home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / virus2.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  11.4 KB  |  284 lines
  1.  
  2.   ┌───────────────────────────────┐
  3.   │  THE VIRUS INFORMER           │
  4.   │  your weekly virus newsletter │     When buying 'pre-formatted' blank
  5.   │  by Mark E. Bishop edited by  │     disks, don't trust that they are
  6.   │  Alan Bechtold                │     virus free, SCAN THEM FIRST!
  7.   └───────────────────────────────┘
  8.  
  9.  
  10.      CHAPTER 2:  'FROM THE VIRUS MESSAGE BOARD'
  11.                   real life people and their virus questions
  12.  
  13.  
  14.      The following messages are taken from various online anti-virus
  15.  research systems.  The names have been changed and the content edited.  They
  16.  cover situations and people's computers from all over the country.  You
  17.  should find these messages very interesting.  MAKE USE THIS INFORMATION.
  18.  
  19.  
  20.  
  21.  QUESTION: 1    ZARAGOZA MAKES IT VISIT TO TOWN, ARE YOU NEXT?
  22.  
  23.  
  24.      I just received my SCAN93 program and ran it showing no viruses on my
  25.  systems. However, when I ran it on my network it then reported that I
  26.  had a virus with the name of ZARAGOZA active in memory and that I should
  27.  power down.  What is this virus and why does it show on my network and not
  28.  my PC?
  29.  
  30.  ANSWER: 1
  31.  
  32.      The ZARAGOZA virus is a .COM and .EXE., and overlay file infector
  33.  that infects when a file is 'open' common in the use of networks.  It
  34.  was first reported from Zaragoza, Spain, and has been reported just
  35.  recently here in the United States.
  36.  
  37.  
  38.  
  39.  QUESTION: 2    DOS 5 IS SPIRIT-FILLED AND CAUSES HAVOC
  40.  
  41.  
  42.      Recently I have had an interesting phenomenon occur on my computer
  43.  system.  When I run CHKDSK has revealed pairs of files existing on my
  44.  hard drive and on my floppy.  The files have certain unique characteristics
  45.  such as:
  46.  
  47.                    1.  Their length is always zero '0'
  48.                    2.  Their date and time are always the current ones
  49.                    3.  They can't be referred to in any way
  50.                    4.  Their names are both fixed and variable.  The first
  51.                        three characters are fixed for each pair, "BFC."
  52.                    5.  And they can't be removed.
  53.  
  54.      Do I have a virus or what, HELP!
  55.  
  56.  
  57.  ANSWER: 2
  58.  
  59.      The files that you have mentioned above are 'temporary files' that
  60.  are created by DOS when you use the PIPE "|" command.  At the end of the
  61.  piping they are deleted.  It is possible that you have a program that is
  62.  abnormal terminating the piping process and as a result these mystery
  63.  files are being left on your disk.
  64.  
  65.  
  66.  
  67.  QUESTION: 3    VALIDATE MY PARKING PLEASE, ER RATHER MY PROGRAM!
  68.  
  69.  
  70.      What is this 'Validation' program I keep seeing in my downloads?
  71.  Is this a program that helps detect computer viruses?  I'm confused!
  72.  
  73.  
  74.  ANSWER 3:
  75.  
  76.     VALIDATE is always with any McAfee anti-virus program and one
  77.  you're seeing also on many other quality Shareware programs.  Validate is
  78.  a 'file-authentication' program that is used to check software programs
  79.  from tampering.
  80.  
  81.      VALIDATE uses two discrete methods to generate what is known as a
  82.  Cyclic Redundancy Check (known as CRCs) which are then displayed to the
  83.  user to compare against the known value for the program being validated.
  84.  
  85.      For example, let's say that I write a computer software program and
  86.  as the author I know that my program is exactly 53,245 bytes in size.  If
  87.  I use my Validate program on the file name it should tell me that the file
  88.  is indeed EXACTLY that size.  Remember, a computer virus will generally
  89.  increase the SIZE of a .COM or .EXE file.
  90.  
  91.  
  92.      HOW TO USE VALIDATE:
  93.  
  94.      Okay, for example purposes let's say that my GIZBO.EXE program is
  95.  53,245 bytes.  How do I check that out as a guy who just downloaded my
  96.  file back in Kansas, here's how:
  97.  
  98.  
  99.        ->     VALIDATE GIZBO.EXE     <- this is the exact size of the
  100.                                         program itself.
  101.  
  102.  
  103.        this is what you see next ...
  104.  
  105.              Filename: GIZBO.EXE
  106.                  Size: 53,245
  107.                  Date: 3-25-1992     <- this information proves that
  108.                                         the file has NOT be altered.
  109.              File Authentication
  110.  
  111.          Check Method 1 - 9215
  112.          Check Method 2 - 0CA6
  113.  
  114.  
  115.      To CONFIRM that a program is in its original and un-tampered state,
  116.  run the VALDIATE program on it, record the validation information (see
  117.  above) and then compare it with what the author says the size should be.
  118.  
  119.  Note:  Do not rely completely upon the documentation that came with your
  120.  download UNLESS you received that program directly from the author or
  121.  company themselves!  Documentation can be changed.
  122.  
  123.   ------------
  124.   SPECIAL NOTE about the authentification program and McAfee products:
  125.   ------------
  126.  
  127.      Beginning with Version 72, all McAfee Associates programs for
  128.  download are archived with PKWare's PKZIP Authentic File Verification.
  129.  If you do not see the "-AV" message after every file is unzipped and
  130.  receive the message "Authentic Files Verified! # NWN405  Zip Source:
  131.  McAFEE ASSOCIATES" when you unzip the files then do not run them.
  132.  
  133.      If your version of PKUNZIP does not have verification ability, then this
  134.  message may not be displayed.  Please contact McAfee Associates if
  135.  your .ZIP file has been tampered with.
  136.  
  137.  * The above questions are REAL.  However, the names of the message senders
  138.    has been changed and the messages also have been edited.
  139.      Does anyone know what in the heck is the 'BLOODY' computer virus?
  140.  It's also know as the AZUSA virus.  It apparently is infecting my boot
  141.  sector of my floppy diskettes.  Now MANY of my clients have this virus
  142.  and I need to know how to remove it.  Please Help!
  143.  
  144.      Also, is this virus dangerous?  Is it destructive at all?  So far
  145.  it seems that it only slows down the system and sometimes sends un-
  146.  authorized messages to the user.
  147.  
  148.     AN IMPORTANT NOTE ABOUT THE STONED VIRUS:  Removing the Stoned virus can
  149.  cause loss of the partition table on systems with non-standard formatted hard
  150.  disks.  As a precaution, backup all critical data before running CLEAN-UP.
  151.  Loss of the partition table can result in the LOSS OF ALL DATA ON THE DISK.
  152.  
  153.  
  154.  QUESTION: 4     DOWNLOADED COPY OF SCAN AND DOES NOT HAVE -AV
  155.  
  156.  
  157.      I just took of my BBS a copy of SCAN93.ZIP and after unzipping the
  158.  program I noticed that after each file was unzipped it did not have the
  159.  Validation Code, -AV, shown to the right of each file as it unzipped.
  160.  Also, it had an advertisement for a BBS inside the file.  Is this okay to
  161.  use or should I make sure it has the Authentication code first?
  162.  
  163.   ANSWER: 4
  164.  
  165.      SEE how to read and understand the Validation Code and -AV in question
  166.  #3 above.  Any of McAfee's Shareware programs are safe to use and have not
  167.  been modified when you see the "-AV" displayed after each file that is
  168.  uncompressed and that you run the "Validate" program and make sure the
  169.  program(s) is the exact size it says it is.
  170.  
  171.  
  172.   QUESTION: 5   VIRUSES ON OS/2?
  173.  
  174.  
  175.      I'm a recent convert to OS/2 2.0 operating software and was curious
  176.  about the availability of any virus scanning programs for this platform.
  177.  Does McAfee Associates have such a program or any plans in having an anti-
  178.  virus program for OS/2?  I still use SCAN to check all of my DOS programs
  179.  and that program runs well under OS/2 in DOS mode.  Thank you.
  180.  
  181.   ANSWER:  5
  182.  
  183.      There are currently NO OS/2 viruses as of yet, but we're not taking
  184.  any chances.  Presently we are looking into OS/2 virus protection and intend
  185.  to develop an anti-viral program for OS/2 which should be available by
  186.  mid-summer.  Stay tuned as THE VIRUS INFORMER newsletter will keep you
  187.  informed.
  188.  
  189.   -------------
  190.     The below  portion was seen in last week's THE VIRUS INFORMER.  A few
  191.  users have asked to see it again.  So, by popular demand.
  192.   -------------
  193.  
  194.  
  195.   ----------
  196.   VIRUS HINT ... preventing computer viruses from infecting you!
  197.   ----------     The following is a hardware attempt to prevent writes
  198.                  to your hard disk.  DO NOT attempt this if you are not
  199.                  experienced with the inside workings of your computer!
  200.  
  201.  
  202.  
  203.      Here is how you can virus-proof a PC that has MFM or RLL disk drives (st-
  204.  506).  Basically, you can add a write protect switch for one of the two disks
  205.  (I recommend C:) and put all your executables on it, along with dos.  It's
  206.  very simple, almost anyone can do it.  This is it:
  207.  
  208.                            _                                       _
  209.  =============|           | |                                     | |
  210.  Controller   |===========| |=====================================| |
  211.               |           | |           .XX cut wire 6 XX.        | |
  212.              1|===========|1|===========|================|========|1|
  213.  =============|   /^\     |_|           |                |        |_|
  214.                    |    Drive D:        |                |    Drive C: 34 Pin
  215. Hard Disk   |     Conn.          |                |     Conn. Ribbon Cable
  216. -More-_____|                    |                |
  217.                                         |__________o/o___|
  218.                                                  Switch
  219.                                                  Open=Protected
  220.                                                  Closed=Unsafe
  221.  
  222.     Okay, here's what's going on.  We have interrupted pin 6, which is
  223.  writegate.  Leave the terminator resistors in on both drives, and make sure
  224.  both sets are in or you will blow the data on drive C:.
  225.  
  226.     What I suggest is you use the keyboard lock key switch on the front of
  227.  most pc's.  The little lock icon is correct.  With the switch in the lock
  228.  position, all writes to C: will be ignored, without any error or warning
  229.  message.  With the switch in the unlock position, the system will behave
  230.  normally.  You must look at the motherboard and jumper the connector that the
  231.  switch used to go to, usually this can be done with a 0.1" shunt like is used
  232.  to set unit ID on many disk drives.
  233.  
  234.     Or if you wish, you can drill a hole in your case and install a switch or
  235.  key interlock or whatever.  You could also use the turbo switch.  I like the
  236.  key switch because it's more idiot resistant.
  237.  
  238.     Wire 1 on the ribbon cable has a red stripe on it, and you just count
  239.  wires to wire 6.  You obviously need to solder extension wires to reach the
  240.  switch.  Don't make them over 2 feet long, though.  The shorter the better.
  241.  
  242.     With the switch in the locked position, you are completely immune to boot
  243.  sector viruses, and file infectors who try to infect executables on drive c:.
  244.  Since this solution is 100% hardware, there is no way that a present or
  245.  future virus can get past it.
  246.  
  247.  
  248.   PERFECT FOR COMPUTER LABS AND RESEARCHERS!
  249.  
  250.     This technique is ideally suited to virus researchers, and university
  251.  "data slut" computing center machines.  This way, the dos, networking code,
  252.  compilers, and word processing software could stay intact on a machine.  The
  253.  students would be directed to place their data on drive D: Only the facility
  254.  director would have the unlock key.
  255.  
  256.     For the techie: it doesn't hurt to doubly terminate the st506 control bus.
  257.  The margins are sufficient to make it reliable.  If it bugs you, use an
  258.  ohmmeter to figure out which terminator pin is wire 6 on the 34 pin cable,
  259.  and clip off all other terminator pins on drive C:.
  260.  
  261.  * questions and answers have bee modified or adapted from original
  262.    material for editing purposes.
  263.  
  264.  
  265.   - end -
  266.  
  267.  
  268.  
  269.  
  270.  
  271.  
  272.  
  273.  
  274.  
  275.  
  276.  
  277.  
  278.  
  279.  
  280.  
  281.  
  282.  
  283.  - end - 
  284.