will get it and what it will be used for.
  179.  
  180. > >I don't think that virus creation should be forbidden per se. But I do
  181. > >think that if a virus is found somewhere where it is unwanted, the
  182. > >author of the virus should share the responsability, even if he has
  183. > >not introduced the virus into that system.
  184.  
  185. > By the same token, the manufacturers of firecrackers should be held
  186. > liable when someone uses their product in a malicious way?
  187.  
  188. > NO!
  189.  
  190. If this "someone" manifactures firecrackers and distributes them to
  191. children, telling them "look how great it will be to put some fire on
  192. that building" - yes, such person should be held liable.
  193.  
  194. Besides, there are many *useful* applications for firecrackers. I have
  195. yet to see *one* useful application of a computer virus (as most
  196. people understand it, not as Dr. Cohen undertsands it) that cannot be
  197. performed (often much better) by a non-viral program.
  198.  
  199. > You are assuming something that can NOT be proven: Computer viruses
  200. > are inherently destructive. 
  201.  
  202. Not quite. All I am saying is that the computer viruses as we have
  203. seen them -can- and -are- destructive. I don't think that anybody
  204. thinks otherwise. If you do, you are seriously fooling yourself.
  205. Whether computer viruses are inherently destructive in theory is a
  206. different question and I will be glad to do some research in this
  207. direction, but we are not talking about the theory now. We are talking
  208. about the viruses that exist *now* and that destroy data *now*.
  209.  
  210. > This is false; and, while a million of
  211. > you will argue that a good use for a computer virus is yet to be
  212. > found, there is yet to be proven that there isn't a good use for a
  213. > computer virus.
  214.  
  215. > QED
  216.  
  217. You seem to have missed you lessons of formal logic. Maybe you should
  218. have payed more attention at school. We are not arguing that it is
  219. proven that there isn't a good use for a virus. We are just saying
  220. that none has been found yet and all the currently created ones are
  221. destructive - some of them intentionally, some of them not.
  222.  
  223. Regards,
  224. Vesselin
  225. - --
  226. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  227. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  228. < PGP 2.3 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  229. e-mail: bontchev@fbihh.informatik.uni-hamburg.de        22527 Hamburg, Germany
  230.  
  231. ------------------------------
  232.  
  233. Date:    Mon, 22 Nov 93 11:18:38 -0500
  234. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  235. Subject: Article available (General)
  236.  
  237. Hello, everybody!
  238.  
  239. The November issue of "Virus News International" has published an
  240. excellent article - "A Reader's Guide to Reviews" by Sarah Tanner. It
  241. is a sarcastic set of rules that shows how to do incompetent reviewing
  242. of anti-virus products. Read it, you'll love it. Many of you will
  243. recognize several of those rules being actually used in published
  244. reviews... I am still laughing...
  245.  
  246. With the kind permission of Paul Robinson, the editor-in-chief of
  247. "Virus News International", I received the article in electronical
  248. form and made it available for anonymous ftp. Feel free to download
  249. and distribute it, provided that the appropriate credits are given to
  250. VNI. The full reference of the article on our anonymous ftp site is
  251.  
  252. ftp.informatik.uni-hamburg.de:/pub/virus/texts/revguide.zip
  253.  
  254. Regards,
  255. Vesselin
  256. - --
  257. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  258. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  259. < PGP 2.3 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  260. e-mail: bontchev@fbihh.informatik.uni-hamburg.de        22527 Hamburg, Germany
  261.  
  262. ------------------------------
  263.  
  264. Date:    Mon, 22 Nov 93 14:39:48 -0500
  265. From:    U60780@UICVM.UIC.EDU
  266. Subject: general information on computer viruses
  267.  
  268. We are computer illiterates at the University of Illinois at Chicago.
  269. We are doing a final assignment in our English class.  Graduation is
  270. only three weeks away and we need help in order to get this assignment
  271. done on time.  We need some general information on computer viruses
  272. and their effect on computers today.  Please reply asap as we only
  273. have three class periods to finish this somewhat impossible
  274. assignment.
  275.  
  276. ------------------------------
  277.  
  278. Date:    Mon, 22 Nov 93 19:24:58 -0500
  279. From:    datadec@ucrengr.ucr.edu (kevin marcus)
  280. Subject: Re: Draft Swiss AntiVirus regulation
  281.  
  282. Fernando Bonsembiante <fernando@ubik.satlink.net> wrote:
  283. >Viernes 05 de Noviembre de 1993, kevin marcus writes to All:
  284. >
  285. > km> I don't think that would be very funny.
  286. >
  287. > km> Have you ever heard of something called, "ethics" or "morals"?  I don't
  288. > km> think that there would, "be no difference".
  289. >
  290. >    I'm speaking in legal terms. You can't write a law speaking of ethics or
  291. >morals. As ethics and morals change from place to place, from time to time,
  292. >an from person to person, we should have something very clear do
  293. >differentiate between what is legal and what is not. So, if the law makes no
  294. >difference betwen virus writing and anti virus writing (both activities need
  295. >the knowledge, the analysis and the exchange of existing computer viruses),
  296. >you can say that one is 'moral' and the other isn't, but you will go to jail
  297. >anyway.
  298. >
  299.  
  300. I have had the fotunate experience of not having taken any law classes,
  301. so this makes me seem much more like a "common sense citizen" - at
  302. least, that is how I think of myself.
  303.  
  304. Why are there laws (in my country, at least), that say you can't take
  305. other people's property, or kill people?  Maybe my... er, uh, religion,
  306. says this is okay.  However, the rest fo society doesn't think so.  They
  307. think that would be unethical.  So they make laws.  Laws, in this 
  308. country, are supposed to be made by the people, to protect the people,
  309. for the people.  And, laws DO change.  Can you say, "repeal", 
  310.  
  311. Yes, laws do need to be defined well, and that is why we have this stuff
  312. called voting in this country - so we pick people that we think will make
  313. laws which represent our thoughts.  If they don't, then we get someone
  314. else that does agree with us.
  315.  
  316. > km> virus, and that to write a virus, no matter what you say it's 
  317.  
  318. for,
  319. > km> you have malicious intent.  The current idea is to label the definition
  320. > km> of a virus as malignant programs, so that the intent can get ruled out.
  321. > km> (IMHO)
  322. >
  323. >    Ok, but we must take care in that definition. We must arrive to a clear
  324. >definition to avoid future problems with the law. To quote a friend: what's
  325. >the difference between a computer virus and Stacker or Double Space? An
  326. >automathic compression program is changing our files without authorization.
  327. >We could talk about 'implicit authorization'. I don't say it would be
  328. >impossible to differentiate between a virus an a 'legal' program, but we must
  329. >be very careful when writting the law. Think about that: if some person finds
  330. >a commercial program that can be considered as 'malicious' acording to the
  331. >law's definition, perhaps something like Double Space or Pklite, that person
  332. >may think that it would be great to sue Microsoft or Pkware and get some
  333. >millions of dollars for free...
  334.  
  335. I am not going to get into the what is a virus definition here, but 
  336. the user is clearly benefitting from the use of Stacker or DOuble
  337. Space.  They want to have it.  They think it's a useful piece of software.
  338.  
  339. By them willingly installing the software on their computer, they are
  340. saying, "I authorize this program to work on my computer".  Now, they
  341. don't have so much control over a virus, do they?  I'm not talkign about
  342. the scanty few which tell you they are infecting a file or what-not, but
  343. the general population of viruses - the 99% that don't do that.
  344.  
  345. - -- 
  346.   -- Kevin Marcus:   datadec@ucrengr.ucr.edu,  tck@bend.ucsd.edu
  347.   CSLD Room Monitor, Thurs 10-12p, Sunday  5-10p (909)/787-2842.
  348.   Computer Science,  University of California, Riverside.
  349.  
  350. ------------------------------
  351.  
  352. Date:    Mon, 22 Nov 93 22:40:55 -0500
  353. From:    "Jimmy Kuo" <cjkuo@symantec.com>
  354. Subject: Re[2]: Liabilities
  355.  
  356. ktark@src4src.linet.org (Karl Tarhk) writes:
  357. >Lets look at the following counter analogy:
  358.  
  359. >I am a gun manufacturer and inventor.  Should I be held liable for the
  360. >uses and misuses of such weapon, if I am not able to control who gets
  361. >it and who does not?  Absolutely, positively NOT!
  362.  
  363. Yes!  If you are negligent.  There are laws which will charge a parent with
  364. manslaughter if a child finds a gun that has not been properly secured and
  365. shoots someone.  And if you want to still use this analogy, if I buy a
  366. gun (a program) but the firing mechanism blows up in my face (trojan/viral
  367. code), yes the gun manufacturer is liable.
  368.  
  369. Someone asked me today what I thought of Nuke.  My whole answer was "They
  370. don't understand the first amendment."  I fully support the first amendment.
  371. But there's been a lot of case law which restricts its scope.  Most Americans
  372. don't understand the first amendment.  So Nuke is not unique.
  373.  
  374. Jimmy Kuo                                       cjkuo@symantec.com
  375. Norton AntiVirus Research
  376.  
  377. ------------------------------
  378.  
  379. Date:    Tue, 23 Nov 93 06:10:17 -0500
  380. From:    David Hanson <afrc-mis@augsburg-emh1.army.mil>
  381. Subject: Percentage of virus that infect boot sectors
  382.  
  383. While discussing anti-viral strategies with a user the other day, the subject
  384. of backups (naturally) came up.  Of course, a good backup strategy should be
  385. your first line of defense against virus problems.
  386.  
  387. I noted that use of a tape backup can be especially effective against boot
  388. sector virus, as there is no boot sector on a tape to carry the infection
  389. into your backups (as opposed to a file infector).
  390.  
  391. My question is, what percentage of known virus are boot sector infectors?
  392. What percentage of common (ie., "in the wild") virus are boot sector?
  393.  
  394. Dave Hanson
  395.  
  396. "Objects in the mirror are closer than they appear."
  397.  
  398. ------------------------------
  399.  
  400. Date:    Sat, 20 Nov 93 20:11:43 -0500
  401. From:    mosier@moose.uvm.edu (Mike Osier)
  402. Subject: essex virus (PC)
  403.  
  404. Recently, there have been a number of infections of the Essex Virus here
  405. on campus...I've searched far and wide for more information on this virus
  406. only to find nothing on the net...I've even gone so far as to check the
  407. documentation of Scan and Central Point AV, as well as write McAfee's
  408. support line on the net (which didn't know anything about it, although the
  409. program detected it)...
  410.  
  411. An individual within the department found a way to remove the virus from
  412. HD's, but I'm unsure if this will remove it from floppies also...it was in
  413. the following batch file:
  414.  
  415.   FDISK /MBR
  416.   SYS C:
  417.  
  418. I know this works fine for the hard drive, but will it also work for
  419. infected floppies (of which I have several dozen to disinfect)...only a
  420. handful of the floppies are boot disks (therefore the "sys" command won't
  421. help out there)...
  422.  
  423. I would also appreciate any other information about the virus (ie actual
  424. location of infection and method of infection [besides boot rec virus, etc)...
  425.  
  426. please e-mail me at mosier@moose.uvm.edu as I do not subscribe to this
  427. list, as well as to save bandwidth...
  428.  
  429. Thanks in advance
  430. Mike Osier
  431.  
  432. - ----------------------------------------------------------------------
  433. Michael Osier = mosier@moose.uvm.edu = Og | It's these little things
  434.               = mosier@lemming.uvm.edu    |   they can pull you under
  435. Biochemical Science                       | Live your life filled with
  436. University of Vermont                     |   joy and wonder
  437. ACS counselor                             |   -R.E.M. 
  438. - ----------------------------------------------------------------------
  439.  
  440. ------------------------------
  441.  
  442. Date:    15 Nov 93 04:48:00 +0000
  443. From:    syzhang@violet.ccit.arizona.edu (ZHANG, SHIYU)
  444. Subject: Generic boot virus? (PC)
  445.  
  446. Hi, netters,
  447.  
  448. Do you ever heard of a General Boot virus called [Genb]? SCAN108 can
  449. detect it but can not remove it (using CLEAN108). I tried F-PROT but
  450. it could only tell me that this was "a possible new stone virus".
  451.  
  452. How to get rid of it? Sure I know I can format the disks, but, you know...
  453.  
  454. Thanks.
  455.  
  456. Shiyu
  457. syzhang@ccit.arizona.edu
  458.  
  459. ------------------------------
  460.  
  461. Date:    Mon, 22 Nov 93 04:54:56 -0500
  462. From:    oep@colargol.edb.tih.no (Oeyvind Pedersen)
  463. Subject: Re: VIRSTOP.EXE and 386max memory manager.... (PC)
  464.  
  465. Min-Chin Hsiao (minchin@rumba.seas.upenn.edu) wrote:
  466. : Hi everyone,
  467.  
  468. :     What curious me was that why 6.01d handles it like a brisk but 7.0 
  469. : would no?  I know that there might be some significant changes... but it
  470. : really bugs me.... I might return the product unless someone can help me solve
  471. : the problem.....
  472. :     Thanks very much in advance for any tips and advice you can give.
  473.  
  474. I believe this is a bug in 7.0, because Qualitas has released a upgrade of
  475. 7.0 to 7.1 (a EXE-file called M700A.EXE). You will also have to load VIRSTOP
  476. before the 386MAX.SYS.
  477. I don't know if this M700A.EXE-file is available public, but I guess you can
  478. contact Qualitas if not. 
  479.  
  480. - - oep
  481.  
  482. ------------------------------
  483.  
  484. Date:    Mon, 22 Nov 93 10:16:12 -0500
  485. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  486. Subject: Re: IBM pc's and viruses (PC)
  487.  
  488. David M. Chess (chess@watson.ibm.com) writes:
  489.  
  490. > To make a diskette that'll boot your machine with DOS, but with
  491. > the reference partition visible, make a disk copy of a reference
  492. > diskette (that is, a track-for-track copy), and replace the COMMAND.COM,
  493. > IBMBIO.COM, and IBMDOS.COM on the copy with the same-named files
  494. > from your favorite DOS machine.  Then boot your Model 90 or
  495. > whatever from that diskette; you *should* find yourself in DOS,
  496.  
  497. Hmm... From the above description, I get it that the code that tells
  498. the BIOS to "enable" the (normally hidden) reference partition is in
  499. the boot sector. The fact that it is possible at all via software,
  500. looks like a security hole to me. What would prevent a virus writer
  501. from implementing the same code in a, say, boot sector virus and make
  502. it infect the reference partition at boot time? And, as you said
  503. yourself, it is not trivial to disinfect it...
  504.  
  505. What was the reason to introduce this reference partition at all?
  506.  
  507. Regards,
  508. Vesselin
  509. - --
  510. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  511. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  512. < PGP 2.3 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  513. e-mail: bontchev@fbihh.informatik.uni-hamburg.de        22527 Hamburg, Germany
  514.  
  515. ------------------------------
  516.  
  517. Date:    Mon, 22 Nov 93 11:00:49 -0500
  518. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  519. Subject: Re: Stoned Dual-report with McAffee Scan (PC)
  520.  
  521. THE GAR (GLWARNER@samford.bitnet) writes:
  522.  
  523. > Can anyone tell me why some machines would report being infected
  524. > with STONED twice on a single scan?  I'm running Scan 108, and
  525. > when I scan some infected machines it reports that STONED has
  526. > been found in the partition table, then scans a minute more,
  527. > and reports the same thing again.
  528.  
  529. Hm... SCAN indeed can report more than one virus when only a single
  530. one is present. However, I am not aware of any cases when it reports
  531. Stoned twice. The duplicate reports for SCAN 108 and boot sector
  532. viruses from my collection are:
  533.  
  534. CARO virus name:    Viruses reported by SCAN 108:
  535. ================    =============================
  536. BootEXE.452        BFD [BFD], Generic Boot [Genb]
  537. Joshi.B            ExeBug1 [ExBg1], Generic Boot [Genb]
  538.  
  539. The duplicate (and even triplicate) reports happen much more often
  540. with file viruses. This is a bug reported to McAfee Associates more
  541. than half a year ago, yet it has never been fixed. If there is enough
  542. interest, I can post the full list of multiple reports for file
  543. viruses.
  544.  
  545. Regards,
  546. Vesselin
  547. - --
  548. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  549. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  550. < PGP 2.3 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  551. e-mail: bontchev@fbihh.informatik.uni-hamburg.de        22527 Hamburg, Germany
  552.  
  553. ------------------------------
  554.  
  555. Date:    Mon, 22 Nov 93 11:18:59 -0500
  556. From:    Brian.Garrett@nrl.navy.mil (Brian S. Garrett)
  557. Subject: Wrapper Virus? (PC)
  558.  
  559. IBM AntiVirus/DOS,Version 1.03 has reported the following message on my 
  560. machine.  
  561.  
  562. The following are probably infected:
  563.    C:\BYTE\T.EXE Wrapper
  564.    C:\BYTE\TIMESET.COM Wrapper
  565.    C:\BYTE\TSREGSTR.COM Wrapper
  566.    C:\NORMAN\AD.EXE (A) V516
  567.  
  568. I have scanned using F-Prot v2.09f as well as Scan 9.20v109.  Neither of 
  569. these programs identify these files as being suspect.  I have also looked 
  570. for information using VSUM and can find no information on the Wrapper virus.
  571.  
  572. Can someone provide me information on the wrapper virus?
  573. Is this just a false positive?
  574.  
  575. Thanks.
  576.  
  577. Brian S. Garrett
  578. ADP Security
  579. Naval Research Laboratory
  580. Washington, DC
  581.  
  582. email: Brian.Garrett@nrl.navy.mil
  583.             
  584.  
  585. ------------------------------
  586.  
  587. Date:    Mon, 22 Nov 93 14:22:35 -0500
  588. From:    padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
  589. Subject: MS-DOS 6.2 is not a virus (it just acts that way) (PC)
  590.  
  591. Downloaded the upgrade for MS-DOS 6.2 from the MS bulletin board. 
  592. Curiously enough the README states that the files are not to be 
  593. posted on BBSs (right) and installed on my test machine. A few caveats:
  594.  
  595. 1) Between the Del_Old_Dos.1 and the STEPUP directory (which must be on C if
  596.    you use the defaults) and the new files, make sure you have at least
  597.    6-7 Mb free before you start. I saw no check for this.
  598.  
  599. 2) Machine seemed to hang for a very long time at about the 81% mark
  600.    (5% note in lower right of screen). At this point the new IO.SYS and
  601.    MS-DOS.SYS files have been copied but the new COMMAND.COM is not yet
  602.    present. If you abort here, I suspect the PC will not boot properly.
  603.    Eventually it does continue but that particular sequence is very slow.
  604.  
  605. 3) The installation found *something* wrong with mode.com and memmaker.exe
  606.    & refused to update them (told the setup to continue anyway & would 
  607.    suggest this - see last two sentances in (2). (Both were originals dated 
  608.    3-10-93)
  609.  
  610. 4) If you have downloaded the "supplemental" files for DOS 6.0, these are not
  611.    included and will probaby whine "incorrect version". Skilled use of 
  612.    Ben Capstricum's UNP (UNP312.zip) plus DEBUG (look for the string 30 cd 21
  613.    and change the CMP AX,0006 that follows closely to CMP AX,1406) "fixed" 
  614.    this without using SETVER (no garentees at all 8*). Curiously while most 
  615.    DOS programs use Packed files, CHKDSK used PKLITE. The very annoying 
  616.    disclaimer about using SCANDISK instead can also be removed with DEBUG.
  617.  
  618. 5) The NOVELL NETX332.EXE for MS-DOS 6.0 had the same problem - not liking 
  619.    the 6.20 version number. I just do not like SETVER - Note: of the
  620.    multi-screen default SETVER load, NONE of the entries were what I use.
  621.  
  622. 6) HIMEM.SYS now has a lengthy (10+ seconds on 286 with 4 Mb extended) check
  623.    of extended memory but at least it tells you what it is doing.
  624.  
  625. 7) As previously mentioned, no update to MSAV appeared to be performed
  626.    (files still dated 3-10-93)
  627.  
  628. 8) Like on a full instalation, DELOLDOS will remove the "old" DOS directory
  629.    but does not remove the STEPUP directory - you'll have to do that manually.
  630.  
  631. 9) Do not use DBLSPACE on this machine so have not tried as yet. SCANDISK is
  632.    nice but take a coffee break.
  633.  
  634.                     Warmly,
  635.                         Padgett
  636.  
  637. ------------------------------
  638.  
  639. Date:    Mon, 22 Nov 93 21:43:52 -0500
  640. From:    "Jimmy Kuo" <cjkuo@symantec.com>
  641. Subject: Re[2]: Sorry I need more RAM Memory (PC)
  642.  
  643. Bryan Bross <bbross@umr.edu> wrote:
  644. >Ng Bee Yong (byng@solomon.technet.sg) wrote:
  645. >: Has anyone encounter the following error message from SCAN?
  646.  
  647. >:   Sorry, I need more RAM memory
  648. >:   390 kbytes should be enough
  649.  
  650. >: Is it some kind of bug in SCAN?  I am quite sure I have more than 500 kbytes
  651. >: of conventional memory before running SCAN.  It happened when I scanned some
  652. >: standalone machines, and also when I tried to scan the network.
  653.  
  654. >: Anyone knows the problem please enlighten me.  Thks.
  655. >: The error occurs sometimes before checking of RAM for viruses, sometimes in
  656. >: the midst of scanning some files.
  657.  
  658. >I had that problem for a while and it bugged me as well.  I was running
  659. >386MAX v7.0 & VSAFE.exe from Norton.  I didn't know which one of these was
  660. >causing the problem at the time, but now I am pretty sure it was vsafe.
  661. >Get rid the that piece of trash software, and use fprot's virstop or
  662. >something.  I have not had any problems since I terminated vsafe, although
  663. >I am not running 386MAX right now either.  Good Luck!
  664.  
  665. Everyone deserves to be blasted sometime.  But this is not our time.
  666.  
  667. VSAFE is *not* a Norton product!
  668.  
  669. VSAFE is from Central Point and all you have to do is listen to Vesselin
  670. regarding CPAV.
  671.  
  672. Jimmy Kuo                                       cjkuo@symantec.com
  673. Norton AntiVirus Research
  674.  
  675. ------------------------------
  676.  
  677. Date:    Tue, 23 Nov 93 01:29:45 -0500
  678. From:    "Roger Riordan" <riordan@tmxmelb.mhs.oz.au>
  679. Subject: Re SCAN memory requirements (PC)
  680.  
  681. Ng Bee Yong (byng@solomon.technet.sg) wrote:
  682. : Has anyone encounter the following error message from SCAN?
  683.  
  684. :   Sorry, I need more RAM memory
  685. :   390 kbytes should be enough
  686.  
  687. : Is it some kind of bug in SCAN?  I am quite sure I have more than 500 kbytes
  688. : of conventional memory before running SCAN.  It happened when I scanned some
  689. : standalone machines, and also when I tried to scan the network.
  690.  
  691. Several people have written suggesting that this may be a bug in 
  692. some versions of Scan, or an interaction with other software.  
  693. However we also encountered the message, and have established 
  694. that it is not a bug, but a normal feature of both Scan108 and 
  695. Scan109 (Yes; the McAfee version, not the one with the new 
  696. Ignorant virus, which I am told is widely available on Aussie 
  697. BBS's).
  698.  
  699. Have just done some tests with the help of a TSR called Grab, 
  700. which does just that - it grabs a chunk of memory and sits on it, 
  701. but does nothing else.
  702.  
  703. Here is what we found with Scan109
  704.  
  705.      Available memory    Result
  706.  
  707.           393K           Appeared to run normally till I scanned 
  708.                          a dirty directory.  On one pass it just 
  709.                          stopped after maybe 200 files with no 
  710.                          message.  On the next it checked almost 
  711.                          400 files, then gave the message 
  712.  
  713.                              Sorry,I need more RAM memory.
  714.                              390K bytes should be enough.
  715.                          
  716.           381K           Announced "Scanning boot sector of drive 
  717.                          E:", then gave the message and stopped
  718.                          
  719.           360K           Message immediately after "Scan 9.20V109 
  720.                          Copyright ..."
  721.                          
  722.           280K           Immediately got message "Abnormal 
  723.                          program termination."
  724.                          
  725. Incidentally Scan109 has almost established another milestone; it 
  726. takes 9M 40 sec to scan a nearly full 360K floppy on an XT!
  727.  
  728. By comparison VET 7.5 will do a normal scan, with no limitations 
  729. whatever, if there is 260K available, and will do a partial scan 
  730. (which will detect the 200 odd viruses which are at all common, 
  731. and automatically repair infected files and boot sectors) if 
  732. there is 140K available.
  733.  
  734. Oh, and it checks the floppy on the XT in 21 secs.
  735.  
  736. Cheers!
  737.  
  738. Roger Riordan                 Author of the VET Anti-Viral Software.
  739. riordan.cybec@tmxmelb.mhs.oz.au
  740.  
  741. CYBEC Pty Ltd.                                 Tel: +613 521 0655
  742. PO Box 205, Hampton Vic 3188   AUSTRALIA       Fax: +613 521 0727
  743.  
  744. ------------------------------
  745.  
  746. Date:    Tue, 23 Nov 93 05:16:20 -0500
  747. From:    A.APPLEYARD@fs1.mt.umist.ac.uk
  748. Subject: False +ve: SCAN thought that VET was infected with Invisible Man (PC)
  749.  
  750.   "S.Manifould" <STEVE@fs1.me.umist.ac.uk> wrote to pc-cluster-ops@umist.ac.uk
  751. on 22 Nov 93 16:35:52 GMT (Subject: virus hoax), and it was forwarded to me:
  752.   Everyone, Just a quick note to tell you all about a virus problem I thought
  753. I had today (Mon 22 Nov) A student had left me a message that " All the 386
  754. and 486's have been infected with the Invisible Man virus [IMF]". He had run
  755. the lastest version of McAffee scan (9.19 V108) on the machines and it had
  756. reported the infection. However Vet 7.4 did not report any infection. Upon
  757. investigation it appears that VET_RES was causing the McAffee scan to report
  758. an infection. ie once VET_RES was removed from memory the McAffee scan didnt
  759. find anything. Cheers, Steve M.
  760.  
  761. ------------------------------
  762.  
  763. Date:    Tue, 23 Nov 93 05:19:49 -0500
  764. From:    kbruce@oasys.dt.navy.mil (Ken Bruce)
  765. Subject: need help with possible virus (PC)
  766.  
  767. Greetings all,
  768. I have had a strange occurance happen to a new pc that I am setting
  769. up in a classroom. The pc came with Windows and Dos 6.0. Another group
  770. at my work has setup NCSA 2.3 for tcp/ip operation, and I was setting
  771. up our Novell access software. While editing one of the batch commands,
  772. MFE (my favorite editor) had experienced one of the keys to change.
  773. Specifically, the escape key began to print one of the upper ascii characters,
  774. I am not sure what the ascii number is. However, I couldn't do anything
  775. like save or abort, all I could do was reboot the PC. The pc rebooted
  776. OK and I could still access the tcp/ip and novell hosts OK. But when
  777. I try to go in to Windows, it fails. So I run my favorite file manager,
  778. XTgold and I see a strange file in the Windows directory. The file name
  779. begins with the strange character that my escape key turned into then
  780. the music symbol then press.ent (**press.ent). This file has read only
  781. and system attributes. I ran Norton disk doctor which showed my FAT
  782. was hosed up, then promptly locked up. I can't exactly remember what 
  783. the NDD message was. I ran chkdsk which showed about 1100 crosslinked
  784. files. One of the files that is hosed is msdos.sys. My question is obviously
  785. have I experienced a virus, if so which one, and how do I clean it. The
  786. machine still boots up, however, I cant get rid of **press.ent and when
  787. I run XTgold, it shows subdirectories with the music symbol. I humbly
  788. await your advice.
  789.  
  790. |-----------------------------------------------------------------------------|
  791. | kbruce@oasys.dt.navy.mil        | Opinions expressed herein are not those   |
  792. | Ken Bruce                       | of my employer. They are not even mine.   |
  793. | David Taylor Model Basin        | The devil made me do it.                  |
  794. | Code 3581 Customer Support      |                                           |
  795. | (301) 227-4030 Autovon 287-4030 | Chairman of the Bored.                    |
  796. |-----------------------------------------------------------------------------|
  797.  
  798. ------------------------------
  799.  
  800. Date:    Tue, 23 Nov 93 07:50:18 -0500
  801. From:    Eric_N._Florack.cru-mc@xerox.com
  802. Subject: Re: Why should a scanner HAVE to open a file? (PC)
  803.  
  804. >>>I would think that this is not altogether correct, though I`d have to do
  805. some
  806. >work on it. In theory, DIR and FAT info should tell you where a file starts,
  807. >and you should also be able to use that information, and mathmatics, to move t
  808. o
  809. >a particular offset, to look for your string. I grant you, this would be
  810. >slow.... at least slower than opening the files.
  811.  
  812. Well, how do you suppose DOS manages its filing system? If well-written,
  813. code to give read-only access to a DOS drive without using DOS is likely
  814. to be much *faster* than DOS. There's a lot less work to be done, and much
  815. less housekeeping -- no writes to worry about, for a start.<<
  816.  
  817. Well, his point was that if I were to try and trace (in reverese) the ownership
  818. of each sector, it would result in a slower scan.... and he`s correct.  However
  819. what he (and you, apparently) does not know is that my design (on paper) does
  820. not intend to do that. The only time the scanner I`m designing would bother to
  821. look up the ownership of the file is when it finds a string matching one in the
  822. virus table.
  823.  
  824. The reason for this design is that you are also correct; scanning without going
  825. through DOS has the potential for going FASTER, (with certain provisos, of
  826. course) and, as suggested, also will not infect as it goes.
  827.  
  828. >>Sure, it would be incompatible with all the not-straight-DOS implementations
  829. of DOS drives around (emulators, compressed drives, networks...). So, in
  830. those cases, use the regular DOS calls to talk to the filing system.<<
  831.  
  832. Note my earlier response on being limited to standard solutions to non-standard
  833. problems, because of weird iron.
  834.  
  835. ------------------------------
  836.  
  837. Date:    Tue, 23 Nov 93 09:49:58 -0500
  838. From:    hstroem@ed.unit.no
  839. Subject: Re: Scanning below the DOS level (PC)
  840.  
  841. David_Conrad@MTS.cc.Wayne.edu writes:
  842.  
  843. > But one major reason for not scanning at the sector level, the most
  844. > important reason IMNSHO, hasn't been mentioned.  Any scanner which did
  845. > this would lose compatibility with future DOS versions, or with other
  846. > environments (OS/2, Windows NT, UN*X DOS boxen) which emulate DOS.  A
  847. > program which opens and reads a file via handles and standard calls will
  848. > be able to do so under DOS 8.21, even if it uses something like HPFS.
  849. > Any program which tries to redo DOS will get hopelessly confused and fail,
  850. > I hope gracefully, at worst it may fail catastrophically.
  851.  
  852. > Of course, someone might reply that scanners are updated so frequently
  853. > that a new update would follow close on the heels of any major change in
  854. > the DOS filesystem, and a scanner could check the DOS version (but what of
  855. > SETVER?)  
  856.  
  857. There is no need to check for the DOS version. A program working at
  858. sector-level would most likely not work very well with OS/2 and
  859. Windows-NT. Since the low-level support on these platforms are not
  860. sufficient to do "safe" sector reading the same way you do in DOS. A
  861. different program would be needed for running under OS/2 and Windows-NT. 
  862.  
  863. But, talking about future DOS compatibility is something else. The
  864. type of filesystem (FAT/HPFS/NTFS/etc) is described in a one-byte
  865. field in the partition-table (contained in the HD's first sector). And
  866. as long as your program is able to read at sector-level, it should
  867. have no problems finding out what kind of file system it is dealing
  868. with, and use different routines for the different file systems.
  869.  
  870. To handle the low-levels of HPFS and NTFS may not be as easy as
  871. handling the FAT filesystem. So programs like TBScan might have to
  872. tell the user that only FAT partitions may be scanned in a low-level
  873. manner.
  874.  
  875. Sincerely,
  876. Henrik Stroem
  877. Stroem System Soft
  878.  
  879. ------------------------------
  880.  
  881. Date:    Tue, 23 Nov 93 09:53:39 -0500
  882. From:    Fabio Esquivel <FESQUIVE@ucrvm2.bitnet>
  883. Subject: Virstop & Boot sector infectors (PC)
  884.  
  885. Hi gangs.
  886.  
  887. I allways supposed that Virstop.EXE from the F-Prot package was capable
  888. of detecting diskettes infected with a boot sector virus, even a simple
  889. one:  Stoned.
  890.  
  891. VShield shows a message when I issue a DIR command over an infected disk,
  892. but Virstop does not say anything.  F-Prot.EXE identifies it correctly.
  893.  
  894. Is this a bug?  Or a feature (just because boot sector viruses do not
  895. get active when a DIR command is issued)?
  896.  
  897. To Vesselin:  Regarding the question about Frisk's name on viruses...
  898. Check the description of Billboard 1.0 virus on VsumX310.
  899.  
  900. DATA SEGMENT PARA PUBLIC
  901.      name DB 'Fabio Esquivel'            ;  C:\> dir a:
  902.    bitnet DB 'fesquive@ucrvm2.bitnet'    ;  Virus found in drive A:
  903.  internet DB 'fesquive@ucrvm2.ucr.ac.cr' ;  Install, Kill, Panic?_
  904. DATA ENDS
  905.  
  906. ------------------------------
  907.  
  908. Date:    Tue, 23 Nov 93 09:57:26 -0500
  909. From:    hstroem@ed.unit.no
  910. Subject: Re: Attention! False positives in SCAN 108 (PC)
  911.  
  912. Vesselin writes,
  913.  
  914. > 2) SCAN 108 reports the file HS.COM from the arhive hs32.zip as
  915. > containing the "TridenT [TridenT] Virus".
  916.  
  917. > In our particular example, the program HS.COM is encrypted and
  918. > decrypts itself at runtime.
  919.  
  920. Correction; HS.COM and HS.SYS decrypts their DATA AREAS at runtime.
  921.  
  922. > Possible solutions.
  923. > a) Inform the author of HS and ask him to use a different decryption
  924. > routine.
  925.  
  926. I've already fixed the problem. HS is currently at v3.5 and the decryption
  927. routine has been changed to avoid false positives from SCAN 106-109.
  928.  
  929. HS v3.5 (or 3.6) will probably be available on the InterNet before christmas.
  930. I just want to verify that the new Int_10 MBR infector doesn't trick v3.5
  931. before I release it ;-)
  932.  
  933. Sincerely,
  934. Henrik Stroem
  935. Stroem System Soft
  936.  
  937. ------------------------------
  938.  
  939. Date:    Tue, 23 Nov 93 10:19:14 -0500
  940. From:    hstroem@ed.unit.no
  941. Subject: Re: Scanning below the DOS level (PC)
  942.  
  943. Vesselin writes:
  944.  
  945. >> All this, to get past stealth viruses. 
  946.  
  947. >And even without a guarantee to succeed. Virus like Dir_II or Int13
  948. >will be still able to stealth the infection from the scanner.
  949.  
  950. If you take the trouble to handle the low-levels of the FAT
  951. filesystem, you must of course also take the trouble to handle sector
  952. reading and writing in a similarly "secure" manner. This would be
  953. accomplished by calling the ROM BIOS handler for INT 13h directly, or
  954. by writing to the ports of the harddisk controller (good luck :-0). It
  955. will make things even more complicated, but it is nothing the average
  956. antivirus programmer can't handle (right? :-)).
  957.  
  958. Henrik Stroem
  959. Stroem System soft
  960.  
  961. ------------------------------
  962.  
  963. Date:    Sun, 21 Nov 93 11:03:01 -0500
  964. From:    frisk@complex.is (Fridrik Skulason)
  965. Subject: F-PROT 2.10 now available (PC)
  966.  
  967. I just uploaded F-PROT anti-virus, version 2.10 to my primary distribution
  968. site (oak.oakland.edu), and to garbo.uwasa.fi as well.  The file should be
  969. available for download on Monday, November 22nd.
  970.  
  971. This new version adds detection and identification (and in most cases
  972. disinfection) of a record number of new viruses - over 500 new ones
  973. since version 2.09f was released two months ago.
  974.  
  975. - -----------------------------------------------------------------------------
  976.  
  977. >From the NEW.210 file:
  978.  
  979. Version 2.10 - major changes:
  980.  
  981.    We have re-designed the method F-PROT deals with new variants of
  982.    known viruses.  Previously it would always refuse to disinfect a
  983.    virus, even if it was only slightly different from a variant it
  984.    recognized.  Now it will attempt to determine if the new variant
  985.    is sufficiently similar to a known variant to attempt disinfection,
  986.    using the same method as for the known one.  We still would like to
  987.    ask F-PROT users to send us samples of all viruses that are reported
  988.    as new, modified or unknown variants.
  989.  
  990. Version 2.10 - the following problems were found and corrected:
  991.  
  992.    2.09 occasionally missed samples of the Tremor and Phoenix.2000 viruses -
  993.    fixed now.
  994.  
  995.    When disinfecting certain viruses, such as Jerusalem from .COM files,
  996.    F-PROT would not retain the date/time of the file, but instead set
  997.    it to the current date/time.  Fixed.
  998.  
  999.    If F-PROT was run twice in a row from interactive mode, and found some
  1000.    viruses on the first pass, it would occasionally claim the MBR was
  1001.    infected on the second pass.
  1002.  
  1003.    F-PROT would only search for user-defined patterns in boot sectors in
  1004.    "Quick" mode, not in "Secure" - it should have been the other way around.
  1005.  
  1006.    Version 2.09 could not reliably disinfect the "Monkey.B" virus - it was
  1007.    handled correctly on 360K diskettes, but just reported as new or modified
  1008.    variant of Stoned otherwise.
  1009.  
  1010. Version 2.10 - minor improvements and changes:
  1011.  
  1012.    We have significantly increased the use of "exact" identification
  1013.    of viruses, where F-PROT uses a 32-bit checksum to distinguish
  1014.    between very similar variants.  This is one of the explanations
  1015.    for the extremely large number of new variants listed below.    
  1016.  
  1017. Version 2.10 - new viruses:
  1018.  
  1019.    The following 58 viruses are now identified, but can not be removed as
  1020.    they overwrite or destroy infected files.  Some of them were detected by
  1021.    earlier versions of F-PROT, but only reported as "New or modified
  1022.    variant of..."
  1023.  
  1024.     Abraxas (1171 and 1200)
  1025.     Atomic.480
  1026.     Burger (405.B and 8 "no-name" 560 byte variants)
  1027.     Civil War.444
  1028.     Knight
  1029.     Leprosy (350, 647 and Clinton)
  1030.     Milan.WWT.67.C
  1031.     Naught (712 and 865)
  1032.     Proto-T.Flagyll.371
  1033.         SillyOR (60, 66, 68, 69, 74, 76, 77, 88, 94, 97, 98, 99, 101, 
  1034.         102, 107, 109 and 112)
  1035.     Tack (411 and 477)
  1036.     Trivial (26.B, 27, 28, 29, 30.D, 30.E, 40.D, 40.E, 40.F, 42.C, 42.D,
  1037.          43, 44.D, 45.D,and 102)
  1038.     VCL.527
  1039.     Viruz
  1040.     ZigZag
  1041.  
  1042.    The following 448 new viruses can now be detected and removed.  Some of
  1043.    these viruses were detected by earlier versions, but are now identified
  1044.    accurately.
  1045.  
  1046.     3y
  1047.     4-days
  1048.     4res
  1049.     _127
  1050.     _130
  1051.     _132
  1052.     _205
  1053.     _330
  1054.     _409
  1055.     _524
  1056.     _584
  1057.     _593
  1058.     _655
  1059.     _1417
  1060.     _1536
  1061.     _2878
  1062.     Abbas
  1063.     Alabama.C
  1064.     Ambulance.E
  1065.     Andro
  1066.     Andromeda
  1067.     Arcv.companion
  1068.     Armagedon.1079.D
  1069.     Atomic (Toxic, 166, 350 and 831)
  1070.     Attention.C
  1071.     Aurea
  1072.     Australian Parasite.272
  1073.     BadSector
  1074.     Best Wishes (1024.C and 1024.D)
  1075.     Black Jec (284, 323 and 235)
  1076.     Black Monday (1055.E, 1055.F, 1055.G and 1055.H)
  1077.     BloodRage
  1078.     Bootexe
  1079.     Bubonic
  1080.     Bupt.1279
  1081.     Cascade (691, 1701.G, 1701.H, 1701.J, 1701.K, 1701.L, 1704.L,
  1082.         1704.N, 1704.O and 1704.P)
  1083.     Checksum.1253
  1084.     Chris
  1085.     Civil War III
  1086.     Clonewar (238, 546, 923.A and 923.B)
  1087.     Cobra
  1088.     Coib
  1089.     Comasp.633
  1090.     Coffeshop.1568
  1091.     Cybercide.2299
  1092.     Cybertech (501 and 503)
  1093.     Danish Tiny (163 and Kennedy.B)
  1094.     Dark Apocalypse
  1095.     Dark Avenger (1800.F, 1800.G, 1800.H, 1800.I, 1800.Rabid.B,
  1096.         2000.Copy.C, 2000.DieYoung.B, 2100.DI.B, Jericho and Uriel)
  1097.     Dashel
  1098.     DataCrime (1168.B and 1280.B)
  1099.     DataLock (920.K1150 and 1740)
  1100.     Dbase.E
  1101.     Dejmi
  1102.     Destructor.B
  1103.     Devil's Dance (C and D)
  1104.     Digger.600
  1105.     Dos 7 (342, 376 and 419)
  1106.     Dosver
  1107.     Doteater (C, D and E)
  1108.     Dracula
  1109.     Du
  1110.     Dy
  1111.     Dzino
  1112.     Finnish.709.C
  1113.     Friday the 13th (540.C and 540.D)
  1114.     Frodo (F, G and H)
  1115.     Fumble.E
  1116.     Gemand
  1117.     Genc (502 and 1000)
  1118.     Goga
  1119.     Golgi (465 and 820)
  1120.     Granada
  1121.     Grog (Lor, 990 and 1641)
  1122.     Guppy.D
  1123.     Halloechen (B and C)
  1124.     Hates
  1125.     Headcrash.B
  1126.     Helloween (1227, 1384, 1447, 1839, 1888 and 2470)
  1127.     Hi.895
  1128.     Hidenowt
  1129.     HLLC (Even Beeper.C and Even Beeper.D)
  1130.     Infector (759 and 822.B)
  1131.     Intruder.1317
  1132.     Italian Boy
  1133.     IVP (540, Bubbles, Math, Silo and Wild Thing)
  1134.     Jackal
  1135.     Japanese_Christmas.600.E
  1136.     Jerusalem (664,1960,1829.Anarkia, 2223, Anticad.2900.Plastique.B, 
  1137.         Anticad.2900.Plastique.C, Anticad.2900.Plastique.D,
  1138.         AntiCad.3012.C, AntiCad.3012.D, Fu Manchu.D, Sunday.G,
  1139.         Sunday.H, Sunday.I, Sunday.J, 1765, Groen Links.D,
  1140.         PSQR.B, Solano.Syslexia.B, Solano.Subliminal.B, Westwood.B
  1141.         and 31 "no-name" insignificant 1808 byte variants) 
  1142.     Jest
  1143.     K-4 (687 and 737)
  1144.     Kemerovo.257.E
  1145.     Keypress (1215, 1232.D, 1232.E, 1232.G, 1232.H, 1232.I and 2728)
  1146.     Kernel
  1147.     Lapse (323, 366 and 375)
  1148.     Leningrad II
  1149.     Literak
  1150.     Little Girl.985
  1151.     Lockjaw (808 and Black Knight)
  1152.     Lock-up
  1153.     Loki.1234
  1154.     Lyceum.930
  1155.     M_jmp (122, 126 and 128)
  1156.     Magician
  1157.     Manuel (777, 814, 840, 858, 876, 937, 995, 1155 and 1388)
  1158.     Matura.1626
  1159.     Mel
  1160.     Merry Christmas
  1161.     MG (2.D and 3.C)
  1162.     Mgtu (269, 273.B and 273.C)
  1163.     Minimite
  1164.     Mirror.B
  1165.     MPS-OPC II.754
  1166.     Mr. G.314
  1167.     Mshark.378
  1168.     Multi.B
  1169.     Murphy (1277.B and Woodstock)
  1170.     Mutator (307 and 459)
  1171.     Never Mind
  1172.     Nina (B and C)
  1173.     No Bock.B
  1174.     No Frills.835
  1175.     November 17th (690, 800.A and 800.B)
  1176.     Npox (955, 1482, 1722 and 1723)
  1177.     Nygus (163, 227 and 295)
  1178.     Nympho
  1179.     OK
  1180.     Oropax (B and C)
  1181.     Osiris
  1182.     Override
  1183.     Parity.B
  1184.     Particle Man
  1185.     PC-Flu
  1186.     Phx
  1187.     Pit
  1188.     Pixel (277.B, 300, 343, 846, 847.Advert.B, 847.Advert.C and
  1189.         847.Near_End.B)
  1190.     Pojer.1935 (only COM files - EXE files are not infected properly,
  1191.             the virus code is only appended)
  1192.     PS-MPC (331, 349, 420, 438, 478, 481, 513, 547, 564, 574, 578, 597,
  1193.         615, 616, 1341, 2010, Alien.571, Alien.625, Arcv-9.745,
  1194.         Arcv-10, Deranged, Dos3, Ecu, Flex, Geschenk, Grease, Iron
  1195.         Hoof.459, Iron Hoof.462, Napolean, Nirvana, Nuke5, Page,
  1196.         Shiny, Skeleton, Soolution, Sorlec4, Sorlec5, Soup, T-rex,
  1197.         Toast, Toys and McWhale.1022)
  1198.     Quadratic.1283
  1199.     Radyum (698 and 707)
  1200.     Rape (2777.A and 2877.B)
  1201.     Rasek (1489, 1490 and 1492)
  1202.     Red Diavolyata (830.B and 830.C)
  1203.     Retribution
  1204.     Ripper
  1205.     Russian_Mirror.B
  1206.     Sata.612
  1207.     Saturday 14th.B
  1208.     Satyricon
  1209.     Screaming Fist.I.683
  1210.     Shake.B
  1211.     Shanghai
  1212.     SI-492.C
  1213.     SillyC (208 and 215)
  1214.     Sistor (1149 and 3009)
  1215.     Skew.445
  1216.     Slub
  1217.     Smoka
  1218.     Sofia-Term (837 and 887)
  1219.     Stardot.789.C
  1220.     Sterculius
  1221.     Spring
  1222.     Stimp
  1223.     Storm (1172 and 1218)
  1224.     Stupid.Sadam.Queit.B
  1225.     Sundevil
  1226.     Svc (1689.B, 1689.C and 3103.D)
  1227.     Sybille
  1228.     Sylvia (1321 and 1332.E)
  1229.     Syslock (Syslock.C and Syslock.D)
  1230.     Taiwan (708.B, 743.B and 752.B
  1231.     Testvirus-B (B and C)
  1232.     Thirty-three
  1233.     Tic.97
  1234.     Timid.302
  1235.     Tomato
  1236.     Totoro
  1237.     Traveler Jack (854, 979, 980 and 982)
  1238.     Unexe
  1239.     Uruk Hai.427
  1240.     Ussr-707.B
  1241.     Vacsina (634,TP.5.B and TP.16.B)
  1242.     Vbasic.D
  1243.     VCL (506, 507, 604, 951, Anti-Gif, ByeBye, Earthquake, Paranoramia,
  1244.          Poisoning, VF93, VPT and Ziploc)
  1245.     VFSI.B
  1246.     Vienna (566, 623.B, 627.B, 644.C, 648.J, 648.K, 648.O, 648.Reboot.B, 
  1247.         648.Reboot.C, 648.Reboot.D, 648.Q, 648.R, 648.S, 648.X, 758,
  1248.         Choinka.B, Choinka.C, W-13.534.H, W-13.534.I, W-13.534.J,
  1249.         648.Abacus, Bush and IWG)
  1250.     Virdem (1336.Bustard.A, 1336.Bustard.B and 1336.Cheater)
  1251.     Wilbur (B and D)
  1252.     Wildy
  1253.     Willow.2013
  1254.     Wisconsin.B
  1255.     Wolfman.B
  1256.     Wvar
  1257.     Xph (1029 and 1100)
  1258.     Xtac
  1259.     Yankee Doodle.Login.2967
  1260.     Year 1992.B
  1261.     Youth.640.B
  1262.     
  1263.    The following 71 new viruses can now be detected but not yet removed.
  1264.  
  1265.     _1403
  1266.     _1798
  1267.     Arcv (916, Friends.839, Jo.911, Scroll and Slime)
  1268.     Arusiek.817.B
  1269.     Atas II.1268
  1270.     Barrotes.1303
  1271.     Bobo
  1272.     Calc
  1273.     Civil War.552
  1274.     Close
  1275.     Darkray
  1276.     Digger (1000 and 1512)
  1277.     Dir-II (G, J and L)
  1278.     Du
  1279.     Dwi
  1280.     Error Inc
  1281.     Fairz
  1282.     Honey
  1283.     Inoc
  1284.     IVP (Mandela and Swank)
  1285.     Jerusalem.Zerotime.Australian.B
  1286.     Little Red
  1287.     Malmsey.806
  1288.     Marzia
  1289.     Mayak
  1290.     Mr D (A and B)
  1291.     Multichild.110
  1292.     Mutator.780
  1293.     Mystic
  1294.     Necro-fear
  1295.     November 17th.1007
  1296.     Number of the Beast (B.2 and E.2)
  1297.     Phalcon.Emo
  1298.     Predator (1072, 1137, 1148, 1195 and 2448)
  1299.     Proto-T.1053
  1300.     Rape.1885
  1301.     S-bug.Fruit-Fly
  1302.     Sarov
  1303.     Screaming Fist (II.650, II.652 and II.724)
  1304.     Screen+1.1654
  1305.     Seat
  1306.     Serene
  1307.     Shoo (2803 and 2824)
  1308.     Skater (699, 977 and 1021)
  1309.     Soupy (1001 and 1072)
  1310.     Student
  1311.     Suriv 1. Xuxa.1405
  1312.     SVC.2936
  1313.     Svm
  1314.     Velvet
  1315.     Yankee Doodle.2189
  1316.     Zherkov.2435
  1317.  
  1318.    The following 3 viruses which were detected by earlier versions can
  1319.    now be removed.
  1320.  
  1321.     HLL (3680 and Antiline)
  1322.     Loren
  1323.  
  1324. ------------------------------
  1325.  
  1326. Date:    Sat, 20 Nov 93 18:10:22 -0500
  1327. From:    "Rob Slade" <roberts@decus.ca>
  1328. Subject: 1.2 Getting Started (CVP)
  1329.  
  1330. BEGPAN4.CVP  931015
  1331.  
  1332.                        1.2 - Getting Started
  1333.  
  1334. You likely have more resources than you realize.  First of all, your
  1335. own observations.  If you can keep cool, and not panic, you can
  1336. probably note and recall more than you think.  Don't consider this
  1337. as a potential loss of your accounts receivable, look at it as a
  1338. detective story.  Look for the clues.
  1339.  
  1340. Get some paper and a writing implement.  (Pen, pencil, sharp piece
  1341. of coal: in this situation, who's fussy?)  You will want to be as
  1342. accurate and detailed as possible.  Most crimes aren't solved by
  1343. "Elementary, my dear Watson," cerebrations, but by "Just the facts,
  1344. ma'am," deliberations.  Start writing now.  What type of computer is
  1345. it?  What operating system?  What version of the operating system?
  1346. What happened?  (In detail.)
  1347.  
  1348. Now start to inventory your resources.  First, you want anything
  1349. that can tell you about this machine.  Do you have invoices with
  1350. details of the machine such as the operating system and version? 
  1351. Invoices for the software?  Was a file created for this machine? 
  1352. Have you got a file listing from the last time anything was added to
  1353. it?  What *was* the last thing added to it?  Have you got a file
  1354. listing from when it was first set up?  Have you got a recent
  1355. backup?  (You do?  Fortunate mortal!)
  1356.  
  1357. Next, look for software that can tell you things about the present
  1358. state of the machine.  You do have some.  There is a fair amount the
  1359. operating system itself can tell you.  How much disk space is left? 
  1360. Has that changed a lot?  Memory is a *very* important factor.  The
  1361. Mac system info will tell you what programs are using how much
  1362. memory.  The MS-DOS CHKDSK program will tell you not only about the
  1363. disk space and other interesting things, but also about the "total
  1364. memory," which can sometimes pinpoint specific viral programs.  If
  1365. you have MS-DOS 5 or higher, MEM/C can give you a *lot* of
  1366. information.  Even if you can't use it, people you call on for help
  1367. might be able to.
  1368.  
  1369. Do you have utility or disk tool programs?  These can also give you
  1370. valuable information.  Both commercial and shareware utilities can
  1371. help here.  If the computer is still working reasonably well, look
  1372. at the memory statistics.  Look at the files.  Are there a lot of
  1373. hidden files?  Are there a lot of new files?  Are there a lot of
  1374. files with very close "creation dates"?  Look at the disk boot
  1375. sector, and the master boot record.  There should be some common
  1376. system messages there.  If you don't see them, or see some odd
  1377. messages, that's an indication, too.
  1378.  
  1379. Are you writing all this down?  Or, if the printer is still working,
  1380. printing the screen to save all the data?  (Starting to feel less
  1381. panicked?  Yes, you usually feel better when you have something to
  1382. do.)
  1383.  
  1384. copyright Robert M. Slade, 1993   BEGPAN4.CVP  931015
  1385. Permission granted to distribute with unedited copies of the Digest
  1386. ======================
  1387. DECUS Canada Communications, Desktop, Education and Security group newsletters
  1388. Editor and/or reviewer ROBERTS@decus.ca, RSlade@sfu.ca, Rob Slade at 1:153/733
  1389. DECUS Symposium '94, Vancouver, BC, Mar 1-3, 1994, contact: rulag@decus.ca
  1390.  
  1391. ------------------------------
  1392.  
  1393. Date:    Sat, 20 Nov 93 18:17:19 -0500
  1394. From:    "Rob Slade" <roberts@decus.ca>
  1395. Subject: Quick reference antiviral review chart
  1396.  
  1397. QUICKREF.RVW   931114
  1398.  
  1399.                     Quick reference antiviral review chart
  1400.  
  1401. This listing is intended to give a quick overview guide to the comparative
  1402. features and effectiveness of the many different antiviral products.  If the
  1403. version numbers are out of date, please send updated copies for review to Rob
  1404. Slade at the address given at the end of this list.
  1405.  
  1406. Product            Ver   Type   UI Doc Ease Ovrl Price Comments
  1407.                         SDRIMOE  CG 1-4  I U  1-4
  1408.                   |    |       |   |   |    |    |     |
  1409. Amiga
  1410.  
  1411. BootX (discontined)5.23  SDRM     G               free
  1412. amiga.physik.unizh.ch, ux1.cso.uiuc.edu 
  1413. or wuarchive.wustl.edu /mirrors2/amiga.physik.unizh.ch/util/virus
  1414.  
  1415. Computer Virus Cat.9308  info        4         4  Free
  1416. CARO, cert
  1417.  
  1418. LDV                1.73
  1419.  
  1420. VirusChecker       6.26                           free
  1421. amiga.physik.unizh.ch, ux1.cso.uiuc.edu or wuarchive.wustl.edu
  1422.  
  1423. VirusX             (outdated?)
  1424. s.tibbett on BIX
  1425.  
  1426. VirusZ             3.06
  1427.  
  1428. Virus Tracker      2.45
  1429.  
  1430. ZeroVirus
  1431.  
  1432.  
  1433. Atari
  1434.  
  1435. Chasseur II              D                              ATCHSSR2.RVW
  1436. atari.archive.umich.edu 
  1437.  
  1438. FCHECK             25      I                            ATFCHECK.RVW
  1439. atari.archive.umich.edu 
  1440.  
  1441. Protect6                 DR                             ATPROTCT.RVW
  1442. atari.archive.umich.edu or larserio@ifi.uio.no
  1443.  
  1444. Sagrotan           4.12 S                               ATSAGRTN.RVW
  1445. atari.archive.umich.edu 
  1446.  
  1447. VIRUSDIE                S                               ATVIRDIE.RVW
  1448. atari.archive.umich.edu 
  1449.  
  1450. Computer Virus Cat.9308  info        4         4  Free
  1451. CARO, cert
  1452.  
  1453. VKILLER            3.84 SD                              ATVKILLR.RVW
  1454. woodside@ttidca.com or atari.archive.umich.edu /atari/Utilities/Virus
  1455.  
  1456.  
  1457. Mac
  1458.  
  1459. Advanced Security (see MS-DOS)
  1460.  
  1461. Computer Virus Cat.9308  info        4         4  Free
  1462. CARO, cert
  1463.  
  1464. Disinfectant       3.3  SDR                       Free
  1465. nwu, sumex-aim.stanford.edu, mac.archive.umich.edu
  1466.  
  1467. Gatekeeper       1.2.9    R MO                    Free
  1468. Chris Johnson
  1469.  
  1470. Rival
  1471. Microseeds Publishing
  1472.  
  1473. SAM                3.0.8SD  M                     $99
  1474. Symantec/Norton
  1475.  
  1476. Virex              4.1 (see MS-DOS, product not by same author)
  1477.  
  1478. VirusDetective     5.10.5
  1479. Jeff Shulman
  1480.  
  1481.  
  1482. MS-DOS
  1483.  
  1484. Advanced Security          I OE  C   2   2 3   1        PCADVGRV.RVW
  1485. Advanced Gravis (no longer supported)
  1486.  
  1487. AntiViral ToolKit 1.07B S  IM                      $20
  1488. CARO, eugene@kamis.msk.su
  1489.  
  1490. Antivirus (IRIS)        SDR M    C   2   2 4   2   $49  PCANTIVR.RVW
  1491. Fink Enterprises
  1492.  
  1493. Antivirus-Plus          SDR M    C   2   2 4   2   $99  PCANTIVP.RVW
  1494. Trend Micro
  1495.  
  1496. Anti-Virus Toolkit 6.0? SDRIMO   CG  3   2 3   4        PCDSAVT.RVW
  1497. S&S International Ltd., sands@cix.compulink.co.uk, perComp Verlag, Ontrack
  1498.  
  1499. Central Point Anti-virusSDRI O    G  3   2 2   2        not coexist with others
  1500. Central Point                                           PCCPAV.RVW
  1501.  
  1502. Certus LAN         2.0  SD I O   CG  2   1 3   2        PCCERTUS.RVW
  1503. Certus (no longer supported?  cf Norton AntiVirus)
  1504.  
  1505. Computer Virus Cat.9308  info        4         4  Free
  1506. CARO, cert
  1507.  
  1508. Control Room               I      G  2   4 4   2        PCCTRLRM.RVW
  1509. Borland
  1510.  
  1511. Data Physician +  3.1A  SDRIM    C   2   2 2   2        PCDATPHS.RVW
  1512. Digital Dispatch
  1513.  
  1514. DISKSECURE        2.32A    IM    C   2   3 3   4        BSIs only
  1515. risc, urvax, eugene cf also FixMBR, FixUTIL             PCDSKSEC.RVW
  1516. SafeMBR, CHKSMBR, CHKMEM, CHKBOOT in FixUtil etc. are free
  1517.  
  1518. Eliminator         1.17 SDR      C   3   2 3   2        PCELMNTR.RVW
  1519. Thecia
  1520.  
  1521. F-PROT            2.09F SDR      CG  3   3 3   4 home - free, bus. - $1/CPU
  1522. frisk@complex.is, risc, urvax, eugene, garbo            PCFPROT.RVW
  1523.  
  1524. Hoffman Summary    310    info    G  3         3  $35
  1525. risc, urvax, eugene
  1526.  
  1527. HTScan             2.0  S        C   2   3 3   3  Free (non-comm.)
  1528. (also VSIG         9303)
  1529. risc, urvax, eugene, garbo
  1530.  
  1531. HyperACCESS/5           S        C   2   1 2   2        PCHA5.RVW, term program
  1532. Higraeve                                                 with scanner
  1533.  
  1534. IBM Antivirus/DOS  1.03 SRDI     CG  2   2 2   3  $35   PCIBMAV.RVW
  1535. local IBM rep
  1536.  
  1537. Integrity Master   2.11 S  I     CG  3   3 3      $35   PCIM.RVW
  1538. risc, urvax, eugene
  1539.  
  1540. LANProtect         1.1  S        CG  1   2 2   2
  1541. Intel
  1542.  
  1543. Mace Vaccine       3.0      M     G  1   3 2   1        PCMACE.RVW
  1544. Fifth Generation
  1545.  
  1546. Norton AntiVirus        SDRI      G  2   3 2   3  $130  PCNRTNAV.RVW
  1547. Symantec/Norton
  1548.  
  1549. PC-Cillin         2.95L SDRIM     G  3   3 3   2  $139  PCCILL2N.RVW
  1550. Trend Micro
  1551.  
  1552. SafeWord Virus-Safe1.12    I     C   2   3 4   3        PCSAFWRD.RVW
  1553. Enigma Logic
  1554.  
  1555. Thunderbyte Utility6.08 SDRIMOE  C   2   2 3   3  $29   PCTBSCAN.RVW
  1556. risc, urvax, eugene, garbo
  1557.  
  1558. VACCINE (WWS)      5.00 SD IMO   C   2   1 2   2        PCWWSVCN.RVW
  1559. The Davidsohn Group
  1560.  
  1561. VACCINE (Sophos)   9111 S  I     CG  2   2 2   3        PCSOPHOS.RVW
  1562.  
  1563. Untouchable        1.1  SDRIM    CG  2   2 2   2        PCUNTUCH.RVW
  1564. Fifth Generation Systems
  1565.  
  1566. VDS                2.10T   I     CG  2   2 3   2        PCVDS.RVW
  1567. risc, urvax, eugene
  1568.  
  1569. VET                7.0? SDRIM    C                      PCVET (in process)
  1570. Cybec
  1571.  
  1572. Victor Charlie     5.0     IM    C   3   2 3   3  $99   PCVC.RVW
  1573. Delta Base Enterprises
  1574.  
  1575. Virex-PC           2.91 SDRIM     G  4   2 4   4   $49  PCVIREX.RVW
  1576. Datawatch (VIRx now assumed under this product)
  1577.  
  1578. ViruCide           2.41 SD        G  3   4 3   3   $49  PCVIRCID.RVW
  1579. Parsons Technology
  1580.  
  1581. Virus0Buster       3.75 SDRIMO   CG  3   3 3   4        PCVRBSTR.RVW
  1582. Leprechaun Software (70451.3621@compuserve.com)
  1583.  
  1584. VIRUSCAN Suite     108  SDRIM    C   2   2 2   3  ~$25/module
  1585. risc, urvax, SIMTEL, garbo, mcafee.com                  PCSCAN.RVW
  1586.  
  1587. VirusSafe LAN      4.01 SDRI O   CG  2   2 3   2        PCVIRSAF.RVW
  1588. EliaShim Micro
  1589.  
  1590. VIRx               (see Virex-PC)
  1591.  
  1592. Vi-Spy             10.0 SDR M    CG  2   2 3   3  $150  PCVISPY.RVW
  1593. RG Software Systems
  1594.  
  1595.  
  1596. OS/2
  1597.  
  1598. HyperACCESS/5           S        C   2   1 2   2        PCHA5.RVW, term program
  1599. Higraeve                                                 with scanner
  1600.  
  1601. IBM Antivirus/OS/2 1.03 SRDI     CG  2   2 2   3  $35   PCIBMAV.RVW
  1602. local IBM rep
  1603.  
  1604. SCAN/OS/2 Suite    108  SDRIM    C   2   2 2   3  ~$35/module
  1605. risc, urvax, SIMTEL, garbo, mcafee.com
  1606.  
  1607.  
  1608. UNIX
  1609.  
  1610. Computer Virus Cat.9308  info        4         4  Free
  1611. CARO, cert
  1612.  
  1613. Tripwire                   I                      Free
  1614. ftp.cs.purdue.edu pub/spaf/COAST/Tripwire
  1615.  
  1616.  
  1617.                   |    |       |   |   |    |    |     |
  1618.  
  1619. Key:
  1620.  
  1621. Type - S=scanner, D=disinfection (restoration of state), R=resident,
  1622.           I=integrity checking, M=activity monitor, O=operation restricting,
  1623.           E=encryption
  1624.  
  1625. UI - user interface - C=command line, G=menu or GUI
  1626.  
  1627. The following are based on a 1=poor - 4=excellent scale
  1628. Doc - documentation
  1629. Ease - I=installation, U=use
  1630. Ovrl - overall rating for general use
  1631.  
  1632. Sites:
  1633.  
  1634. CARO - ftp.informatik.uni-hamburg.de (134.100.4.42)
  1635. cert - cert.org (192.88.209.5)
  1636. eugene - eugene.utmb.edu (129.109.9.21)
  1637. garbo - garbo.uwasa.fi (128.214.87.1)
  1638. nwu - ftp.acns.nwu.edu (129.105.113.52)
  1639. risc - risc.ua.edu (130.160.4.7)
  1640. simtel - wsmr-simtel20.army.mil
  1641. urvax - urvax.urich.edu (141.166.36.6)
  1642.  
  1643. For others see Jim Wright's postings.
  1644. For more detailed reviews see /pub/virus-l/docs/reviews at cert
  1645. For general virus info see VIRUSFAQ.TXT at cert
  1646.  
  1647. Please send updated versions of antivirals to Rob Slade at 3118 Baird Road,
  1648. North Vancouver, BC, Canada, V7K 2G6.  Please note that all shipments from
  1649. outside of Canada should state very clearly that the material is for evaluation
  1650. and has no commercial value.  In addition, it is advisable to declare a media
  1651. cost of $1 per disk and an "intellectual property" value of $1 per item such
  1652. that the total does not exceed $15.  Neither Rob Slade nor V.I.R.U.S. take any
  1653. responsibility for shipments delayed or refused at Customs for failure to
  1654. follow these directions.
  1655.  
  1656. copyright Robert M. Slade, 1992, 1993   QUICKREF.RVW   931114
  1657.  
  1658. ==============
  1659. Vancouver      ROBERTS@decus.ca         | "It says 'Hit any
  1660. Institute for  Robert_Slade@sfu.ca      | key to continue.'
  1661. Research into  rslade@cue.bc.ca         | I can't find the
  1662. User           p1@CyberStore.ca         | 'Any' key on my
  1663. Security       Canada V7K 2G6           | keyboard."
  1664.  
  1665. ------------------------------
  1666.  
  1667. Date:    Mon, 29 Nov 93 09:43:26 -0500
  1668. From:    "Kenneth R. van Wyk" <krvw@assist.ims.disa.mil>
  1669. Subject: Administrative: Call for volunteers
  1670.  
  1671. VIRUS-L/comp.virus readers:
  1672.  
  1673. As you're all aware, there are several ongoing activities that are
  1674. made available to this group, such as the Frequently Asked Questions
  1675. (FAQ) list, the archive site maintenance, etc.  Most of these are
  1676. "background tasks" that people have volunteered to work on over the
  1677. years.  I'm personally finding less and less time to devote to these
  1678. things, so I'd like to solicit volunteers to spearhead a couple of
  1679. these things.
  1680.  
  1681. Specifically, I'm looking for volunteers to do each of the following:
  1682.  
  1683. - - Update and maintain the FAQ sheet.
  1684. - - Coordinate and post product reviews.
  1685. - - Maintain an anonymous FTP area containing the VIRUS-L/comp.virus
  1686.   archives (i.e., back issues, documents, reviews).
  1687.  
  1688. If anyone would like to take on any or all of these tasks, please let
  1689. me know.  Unfortunately, all that I can offer in return is my
  1690. gratitude, and due credit on all of the work.  I can also guarantee
  1691. that you'll meet plenty of interesting people.
  1692.  
  1693. Thanks,
  1694.  
  1695. Ken
  1696.  
  1697. Kenneth R. van Wyk
  1698. Chief, Operations
  1699. Automated System Security Incident Support Team (ASSIST)
  1700. Center for Information Systems Security (CISS)
  1701. Defense Information Systems Agency (DISA)
  1702. Moderator, VIRUS-L/comp.virus
  1703. krvw@ASSIST.IMS.DISA.MIL
  1704.  
  1705. ASSIST Hotline: +1 703 756 7974
  1706. ASSIST e-mail:  assist@assist.ims.disa.mil
  1707.  
  1708. ------------------------------
  1709.  
  1710. End of VIRUS-L Digest [Volume 6 Issue 151]
  1711. ******************************************
  1712.