home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker Chronicles 1 / HACKER1.ISO / misc / v05i006.txt

< prev

next >

Wrap

Internet Message Format  |  1992-09-27  |  34KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V5 #6
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Tuesday, 14 Jan 1992    Volume 5 : Issue 6
9.  
10. Today's Topics:
11.  
12. Virus vector Identified (PC)
13. Odd Problem with F-PROT 2.01 (PC)
14. Re: Looking for info on "Friday the 13th" virus (PC)
15. Re: Question re Stoned (PC)
16. Re: password program (PC)
17. Re: List of Viruses (PC)
18. Re: Norton Anty Virus (PC)
19. Re: Joshi Virus and IDE Hard Drives (PC)
20. Re: Norton Anty Virus (PC)
21. Re: List of Viruses (PC)
22. Re: Looking for info on "Friday the 13th" virus (PC)
23. Philosophy and Time (PC)
24. Info about UNIX viruses (UNIX)
25. I/O bound CPU bound definitions
26. New Antivirus Organization Announced
27. Write protection - software
28.  
29. VIRUS-L is a moderated, digested mail forum for discussing computer
30. virus issues; comp.virus is a non-digested Usenet counterpart.
31. Discussions are not limited to any one hardware/software platform -
32. diversity is welcomed.  Contributions should be relevant, concise,
33. polite, etc.  (The complete set of posting guidelines is available by
34. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
35. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
36. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
37. Information on accessing anti-virus, documentation, and back-issue
38. archives is distributed periodically on the list.  Administrative mail
39. (comments, suggestions, and so forth) should be sent to me at:
40. krvw@CERT.SEI.CMU.EDU.
41.  
42.    Ken van Wyk
43.  
44. ----------------------------------------------------------------------
45.  
46. Date:    09 Jan 92 15:57:05 +0000
47. From:    suned1!slced1.Nswses.Navy.Mil!lev@elroy.Jpl.Nasa.Gov (Lloyd E Vancil)
48. Subject: Virus vector Identified (PC)
49.  
50. The following received wide distribution at this location. I strongly
51. advise anyone out there who works for Uncle Sam to be aware and take
52. proper steps.
53. L.V.
54.  
55. [Printed with permission]
56.                                                        5230
57.                                                        01-MB
58.                                                        8 JAN 92
59. MEMORANDUM
60.  
61. From:  Executive Officer
62.  
63. Subj:  COMPUTER VIRUS
64.  
65. Ref:   (a) CINCPACFLT Pearl Harbor HI 250649Z Dec 91
66.  
67. 1.  Following extracted from reference (a) and forwarded for your
68. information:
69.  
70.     QUOTE  1.  Information has been received concerning the
71.     receipt (principally by Public Affairs Offices (PAO)) of a
72.     quantity of rambling, disjointed literature and a computer
73.     disk from a "Masterfard Muhammad" of Chicago, IL.  Some of the
74.     packages were mailed from Manhattan and Junction City,
75.     Kansas.
76.  
77.     2.  The diskette enclosed with the material has been found to
78.     contain a version of the "stoned" computer virus which is a
79.     boot sector virus which will contaminate the hard disk of a
80.     personal computer when booted and cause a "hard disk crash" to
81.     the infected microcomputer.
82.  
83.     3.  If the material described above is received, do not open
84.     the package.  Contact your servicing NIS activity for
85.     disposition instructions.  UNQUOTE
86.  
87.                                 M. S. BACIN
88.  
89. Distribution D                                                                 
90.          
91.  
92. - --
93. |suned1!lev@elroy.JPL.Nasa.Gov|lev@suned1.nswses.navy.mil|sun!suntzu!suned1!lev
94. |
95. |S.T.A.R.S. The revolution has begun!|  My Opinions are Mine mine mine hahahah!
96. |
97.  
98. ------------------------------
99.  
100. Date:    09 Jan 92 12:40:00 -0600
101. From:    "William Walker C60223 x4570" <WALKER@aedc-vax.af.mil>
102. Subject: Odd Problem with F-PROT 2.01 (PC)
103.  
104. While testing F-PROT 2.01 against my suite of captive viri, I noticed a
105. curious behavior.  When F-PROT prompted to "Press ENTER to scan next
106. diskette," I swapped diskettes, pressed ENTER, and F-PROT began scanning
107. the diskette, but the files it reported scanning were those on the
108. previous diskette.  Removing and reinserting the diskette didn't help
109. any.  Only when I quit and restarted the program did it scan the diskette
110. correctly.  However, this was 100% repeatable -- when I changed diskettes
111. again F-PROT reported scanning the files on the first diskette.  Other
112. scanners work correctly when scanning multiple diskettes, and the machine
113. (Unisys 3256 25MHz 386 w/12MB RAM, 3.5" and 5.25" floppies, 340MB SCSI
114. hard disk, DOS 4.01) is working OK.  No disk-caching programs are
115. resident.  Booting from a clean, pure DOS 4.01 floppy didn't help, either.
116. Also, this problem was only present with drive B: (5.25" 360K).  F-PROT
117. otherwise worked OK, and when it correctly read the diskettes, it detected
118. all viri presented.
119.  
120. Has anyone else encountered this problem with F-PROT 2.01?  Does anyone
121. have any ideas what might be causing this, if it's not F-PROT?  Please
122. excuse me if this has already been brought up -- I haven't had the
123. opportunity to read through all of my back issues of VIRUS-L as thoroughly
124. as I would like to.
125.  
126. Bill Walker ( WALKER@AEDC-VAX.AF.MIL ) |
127. OAO Corporation                        |     "That's not a bug,
128. Arnold Engineering Development Center  |      that's a feature!"
129. M.S. 120                               |          - Anonymous
130. Arnold Air Force Base, TN  37389-9998  |
131.  
132.  
133. ------------------------------
134.  
135. Date:    09 Jan 92 19:17:38 +0000
136. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
137. Subject: Re: Looking for info on "Friday the 13th" virus (PC)
138.  
139. forbes@cbnewsf.cb.att.com (scott.forbes) writes:
140.  
141. > I also have a PC which recently lost its hard drive, at approximately
142. > the stroke of midnight on Friday, December 13.  :-) I don't think this
143. > is a coincidence, and would like to find out more about the virus in
144. > question to prevent a recurrence.
145.  
146. > The hard disk received a low-level format, but I still don't know the
147.  
148. All the viruses which activate on Friday 13th that I know (lots of
149. Jerusalems and South Africans) delete files; do not format the drive.
150. The Hybrid virus overwrites the hard disk, but as far as I remember,
151. it does this only on Friday 13th in 1992 and later...
152.  
153. Regards,
154. Vesselin
155. - -- 
156. Vesselin Vladimirov Bontchev         Virus Test Center, University of Hamburg
157. Bontchev@Informatik.Uni-Hamburg.De   Fachbereich Informatik - AGN, rm. 107 C
158. Tel.:+49-40-54715-224, Fax: -246     Vogt-Koeln-Strasse 30, D-2000, Hamburg 54
159.  
160. ------------------------------
161.  
162. Date:    09 Jan 92 19:37:12 +0000
163. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
164. Subject: Re: Question re Stoned (PC)
165.  
166. HAYES@urvax.urich.edu writes:
167.  
168. > At any rate, "Stoned" seems to be history in our lab, if only because
169. > it does not seem to infect 3.5" diskettes (which we've recently
170. > switched to).
171.  
172. Stoned infects 3.5" diskettes perfectly, but it only does this on
173. drive A: (on the first physical drive, more exactly). They have
174. probably installed 3.5" drives as dirve B: and/or above.
175.  
176. > My question is this.  For the benefit of many users who only have
177. > 5.25" drives at home and want to use one of our 3.5" PC's, we set up a
178. > 3-floppy PC with menu-driven software for file copying and diskette
179. > formatting.  A: & B: drives are 360K and 1.2M (respectively); C: is
180. > 1.44M.  D: is the hard drive.  If ever a PC would be succeptable to
181.  
182. With this configuration, even if both the floppies in drive A: and the
183. hard disk (D:) are infected and even if the virus is active in memory,
184. the copies from drive B: and above will never get infected.
185.  
186. > (Like I say--I know "Stoned" is still around here.)  Is there
187. > something about the four-disk controller setup (or the drive name
188. > "D:") that creates an immunity to "Stoned"?  Or have we been
189. > incredibly lucky?
190.  
191. As I said, you cannot infect the copies you make. As to why you have
192. not been infected yet, I guess you just had luck and didn't try to
193. boot from an infected disk (that is, didn't forget an infected disk in
194. drive A:).
195.  
196. Hope the above helps.
197.  
198. Regards,
199. Vesselin
200. - -- 
201. Vesselin Vladimirov Bontchev         Virus Test Center, University of Hamburg
202. Bontchev@Informatik.Uni-Hamburg.De   Fachbereich Informatik - AGN, rm. 107 C
203. Tel.:+49-40-54715-224, Fax: -246     Vogt-Koeln-Strasse 30, D-2000, Hamburg 54
204.  
205. ------------------------------
206.  
207. Date:    09 Jan 92 20:14:05 +0000
208. From:    bob1@cos.com (Bob Blackshaw)
209. Subject: Re: password program (PC)
210.  
211. bdrake@oxy.edu (Barry T. Drake) writes:
212.  
213. >Another way to reset the CMOS is to disconnect the battery.
214.  
215. >If it's a soldered-in NiCad, try draining it completely with a light bulb
216. >or other load (unless you *really* want to unsolder it).
217.  
218. >- --Barry (bdrake@oxy.edu)
219.  
220. Please don't use a light bulb. Look around the motherboard near the
221. built-in NiCad for an in-line 4 pin Berg connector (4 vertical pins)
222. which are usually provided for replacement of the NiCad by an out-
223. board battery. Two pins should be jumpered together, sort of like so
224.  
225.         o o o o
226.         + N   -
227.  
228. where + and - are the usual external battery connections and N is the
229. positive side of the NiCad, so the + and the N would be jumpered to-
230. gether. The negative side of the NiCad is connected to the ground
231. plane of the MB. Removing the jumper and shorting + and - will drain
232. your CMOS. I think most MB mfrs did this so that we would not have
233. to take a soldering iron to a six-layer MB (shudder).
234.  
235. Bob B.
236.  
237. ------------------------------
238.  
239. Date:    09 Jan 92 17:57:10 +0000
240. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
241. Subject: Re: List of Viruses (PC)
242.  
243. GLWARNER@SAMFORD.BITNET (THE GAR) writes:
244.  
245. > Someone faxed me a list of viruses, that I believe he got from Center
246. > Point, with codes for him to enter to update his virus information for
247. > the package.  He sent it to me to show how many viruses Center Point
248. > protected him from that McAfee fails to protect me from.
249.  
250. Unfortunately, I don't have the latest version of CPAV, but I'm rather
251. disappointed by the one I last saw. It has a lot of fancy menus but is
252. not a -very- good anti-virus tool. Especially having in mind that it
253. is based on TNTVIRUS, which is an -extremely- bad anti-virus tool.
254.  
255. As to SCAN, its latest version (85) is pretty good in detecting
256. infections. During the tests it didn't detect only about 63 different
257. variants of our virus collection, which consists of more than 1,000
258. different virus variants. Unfortunately, you must always have in mind
259. that you MUST NOT DRAW ANY CONCLUSIONS FROM THE SCAN'S OUTPUT OTHERS
260. THAN WHETHER A PARTICULAR FILE IS INFECTED OR NOT. Any information
261. SCAN may give you about the actual name of the virus, the number of
262. viruses in the file, the properties of the virus, the relationship of
263. the virus to other viruses, very often has nothing to do with the
264. truth and can be quite misleading. Fortunately, most users do not need
265. anything more than a program, which tells them whether any new files
266. they get are infected or not.
267.  
268. > My question (McAfee rep?) is whether these are actually detected by
269. > McAfee but called something else.
270.  
271. Very often SCAN uses a different name; replies to this question follow
272. each of the viruses you ask about.
273.  
274. > Also, can anyone identify any of the following that are especially
275. > prevalent?  Or are these mostly "laboratory" viruses?
276.  
277. Most of them are not widespread.
278.  
279. > Twelve Tricks
280.  
281. This is not a virus, it's a trojan. It does not spread, so it cannot be
282. widespread. SCAN recognizes it as 12 Tricks Trojan [Tricks].
283.  
284. The following are boot sector viruses. I don't have them in live form, so I
285. was unable to test how we does SCAN recognize them.
286.  
287. > Golden Gate 1
288. > Golden Gate 2
289.  
290. These are supposed to be Yale variants. I have only one variant of Yale and
291. I doubt pretty much that others exist - until I see them.
292.  
293. > Stoned III
294.  
295. This is known also as NoINT.
296.  
297. > Zapper
298.  
299. Stoned variant.
300.  
301. > Den-Zuk 2
302.  
303. Probably the virus, called Ohio.
304.  
305. > Anthrax PT
306. > Omicron PT (More well known as Flip)
307.  
308. The above two are multi-partite viruses. This means that they infect both
309. files and boot sectors. Probably by PT the guys at CPS mean that they can
310. detect the virus not only in the files, but also in the partition table.
311. Big deal.
312.  
313. Well, now about the file infectors.
314.  
315. > Kylie
316. > Faggot
317.  
318. I never succeeded to make these work and spread. In fact, I suspect that
319. Faggot is a trojan, not a virus. You can guess how "widespread" they are.
320. Anyway, SCAN identifies them as
321.  
322. Kylie: Jerusalem Related [Jeru]
323. Faggot: VHP Related [VHP]
324.  
325. > 740
326. > April 15
327. > France
328.  
329. I don't know what they mean by these names. In general, it's a bad practice
330. to use a number, a date, or a place as a name of a virus. I certainly don't
331. know all the infective lengths of our more than 1,000 viruses by heart, but
332. I don't remember one with infective length of exactly 740 bytes. Maybe
333. Fridrik Skulason can correct me. April 15th is the activation date of a
334. variant of the Murphy virus, called Swami. SCAN detects is as Murphy
335. [Murphy]. There are at least three viruses from France; what they probably
336. mean is the Paris virus. SCAN detects it as Paris [Paris].
337.  
338. > Lunch
339. > PC Bandit
340. > Doctor
341. > Drug
342.  
343. Never heard about these. They are either new ones, or very obscure names of
344. old viruses.
345.  
346. > 805
347.  
348. This is probably one of the Stardot variants. SCAN detects it as V-801
349. [V801]. Not spread at all.
350.  
351. > 1590
352.  
353. This is probably the Green Caterpillar. Scan detects it as 1591/1575
354. [15xx]. Not spread.
355.  
356. > Amoeba 2
357.  
358. This is probably the Maltese Amoeba. Watch out if you live in Ireland; the
359. virus is quite widespread there. It's a dangerous polymorphic multi-partite
360. fast infector. SCAN detects it as Irish [Irish].
361.  
362. > Anarkia
363.  
364. A Jerusalem variant. SCAN detects it as Jerusalem Related [Jeru] and Fu
365. Manchu - Version A [Fu]. Not spread.
366.  
367. > Beast C
368. > Beast D
369.  
370. These are No. of the Beast variants. This virus has 13 variants, all of
371. them detected as 512 [512] by SCAN. Some of the variants are (not very
372. widely) spread in Bulgaria.
373.  
374. > Cascade YAP
375.  
376. There is a misunderstanding here; in fact two different Cascade variants
377. were called with this name. SCAN recognizes both as Yap [Yap]. Not spread
378. at all.
379.  
380. > Dark Lord
381.  
382. A Terror variant. SCAN recognizes it as Terror [Ter]. Found once in the
383. wild in Bulgaria.
384.  
385. > Decide
386.  
387. SCAN recognizes it as Deicide [Dei]. Not spead at all.
388.  
389. > Diamond
390.  
391. SCAN recognizes it as Alfa Related [Alf]. More exactly is to say "reports
392. it", since it reports like this a lot of other (completely unrelated)
393. viruses as well. Two variants were once uploaded to a BBS in Bulgaria.
394.  
395. > HIV
396.  
397. A Murphy variant. SCAN recognizes it as Murphy [Murphy]. Never found in the
398. wild.
399.  
400. > Horse II
401.  
402. There are 9 variants of the Horse viruses, so I don't know what they mean by
403. that. SCAN recognizes the first 8 only as Horse [Hrs] (and sometimes
404. reports also 512 [512], which has nothing to do here). Most of them are not
405. very widespread in Bulgaria, mainly in some schools in Sofia. Probably
406. Horse II is the last variant, which SCAN does not detect, since it is a bit
407. different from the others.
408.  
409. > Justice
410.  
411. SCAN recognizes it as Justice [Justice]. Once found in the wild in
412. Bulgaria.
413.  
414. > Phoenix
415.  
416. There are 6 variants of this virus. SCAN recognizes 800 as V800 [V800],
417. 1226, Phoenix, Proud, and Evil as P1 Related [P1r], and V82 as [V82].
418. Relatively widespread in Bulgaria and several times uploaded to BBSes in
419. West Europe.
420.  
421. > Suomi
422.  
423. SCAN recognizes it as 1008 [1008]. Not very widespread in Finnland.
424.  
425. > Tequila
426.  
427. SCAN recognizes it as Tequila [Teq]. Widespread in West Europe, a
428. polymorphic multi-patrtite fast infector. Beware.
429.  
430. > Vienna 656
431.  
432. SCAN recognizes it as Lisbon Virus [Lisbon] and VHP Related Virus [VHP].
433. Not spread at all.
434.  
435. > Virdem 792
436.  
437. SCAN recognizes it as Burger [Burger]. Not spread at all.
438.  
439. > Vriest
440.  
441. SCAN recognizes it as Vriest [Vrst]. Not spread.
442.  
443. Hope the above helps.
444.  
445. Regards,
446. Vesselin
447. - -- 
448. Vesselin Vladimirov Bontchev         Virus Test Center, University of Hamburg
449. Bontchev@Informatik.Uni-Hamburg.De   Fachbereich Informatik - AGN, rm. 107 C
450. Tel.:+49-40-54715-224, Fax: -246     Vogt-Koeln-Strasse 30, D-2000, Hamburg 54
451.  
452. ------------------------------
453.  
454. Date:    Thu, 09 Jan 92 21:12:29 +0000
455. From:    brian@norton.com (Brian Yoder)
456. Subject: Re: Norton Anty Virus (PC)
457.  
458. CEZAR@PLEARN.BITNET (Cezar Cichocki) writes:
459. > Hi folks,
460. > I use Peter Norton's programm and I very interesting in his antyviral
461. > program. Somebody said me that there is Shareware version of NAV
462. > (about 1.5 or something like this). Is this true ?
463.  
464. No, there is no version of NAV in the public domain or as shareware.
465. I suspect that someone is pulling your leg (and perhaps his own).
466.  
467. - -- 
468. - -- Brian K. Yoder (brian@norton.com) - Q: What do you get when you cross     --
469. - -- Peter Norton Computing Group      -    Apple & IBM?                       --
470. - -- Symantec Corporation              - A: IBM.                               --
471.  
472. ------------------------------
473.  
474. Date:    Fri, 10 Jan 92 01:59:39 +0000
475. From:    mcafee@netcom.netcom.com (McAfee Associates)
476. Subject: Re: Joshi Virus and IDE Hard Drives (PC)
477.  
478. arg@netcom.netcom.com (Greg Argendelli) writes:
479. >How are people removing the Joshi virus from IDE hard drives?  Based
480. >on what I have read in Patricia's VSUM program, the only way to reomve
481. >the virus is via a low-level format.  Since we can't do such a format
482. >on an IDE, do we wind up trashing the drive?  Inquiring minds need to
483. >know.  McAfee's scan/clean find it, and claim to clean it, but
484. >don't....
485.  
486. Hi Greg,
487.  
488. I'm not sure that the problem is that you are having with VIRUSCAN and
489. CLEAN-UP but it sounds like the PC in question is becoming re-infected
490. after removal of the virus.  You may want to check any floppies in the
491. vicinity of the PC and see if they have the virus on them and are
492. re-introducing it.
493.  
494. In any case, if CLEAN-UP says that a virus cannot safely be removed from
495. the partition table, you have several options available to you other
496. then doing a low-level format.
497.  
498. 1.    If you're so inclined, you can copy the partition table off of
499.     an identically partitioned hard disk and copy it over the PT of
500.     the infected hard disk. 
501.  
502. 2.    If you have MS-DOS 5.00, you can run the DOS FDISK command with
503.     the /MBR option.  This is an undocumented switch in the FDISK
504.     command that replaces the Master Boot Record code (alias partition
505.     table) while leaving the data portion intact.
506.  
507. 3.    Use a sector editor to change the last two bytes of the partition
508.     table, which are "55 AA" to anything else.  This will invalidate
509.     the partition table information, and you can then re-FDISK and
510.     FORMAT the disk.
511.  
512. Naturally, there is always a small amount of risk in doing any of this, so
513. it's always a good idea to make a backup of the hard disk before proceeding.
514.  
515. Another possibility is that you do not have the virus at all and instead are
516. experiencing a "ghost" effect, that is, when a fragment of viral code is left
517. at the end of a file somewhere on the disk that is loaded into memory with
518. the file and causes a false alarm.  This can be fixed by running a disk 
519. optimizing program to defragment the disk, or there's a program somwhere in
520. the simtel archives called COVERUP or COVERUP1 that will null-out the ends
521. of files.
522.  
523. BTW, I assume that you have tried using the latest (V85) version of
524. CLEAN-UP to remove the virus, both with the [JOSHI] and [GENP] ID
525. codes, as well as giving M-DISK a shot (if formatted with DOS 3-4).
526.  
527. Regards,
528.  
529. Aryeh Goretsky
530. McAfee Associiates Technical Support
531. - -- 
532. - - - -
533. McAfee Associates        | Voice (408) 988-3832 | mcafee@netcom.com  (business)
534. 4423 Cheeney Street      | FAX   (408) 970-9727 | "Welcome to the alligator 
535. Santa Clara, California  | BBS   (408) 988-4004 | farm..."
536. 95054-0253  USA          | v.32  (408) 988-5190 | CompuServe ID: 76702,1714
537. ViruScan/CleanUp/VShield | HST   (408) 988-5138 | or GO VIRUSFORUM 
538.  
539. ------------------------------
540.  
541. Date:    Fri, 10 Jan 92 05:33:23 +0000
542. From:    rslade@cue.bc.ca (Rob Slade)
543. Subject: Re: Norton Anty Virus (PC)
544.  
545. CEZAR@PLEARN.BITNET (Cezar Cichocki) writes:
546. >program. Somebody said me that there is Shareware version of NAV
547. >(about 1.5 or something like this). Is this true ?
548.  
549. No, it is not true.
550.  
551. A number of people are posting the upgrade virus signature files on
552. private BBSes.  Norton does not condone this either.
553.  
554. ==============
555. Vancouver      p1@arkham.wimsey.bc.ca   | "If you do buy a
556. Institute for  Robert_Slade@sfu.ca      |  computer, don't
557. Research into  rslade@cue.bc.ca         |  turn it on."
558. User           CyberStore Dpac 85301030 | Richards' 2nd Law
559. Security       Canada V7K 2G6           | of Data Security
560.  
561. ------------------------------
562.  
563. Date:    Fri, 10 Jan 92 09:05:58 +0000
564. From:    Fridrik Skulason <frisk@complex.is>
565. Subject: Re: List of Viruses (PC)
566.  
567. In Message 3 Jan 92 20:09:42 GMT, GLWARNER@SAMFORD.BITNET (THE GAR) writes:
568. >1590                         Golden Gate 1
569. >740                          Golden Gate 2
570. >805                          HIV
571. >Amoeba 2                     Horse II
572. >Anarkia                      Justice
573. >Anthrax PT                   Kylie
574. >April 15                     Lunch
575. >Beast C                      Omicron PT
576. >Beast D                      PC Bandit
577. >Cascade YAP                  Phoenix
578. >Dark Lord                    Stoned III
579. >Decide                       Suomi
580. >Den-Zuk 2                    Tequila
581. >Diamond                      Twelve Tricks
582. >Doctor                       Vienna 656
583. >Drug                         Virdem 792
584. >Faggot                       Vriest
585. >France                       Zapper
586.  
587. Some of the names in the list are old and well-known viruses, such as
588. Anarkia, Cascade YAP, Dark Lord, Deicide, Diamond, HIV, Justice, Kylie,
589. Phoenix, Suomi, Tequila, the Vienna variants and Vriest.
590.  
591. The others are either not viruses (12 Tricks) a case of bad naming
592. practices, or (in a few cases) something I have never heard of,
593. such as Drug and Lunch.
594.  
595. - -frisk
596.  
597. ------------------------------
598.  
599. Date:    Fri, 10 Jan 92 09:28:26 +0000
600. From:    Fridrik Skulason <frisk@complex.is>
601. Subject: Re: Looking for info on "Friday the 13th" virus (PC)
602.  
603. There are around 20 viruses which activate on Friday the 13th, such as
604. "South African" (which may not be South African at all), Jerusalem (with a
605. bunch of variants), Datacrime (well, sort of...), Relzfu (Fake-VirX),
606. Monxla, Leningrad and Omega.
607.  
608. Unfortunately the available information is not specific enough to determine
609. which virus is the cause in this case.
610.  
611. - -frisk
612.  
613. ------------------------------
614.  
615. Date:    Fri, 10 Jan 92 11:10:42 -0500
616. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
617. Subject: Philosophy and Time (PC)
618.  
619.      For over a year now we have be discussing simple  techniques
620. for virus prevention - not 100% techniques but then stopping  the
621. spread does not require 100%, it is significantly less.
622.  
623.      Lately,  I  have come to realize that virus spread  is  best
624. modeled   using  a  diffusion-limited  aggregation  process  from
625. Fractal  Geometry:  infected  populations grow  in  clusters  and
626. larger  clusters  grow faster but slow again as they  approach  a
627. limit  imposed  by the envelope. While the math is  complex,  the
628. underlying  fact is not - if the clusters never exceed a  certain
629. size, epidemics do not occur.
630.  
631.      Consequently, I have focused my work not on 100%  prevention
632. with  the draconian measures that this would incur but a  gentler
633. process  that  provides  a near-certain likelihood  (I  have  not
634. mastered all of the math yet) of blocking viruses. With little or
635. no effect on the PC.
636.  
637.      Initially,  I decided to concentrate on the BIOS  viruses  -
638. those  infecting  the MBR (master boot record) and BR  (DOS  Boot
639. Record)  of hard disks. There were two reasons for  this:  First,
640. not  many  people  seemed to be working in  this  primeval  area.
641. Second,  the  rules  were simpler and I felt  that  it  would  be
642. possible  to  avoid  the Turing "halting"  difficulty  since  the
643. system at that point is rigorously defined.
644.  
645.      The   results  were  several:  DISKSECURE  was   the   first
646. technology demonstrator though its roots go back several years to
647. a  pair of programs designed to detect the Pakistani Brain  (also
648. see the "Six Byte" method). Observations made at that time led to
649. some DS principles.
650.  
651.      Of  course, the real problems came from  compatibility  with
652. all   of  the  diverse  systems  used  around  the  world,   only
653. discoverable  in practice. I wish to thank all of the V-L  people
654. who  provided feedback on what did not work that permitted me  to
655. accumulate a database of "compatibility requirements" - seventeen
656. bytes  in  one area that could not be depended on to  be  stable,
657. operating  systems that expected certain registers to  be  passed
658. intact, etc.
659.  
660.      In  comparison, a manufacturer who only has to  worry  about
661. his  current  hardware  and  software  has  it  easy.  I  have  a
662. tremendous  respect for all of the anti-virus vendors who  manage
663. to write programs that WORK. The marvel is not that they work  so
664. well,  the  marvel is that they work at all (paraphrased  from  a
665. quote  but  have  no idea whose). - No  wonder  most  third-party
666. FORMAT routines simply put code in the BR that says "This disk is
667. not Bootable".
668.  
669.      As is usual in later generations, I found that while DS  was
670. effective  in its purpose, less rigorous methods  would  suffice:
671. for  anti-virus  work. This led to the SafeMBR concept -  an  MBR
672. that  also did integrity checking using a special pair  of  rules
673. but did not have to go resident (unlike DS) to be effective. This
674. was  followed  by  NoFBoot,  a  small  TSR  designed  to  prevent
675. "accidents"  that  (IMHO) cause most MBR  infections.  The  final
676. step, CHKSMBR (a non-resident program included in FixMBR v  2.1),
677. simply verifies that SMBR has not been tampered with and  permits
678. Network authentication as well.
679.  
680.      This  complete "layered" system is IMHO capable of  knocking
681. out  the spread of all known MBR viruses (that account  for  over
682. 50%  of  all  computer  virus  infections  -  data  from   McAfee
683. Associates  -  and all of the latest  round  of  "shrink-wrapped"
684. infections including the Dec. Novell incident).
685.  
686.      Of course, and again IMHO, where this technology belongs  is
687. in  the Operating Systems. It is trivial to  incorporate  SafeMBR
688. techniques  into FDISK and NoFBoot could easily  be  incorporated
689. into  either  the  hidden files  or  COMMAND.COM.  FixMBR  simply
690. demonstrates  a virus-aware repair capability easily included  in
691. FDISK  as  an  extension of the /MBR switch  in  5.0.  One  clone
692. manufacturer has shown an interest and I have seen an  indication
693. that Compaq may be working this area also (though how seriously I
694. have no idea) but thusfar that is the extent.
695.  
696.      In  any  event,  with the completion of  FixMBR  v  2.1,  my
697. feeling  is  that this study has gone far enough and  that  other
698. things  are more interesting (besides, over the holidays  I  came
699. close  to exhaustion and zero-free-time has been a fact  of  life
700. for too long now).
701.  
702.      Consequently, for the next while I plan to use what time  is
703. available  for  studying networks (I see the potential  for  some
704. serious   liabilities implicit in peer-peer networks that  cannot
705. require use of login scripts), Fractals, and putting my  Pontiacs
706. together.
707.  
708.                                         Warmly,
709.                                                   Padgett
710.  
711.                     <padgett%tccslr.dnet@mmc.com>
712.  
713. ------------------------------
714.  
715. Date:    Thu, 09 Jan 92 17:57:00 +0100
716. From:    "Olivier M.J. Crepin-Leblond" <UMEEB37@VAXA.CC.IMPERIAL.AC.UK>
717. Subject: Info about UNIX viruses (UNIX)
718.  
719. Could someone please forward me info about *any* UNIX viruses.  I'm
720. not talking about worms, but actual viruses, comparable to MS-DOS
721. viruses, for example. I'd just like a description of them (if any).
722. Pointers to sources of info are also welcome.  Thanks,
723.  
724. Olivier M.J. Crepin-Leblond, Communications Sys., Elec. Eng. Dept.
725. Imperial College of Science, Technology and Medicine, London, UK.
726. <umeeb37@vaxa.cc.ic.ac.uk> - Internet/Bitnet
727.  
728. ------------------------------
729.  
730. Date:    Thu, 09 Jan 92 08:45:19 -0800
731. From:    ROBERTS@ratvax.dnet.EDA.Teradyne.COM
732. Subject: I/O bound CPU bound definitions
733.  
734. nkjle@locus.com (John Elghani) writes:
735.  
736. >   1- A virus obviously is a program that is CPU bound, io bound, ..etc.
737. >     i.e. it occupies system's resources.  Some could probably delete
738. >     all files on a system? right?
739.  
740. Let's clarify I/O bound (input/output bound) and CPU bound.  These
741. terms refer to computers, not the programs.  They simply point out the
742. "weakest link" or "bottleneck".  An I/O bound computer means that it
743. is using all of its I/O resources to the maximum, but the CPU is often
744. idle.  CPU bound means that the CPU is processing at its maximum, but
745. there is plenty of unused DMA or I/O channels.  To improve the
746. performance of a CPU bound computer, one could buy a faster cpu (not
747. necessarily true for the I/O bound computer).
748.  
749. - - George Roberts
750. roberts@ratvax.DNET.EDA.Teradyne.COM
751. decwrl.dec.com!teda!ratvax.dnet!roberts
752.  
753. ------------------------------
754.  
755. Date:    Thu, 09 Jan 92 16:36:00 -0700
756. From:    "Rich Travsky 3668 (307) 766-3663/3668" <RTRAVSKY@corral.uwyo.edu>
757. Subject: New Antivirus Organization Announced
758.  
759. The following is from the Dec 30,1991/Jan 6,1992 issue of Network World.
760.  
761.     Virus Busters Join Hands  --  The Antivirus Methods Congress, a
762.     newly formed organization to combat computer viruses, was announced
763.     last week with the goal of bringing users, vendors and researchers
764.     together to tackle virus attacks on networks in the private and
765.     government sectors.
766.  
767.     Dick Lefkon, associate professor at New York University and chair-
768.     man of the new group, said the organization already has 50 members,
769.     including representatives from Martin Marietta Corp., the
770.     insurance industry, the state of Arizona's legal department,
771.     Northern Telecom, Inc. and universities in Hamburg, Germany, and
772.     Iceland.
773.  
774. Any typos are without a doubt mine!  (BTW, anyone have a list/whatever of
775. existing antivirus orgs? Just curious.)
776.  
777. +-----------------+     Richard Travsky
778. |                 |     Division of Information Technology
779. |                 |     University of Wyoming
780. |                 |
781. |                 |     RTRAVSKY @ CORRAL.UWYO.EDU
782. |           U W   |     (307) 766 - 3663 / 3668
783. |            *    |     "Wyoming is the capital of Denver." - a tourist
784. +-----------------+     "One of those square states." - another tourist
785. Home state of Dick Cheney,  Secretary of Defense of these here UNITED STATES!
786.  
787. ------------------------------
788.  
789. Date:    Mon, 06 Jan 92 12:37:22 -0800
790. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
791. Subject: Write protection - software
792.  
793. DEFMTH3.CVP   920105
794.  
795.                   Write protection - software
796.  
797. An aspect related to hardware damage is that of "write
798. protection".  Although this aspect of security is a part of
799. normal computer operation, the details are not necessarily well
800. understood by the general public.  In addition, certain
801. procedures related to write protection often recommended as
802. anti-viral measures are of little or no use.  They may, indeed,
803. be "dangerous", in that they encourage users to think themselves
804. safe and not to take further measures.
805.  
806. First of all, there is software write protection.  Many user
807. manuals for antiviral programs have suggested changing the file
808. attributes of all program files to "read-only" and "hidden".  A
809. minor problem with this is that a number of programs write to
810. themselves when making a change in configuration.  However, the
811. more major problem is that this action provides almost no real
812. protection.  What software (the operating system or protection
813. program) can do, software (a virus) can undo.  The overcoming of
814. this protection in MS-DOS is so trivially simple that utility
815. programs, asked to make a change to a protected program, simply
816. remind the user that the file is protected and ask for
817. permission to proceed.  (At least, the better written ones ask. 
818. Such is the contempt for "read-only" flags, that some programs
819. just "do it".)
820.  
821. There are, as well, programs which attempt to write protect the
822. hard disk as a whole, or individual files.  Since these programs
823. use methods other than the standard OS calls they are generally
824. more successful in protecting against "outside intrusion". 
825. However, I must again repeat that what software can prevent,
826. software can circumvent.
827.  
828. Software write protection must, of course, be running to do any
829. good.  Thus boot sector infectors, and any other viri which
830. manage to start up before the software protection is invoked,
831. have little to fear from these programs.  Some of the protection
832. programs start themselves as replacements for the master or
833. partition boot record, in order to get around such "early"
834. infectors.  However, in testing none have been able to prevent
835. infection by the ubiquitous "Stoned" virus.  (Regular readers of
836. the reviews will note the recent trial of one such hard disk
837. security program which not only did not prevent the infection,
838. but would not, thereafter, allow disinfection!  In my reviewing
839. I have come to be much
840. Downloaded From P-80 International Information Systems 304-744-2253
841.