home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker Chronicles 1 / HACKER1.ISO / misc / v05i013.txt

< prev

next >

Wrap

Internet Message Format  |  1992-09-27  |  35KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V5 #13
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Thursday, 23 Jan 1992    Volume 5 : Issue 13
9.  
10. Today's Topics:
11.  
12. Re: QEMM386's LOADHI with VSHIELD1 and/or VIRSTOP (PC)
13. Reply to Smulders-virus found? (PC)
14. FixMBR and very large disks - potential problem (PC)
15. re: SBC? (PC)
16. Michelangelo & (some) Zeniths (PC)
17. Re: Novell Viruses (PC)
18. Unknown Virus? (PC)
19. Flip virus (PC)
20. Virus found: Flip (PC)
21. Re: NCSA has tested Antivirus Programs (PC)
22. Re: Trojan definition? Special case
23. Need some simple statistics
24. Antivirus Methods Congress
25. Re: Report: 8th Chaos Computer Congress
26. Re: Gulf War Virus & "Softwar"
27. FLASH Virus
28. Re: New Antivirus Organization Announced
29. program update from Padgett Peterson (PC)
30. F-PROT 2.02 now available (PC)
31.  
32. VIRUS-L is a moderated, digested mail forum for discussing computer
33. virus issues; comp.virus is a non-digested Usenet counterpart.
34. Discussions are not limited to any one hardware/software platform -
35. diversity is welcomed.  Contributions should be relevant, concise,
36. polite, etc.  (The complete set of posting guidelines is available by
37. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
38. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
39. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
40. Information on accessing anti-virus, documentation, and back-issue
41. archives is distributed periodically on the list.  Administrative mail
42. (comments, suggestions, and so forth) should be sent to me at:
43. krvw@CERT.SEI.CMU.EDU.
44.  
45.    Ken van Wyk
46.  
47. ----------------------------------------------------------------------
48.  
49. Date:    Wed, 22 Jan 92 05:29:34 +0000
50. From:    mcafee@netcom.netcom.com (McAfee Associates)
51. Subject: Re: QEMM386's LOADHI with VSHIELD1 and/or VIRSTOP (PC)
52.  
53. Hello Jim Hendee,
54.  
55. You should be able to load VSHIELD V85 high with QEMM V5.1 by running
56. VSHIELD with the /LH option.  You shouldn't use the LOADHI program.
57.  
58. Regards,
59.  
60. Aryeh Goretsky
61. McAfee Associates Technical Support
62. - -- 
63. - - - -
64. McAfee Associates        | Voice (408) 988-3832 | mcafee@netcom.com  (business)
65. 4423 Cheeney Street      | FAX   (408) 970-9727 | "Welcome to the alligator 
66. Santa Clara, California  | BBS   (408) 988-4004 | farm..."
67. 95054-0253  USA          | v.32  (408) 988-5190 | CompuServe ID: 76702,1714
68. ViruScan/CleanUp/VShield | HST   (408) 988-5138 | or GO VIRUSFORUM 
69.  
70. ------------------------------
71.  
72. Date:    Wed, 22 Jan 92 11:34:50 +0100
73. From:    overdijk@ECN.NL
74. Subject: Reply to Smulders-virus found? (PC)
75.  
76. Dear Bert Plat,
77.  
78. On "Thu, 16 Jan 92 14:21:47" you wrote in digest 5-010 :
79.  
80. > "Tangram finds virus:
81. >
82. > Tangram in Utrecht (NL) warns about the recently found 'Smulders'-virus.
83. > This virus renames all directories up tto two levels deep to
84. > Criminal.XXX.
85.  
86. Yes, that is the same new Dutch virus (Ultimate Weapon) reported by me
87. in VIRUS-L digest 5-004 :
88.  
89. >>    I've got a friend with a possible virus on his disks...
90. >> SCANV85 doesn't detect this beast.  He has a HISCREEN 386sx
91. >> machine. I haven't seen the problem myself, but after discussion
92. >> I understood the following:
93. >>
94. >> Symptoms:
95. >> - It appears that the 'virus' is activated after january 1-st, 1992
96. >>
97. >> - After boot, a message is displayed:
98. >>
99. >>    +-------------------------------------------+
100. >>    ! The Ultimate Weapon has arrived,          !
101. >>    ! please contact the nearest police station !
102. >>    ! to tell about the illegal copying of you  !
103. >>    +-------------------------------------------+
104. >>
105. >>    (Yes, I had a 'printscreen' of the message)
106. >>    (No, I don't know if he has an illegal copy of a program ;-))
107. >>
108. >> - System hangs.
109. >>
110. >> - After boot from floppy in A: he found ALL his files and directory's
111. >>   in the root and next directory-level renamed to CRIMINAL.001,
112. >>   CRIMINAL.002, CRIMINAL.003 ..... etc.
113.  
114.     I've had contact with my friend, he could reproduce the problem...
115. The virus was found in COMMAND.COM of a MS-DOS 5.0 system.
116. COMMAND.COM has grown with 2601 bytes.  A 'grep' on COMMAND.COM didn't
117. find the string 'Ultimate', probably the message is encripted.  This
118. virus is of the 'stealth' type (original size of COMMAND.COM is shown
119. when a 'DIR' is done on the infected system).
120.  
121.     After I recovered from a (flu-)virus myself, I heard that our
122. local representative of McAfee Associates (CPU Communications) was
123. already notified about this virus (by someone else...).  They told
124. that the next version of SCAN will be able to recognize the new virus.
125. They even supplied the virus signature (MF00EVKUR). However I don't
126. know how to feed SCAN with this signature, SCAN expects a hexadecimal
127. string... maybe some of the readers can help me with that.
128.  
129. Greetings,
130.              Harrie Overdijk      Internet : overdijk@ecn.nl
131.              ECN - Petten           BITNET : not any more
132.              The Netherlands      Noisenet : ++31-2246-4597
133.              Europe                Fidonet : 2:500/43.1902    (At home!)
134.  
135. ------------------------------
136.  
137. Date:    Wed, 22 Jan 92 08:51:13 -0500
138. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
139. Subject: FixMBR and very large disks - potential problem (PC)
140.  
141.     I have identified the *possibility* for an adverse reaction
142. between FixMBR and disks having sector sizes larger than 512 bytes. I
143. have never seen one but believe that there are some in use, primarily
144. with very large older disks (over 300 Mb). FixMBR v2.4 corrects this
145. potential problem.
146.  
147. Theoretical Symptoms: Following FixMBR22 use, system will not boot from hard
148.                       disk but will from floppy. Use of MBR80 restores system
149.                       (see documentation). Alternate recovery would be to
150.                       use DOS 5.0 FDISK/MBR or FixMBR24.
151.  
152.     Again, I have never seen this happen nor have I ever received
153. a report of such but *think* it *might* be possible & cannot test.
154. Those most common disks used in PCs (MFM, RLL, IDE, SCSI) have
155. standard 512 byte sectors and are not affected. In any event, FixMBR
156. v2.4 *should* handle everything.
157.  
158.                         Warmly,
159.                             Padgett
160.  
161. ------------------------------
162.  
163. Date:    22 Jan 92 11:06:42 -0500
164. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
165. Subject: re: SBC? (PC)
166.  
167. >From:    kenm@maccs.dcss.mcmaster.ca (...Jose)
168. >
169. >        Does anyone know anything about a virus that McAfee SCAN
170. >reports as SBC?
171.  
172. SBC is a resident infector of files that are executed, and COM, EXE,
173. and OVL files that are opened.  The first time an infected program is
174. run, it will try to infect the command interpreter (COMSPEC=, or
175. COMMAND.COM).  It infects both COM and EXE format files.  It is
176. "length-stealthed", in that if the virus is in memory the DIR command
177. will show the old, uninfected lengths.  It sets the seconds field of
178. infected files to 0x1F (==62), as usual.  It doesn't seem to have any
179. payload.  Since it infects files that are opened, scanning your system
180. with the virus in memory, using a scanner that doesn't know about the
181. virus, will tend to infect every file in your system...  DC
182.  
183. ------------------------------
184.  
185. Date:    Wed, 22 Jan 92 11:09:10 -0500
186. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
187. Subject: Michelangelo & (some) Zeniths (PC)
188.  
189. >From:    Michael_Kessler.Hum@mailgate.sfsu.edu
190.  
191. >I had a Zenith 386 SX machine infected.  When booting up with the
192. >infected diskette, I get a "Disk read error" message.  When I reboot
193. >off the hard disk, I get a "Unable to read boot code from partition"
194. >message, and the computer is disabled unless I boot off the floppy.
195.  
196. Not surprising since some versions of Zenith's operating system expect
197. the MBR code to follow the specifications. Most other OSes do not
198. expect help and will boot anyway.
199.  
200. >If I run a CHKDSK, I still get 655360 bytes total memory.
201.  
202. Well, you booted off an uninfected floppy so the virus is not resident.
203. The CHKDSK test detects Mich when memory resident.
204.  
205. >xxx recognizes the existence of the virus but will not remove it.
206.  
207. Well either copy sector 7 back to sector 1 or try FixMBR24 (will let
208. you do the same thing).
209.                     Warmly,
210.                         Padgett
211.  
212.         padgett%tccslr.dnet@mmc.com
213.  
214.         "Usual Disclaimers Apply"
215.  
216. ------------------------------
217.  
218. Date:    Wed, 22 Jan 92 11:23:57 -0700
219. From:    kev@inel.gov (Kevin Hemsley)
220. Subject: Re: Novell Viruses (PC)
221.  
222. Doug Eckert <75140.1550@CompuServe.COM> writes:
223.  
224.  >I'm interested in obtaining a (believable) list that says which
225.  >viruses infect and/or spread through Novell local area networks,
226.  >and what effects they cause (error messages and the like).
227.  
228. The basic rule is only file infecting viruses can propagate on a
229. network.  This includes the file infecting characteristics of
230. multi-partite viruses.  Because of NetWare's redirection of BIOS and
231. DOS interrupts, normal BSI viruses cannot infect a NetWare file server
232. from a workstation.  Linking viruses also cannot propagate using
233. NetWare as there is no DOS directory entry to modify.
234.  
235.  >Only two of the five viruses tested, 1701 and Invader, proved
236.  >capable of circumventing the file attributes set by the Novell
237.                                ^^^^^^^^^^^^^^^ 
238. There is a clear distinction between NetWare RIGHTS and ATTRIBUTES.
239. ATTRIBUTES are an emulation and an extension of regular DOS file
240. attributes.  All DOS attributes (or NetWare ATTRIBUTES which exactly
241. emulate DOS attributes) can be changed by viruses.  Viruses can
242. therefor bypass certain Netware attributes.  There are only two
243. NetWare ATTRIBUTES which prohibit viral infection, they are EXECUTE
244. ONLY and surprisingly, SYSTEM.  The SYSTEM NetWare ATTRIBUTE does not
245. perfectly emulate the DOS system attribute, and does not permit viral
246. infection.  The 1701 virus used in your test CANNOT infect a file
247. protected by the NetWare SYSTEM ATTRIBUTE but it will zip right past a
248. DOS system attribute.
249.  
250. RIGHTS are NetWare's own security implementation and provide
251. substantial protection against viruses.  Viruses cannot directly alter
252. assigned effective RIGHTS.  However, assigned RIGHTS can be overridden
253. through the use of the SUPERVISORY RIGHT.  The SUPERVISORY right
254. supersedes any restrictions placed on subdirectories or files with an
255. inherited rights mask.
256.  
257.  >While successful at infecting C:\TESTEXEC files, repeated efforts
258.  >to get Jerusalem-B, 4096 and Whale to infect network files - to
259.  >which the user had all rights - were unsuccessful.
260.  
261. There are some viruses, such as 4096, which do very well on
262. stand-alone systems, but can't properly infect files stored on a
263. NetWare shared volume.  In fact, attempting to copy a 4096 infected
264. file from an infected workstation to a NetWare volume will disinfect
265. the file.  This is because of the stealth actives of 4096 and
266. NetWare's redirection of interrupts.  The 4096 uses single-stepping to
267. determine the original interrupt 21h and place its code.  Since
268. NetWare redirects this type of call, 4096 is unable to infect files
269. stored on the server.
270.  
271. I hope this helps.
272.  
273. - --
274. - -------------------------------------------------------------------------------
275.  Kevin Hemsley                             |
276.  Information & Technical Security          | If you think that you have someone
277.  Idaho National Engineering Laboratory     | eating out of your hand, it's a
278.  (208) 526-9322                            | good idea to count your fingers!
279.  kev@inel.gov                              |
280. - -------------------------------------------------------------------------------
281.  
282. ------------------------------
283.  
284. Date:    Wed, 22 Jan 92 18:33:05 +0000
285. From:    cksvih01@ulkyvx03.louisville.edu
286. Subject: Unknown Virus? (PC)
287.  
288.  My brother was installing an expanded memory manager he had
289. legitamately purchased and found what he thought was a virus.  Upon
290. rebooting the system, the following message flashed across the screen:
291.  
292. Look out!  Buy direct from Bob and Steve!
293.  
294. He took the disk in and scanned it using McAffee's SCAN, but nothing
295. turned up.  Is this a virus, or maybe just an extra tossed in by the
296. software designers?
297.  
298. ------------------------------
299.  
300. Date:    Thu, 23 Jan 92 02:38:29 +0000
301. From:    jeremy@quest.har.sunysb.edu (Jeremy Wohl)
302. Subject: Flip virus (PC)
303.  
304. Hello,
305.  
306. Anybody heard of the Flip virus and how to get rid of it?  A friend
307. from Spain is convinced his machine is infected with this virus.
308.  
309. thanks.
310.  
311. - -jeremy
312. jeremy@quest.har.sunysb.edu
313.  
314. ------------------------------
315.  
316. Date:    23 Jan 92 14:05:52 +0700
317. From:    Pim Clotscher <CLOTSCHER@hb.fgg.eur.nl>
318. Subject: Virus found: Flip (PC)
319.  
320. L.S.,
321. Today, 23 january 1992 we found one (1) PC infected with the flip-
322. virus [Flip]. It was reported by McAfee's VSHIELD v77 being resident
323. at that PC after boot-up.
324.  
325. First booted from a clean MS-DOS 3.30 system disk.
326. Scan with McAfee's SCANv85 resulted in three infected 'files'.
327. 1. a general partitiontable infection [GenP]
328. 2. VSHIELD.EXE, externally infected LZEXE compressed file [Flip]
329. 3. COMMAND.COM [Flip]
330.  
331. We were able to remove the infections in two passes, the first one
332. for the [GenP], the second for both [Flip]. Thank you, McAfee!
333.  
334. The Infected PC is one out of 16 in a public student facility, all
335. being a workstation in a Novell Netware 3.11 network. The route of
336. infection is unknown, but we think the infection took place through
337. running infected .EXE file(s) from a user's floppy disk. No other
338. PC's were infected so far, but as long as the infected floppy
339. circulates, there is a potential for re-infection (alas...).
340.  
341. The Erasmus University Rotterdam is a legal user of McAfee's
342. SCAN/CLEAN/VSHIELD through a negociated licence mediated by the dutch
343. SURFnet organization in Utrecht, the Netherlands.
344.  
345. Sincerely,
346.  
347. ------------------------------
348.  
349. Date:    Thu, 23 Jan 92 16:54:00 +0200
350. From:    Y. Radai <RADAI@HUJIVMS.BITNET>
351. Subject: Re: NCSA has tested Antivirus Programs (PC)
352.  
353.   Vesselin Bontchev writes:
354.  
355. >There are currently several products, which claim to add a
356. >"self-disinfecting" envelope to other programs: I have only McAfee's
357. >FShield, but have heard about at least three more - The Untouchable,
358. >something from Central Point Software, and a product under
359. >development, which I discuss with someone from Bogota, Colombia (if I
360. >remember correctly, else - sorry)
361.  
362. Sorry, that's not accurate.  F-Shield (now called File Protector and
363. no longer associated with McAfee) does indeed add a self-disinfecting
364. envelope to other programs, but Untouchable certainly does not.  It
365. keeps all the disinfectant info in a central database. (It does check-
366. sum itself before checking other files and warns you if it has been
367. modified, but it does not *disinfect* itself on the fly as described
368. in your quote from Frisk.)
369.  
370.                                      Y. Radai
371.                                      Hebrew Univ. of Jerusalem, Israel
372.                                      RADAI@HUJIVMS.BITNET
373.                                      RADAI@VMS.HUJI.AC.IL
374.  
375. ------------------------------
376.  
377. Date:    21 Jan 92 22:18:27 +0000
378. From:    vail@tegra.com (Johnathan Vail)
379. Subject: Re: Trojan definition? Special case
380.  
381. hagbard@ark.abg.sub.org (Ralf Stephan) writes:
382.  
383.    I heard there was a collection for a FAQ list. Maybe this question
384.    belongs to it: What is the exact definition for "trojan"?
385.  
386. The definition I have in my glossary is:
387. ________________
388. trojan (horse) - This is some (usually nasty) code that is added to,
389.     or in place of, a harmless program.  This could include many viruses
390.     but is usually reserved to describe code that does not replicate
391.     itself.
392. ________________
393.  
394. [Moderator's note: Thanks for the FAQ submission.  I'm continuing to
395. put submissions in as they arrive.  As soon as we have a critical mass
396. of Q's and A's, I'll post a "beta" FAQ for everyone to review and
397. comment on.  BTW, I've gotten a number of suggestions on how/when I
398. should distribute the FAQ - thanks to all.  Comments and suggestions
399. are welcomed.]
400.  
401.    I would like to present you a special case where I would say,
402.    this is one, and I'm very interested in your opinion.
403.  
404.    Some week ago, someone uploaded a program in a BBS where
405.    anonymous uploading is possible. The program description given
406.    had some attributes that were sufficient to make the program a
407.    widely downloaded one. Keywords were: "sex","porno" et cetera...
408.    To admit, the author did all not to say what the program really
409.    was for.
410.  
411.    What the program did: It asked the user to free 20MB of hard
412.    disk space (if not already free), created a file with that length
413.    fully filled with "6"es and stuffed it on the screen. This should
414.    apparently be a joke since in German the words for "sex" and for
415.    the number 6 are spoken the same way. So the program actually
416.    intended no damage, but some users with small hard disks had
417.    problems with Murphy's law when freeing the space (they deleted
418.    files, you know).
419.  
420.    The story still is not ended because the program writer later
421.    claimed it to be a "scientific experiment"...
422.  
423.    So, is this a trojan or not? Where is the border between "damaging"
424.    and "not damaging"? Is it sufficient for a program to be a trojan
425.    if it does not what it says or intends?
426.  
427. I would say not.  It didn't masquerade as another program or hide
428. itself as part of another program.
429.  
430. Damaging or not is not part of the definition.  I would label it a
431. stupid immature prank, shun the author and forget about it.
432.  
433. And BTW, anyone who would download an untested program and follow
434. "suspect" instructions like that based on keywords like "sex" and
435. "porno" is just asking for trouble.  Some might suggest that these
436. people got what they deserved.
437.  
438. jv
439.  
440. "The time of day is no secret, but Apple still doesn't
441.  deserve the time of day." - RMS
442.  _____
443. |     | Johnathan Vail     vail@tegra.com     (508) 663-7435
444. |Tegra| jv@n1dxg.ampr.org    N1DXG@448.625-(WorldNet)
445.  -----  MEMBER: League for Programming Freedom (league@prep.ai.mit.edu)
446.  
447. ------------------------------
448.  
449. Date:    22 Jan 92 06:22:16 +0000
450. From:    spaf@cs.purdue.edu (Gene Spafford)
451. Subject: Need some simple statistics
452.  
453. I am trying to do some simple calculations regarding the appearance of
454. new viruses for the PC.  In particular, I need some information on:
455.   * how many new viruses appeared on the scene in 1990?
456.   * how many new viruses appeared in the first half of 1991?
457.   * how many new viruses appeared in the second half of 1991?
458.  
459. If you believe you have a reliable source for any of these figures,
460. please MAIL me your figures along with your source.  Please specify if
461. your numbers are for distinct viruses, or for variants too. I will
462. summarize the answers I get back to this list.
463.  
464. Thanks in advance.
465.  
466. - --spaf
467. - -- 
468. Gene Spafford
469. NSF/Purdue/U of Florida  Software Engineering Research Center,
470. Dept. of Computer Sciences, Purdue University, W. Lafayette IN 47907-1398
471. Internet:  spaf@cs.purdue.edu    phone:  (317) 494-7825
472.  
473. ------------------------------
474.  
475. Date:    Wed, 22 Jan 92 10:35:20 -0500
476. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
477. Subject: Antivirus Methods Congress
478.  
479.     It is real & I have been asked to be a part of it (was waiting
480. to make sure that it was going to be not-for-profit). IMHO this type
481. of organization is something that we have been needing in this country
482. just like we need a national virus/anti-virus testing facility. Since
483. NIST has decided not to take an active role in the PC community (at
484. least that was how I interpreted Dennis's talk at the NCSA luncheon),
485. there is a definate vaccuum.
486.  
487.     Since the criteria for proper testing has gone beyond what I
488. have available in my Den Closet (though now equipped with a network),
489. and the magazines are apparently unable to provide such testing. We
490. NEED a proper non-profit public testing and communicating
491. organization.
492.  
493.     With March 6th fast approaching, I suspect that Dick is acting
494. in the best Kanban possible. It is not going to be perfect, it is
495. going to make misteaks, it is not going to make everybody happy 8*(,
496. but it is necessary and I intend to support it.
497.  
498.     Now keep in mind that Dick is a NewYorker so one must make
499. allowances but he and Judy have done an excellent job in conducting
500. the International Virus and Security Conference (March 12 & 13 this
501. year - plug) which will be concurrent with the first meeting of the
502. AMC. "Well, lets just see..."  (_The Legend & the Mission_ (C) 1989
503. Pontiac Motor Div GMC).
504.  
505.         Warmly now but in San Antonio (IMHO the nicest city in
506.                                America that's hard to get to) tomorrow,
507.  
508.                         Padgett
509.                padgett%tccslr.dnet@mmc.com
510.  
511.                          (usual disclaimers apply)
512.  
513. ------------------------------
514.  
515. Date:    17 Jan 92 11:24:00 +0000
516. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
517. Subject: Re: Report: 8th Chaos Computer Congress
518.  
519. Eric_Florack.Wbst311@xerox.com writes:
520.  
521. > The following message was copied from RISKS-L.  Of particular  interest to
522. > VIRUS-L reader will be where the writer inserts 'comment #1'. That such
523.  
524. Yep... The review is from my boss, Prof. Klaus Brunnstein, who is the
525. head of the Virus Test Center at the University of Hamburg. I'll add
526. just a few corrections.
527.  
528. >      Remark #1: recent events (e.g. "Gulf hacks") and material presen ted on
529. >Chaos Congress '91 indicate that Netherland emerges as a new European center o
530. f
531. >  malicious attacks on systems and networks.  Among other potentially harmful
532.  
533. Yeah, we all have a bit of luck that Bulgaria does not have -wide-
534. access to computer communications... :-)
535.  
536. >  information, HACKTIC #14/15 publishes code of computer viruses (a BAT-virus
537. >  which does not work properly; "world's shortest virus" of 110 bytes, a
538. >  primitive non-resident virus significantly longer than the shortest resident
539. >  Bulgarian virus: 94 Bytes).  While many errors in the analysis show that the
540.  
541. Correction. The published "shortest virus" is in fact the shortest
542. (they believe) non-overwriting non-resident COM-file infector for
543. MS-DOS. It is 109 bytes, not 110. It was published in both source and
544. hex dump. The hex dump has obviously been entered by hand from an
545. assembly listing of the source, and by an unexperienced person, on the
546. top of that, that's why it is extremely buggy and will not work. The
547. source works perfectly, however, if assembled.
548.  
549. The shortest virus in the same class (Prof. Brunnstein is wrong here -
550. it is non-resident) is indeed Bulgarian and is indeed 94 bytes only.
551. However, it contains an undocumented instruction (POP CS), which works
552. only on 8086/8088 processors (not above).
553.  
554. >authors lack deeper insigth into malware technologies (which may change), thei
555. r
556. >criminal energy in publishing such code evidently is related to the fact that
557. >Netherland has no adequate computer crime legislation.  In contrast, the adven
558. t
559.  
560. Indeed, the lack of legislation leads to creation of computer viruses,
561. as my Bulgarian experience tells me... :-)
562.  
563. > not all topics have been reported.  All German texts are available from the
564. > author (in self-extracting file: ccc91.exe, about 90 kByte), or from CCC
565. > (e-mail: SYSOP@CHAOS-HH.ZER, fax: +49-40-4917689).
566.  
567. Just a moment!!! We already got HUGE amount of requests, so we are
568. unable to send the proceedings by e-mail. Those of you who have ftp
569. access can get them from ftp.informatik.uni-hamburg.de [134.100.9.29],
570. directory /pub/virus/texts, file ccc91.zip. Just don't forget that the
571. texts are in German. If anybody volunteers to translate them in
572. English, we'll appreciate that. Please, upload anything virus-related
573. to the directory /pub/virus/incoming, *not* to the directory
574. /incoming.
575.  
576. Regards,
577. Vesselin
578. - -- 
579. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
580. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
581. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
582.  
583. ------------------------------
584.  
585. Date:    Wed, 22 Jan 92 10:04:40 -0700
586. From:    jrbd@craycos.com (James Davies)
587. Subject: Re: Gulf War Virus & "Softwar"
588.  
589. RTRAVSKY@corral.uwyo.edu (Rich Travsky) writes:
590. >Regarding the Gulf War virus: Anyone remember the book "Softwar", by
591. >Thierry Breton and Denis Beneich? Came out in 1984. Been a while since
592. >I read it, goes something like this: The U.S. allows the Soviets to
593. >buy a super-computer. The chips were, uh, slightly modified. Or
594. >something like that. You can guess the rest. Fair reading as I recall.
595.  
596. I didn't read this book, but I remember seeing reviews and looking at
597. it in a bookstore.  The inane, implausible plot was that the US
598. allowed the USSR to smuggle a Cray-something into their country, and
599. that as soon as a particular weather condition came up in the weather
600. program (that all Crays run all the the time, of course, even ones
601. doing codebreaking in the Soviet Union), it started taking over all of
602. the other computers in the country.  Interoperability at its finest.
603. What I found especially laughable in the promotions for the book was
604. that one of the authors was described as some sort of incredible
605. computer genius, thus enhancing the plausibility of the book's
606. scenario.  I suspect that the guy had a C64 that he used to play video
607. games, given the deep technical understanding that the book appeared
608. to show...
609.  
610. >Too bad the Gulf War version seems to an April Fool's story. (We
611. >coulda had a sequel to the book!)
612.  
613. Heaven forbid.
614.  
615. ------------------------------
616.  
617. Date:    Wed, 22 Jan 92 11:54:32 -0700
618. From:    kev@inel.gov (Kevin Hemsley)
619. Subject: FLASH Virus
620.  
621. p1@arkham.wimsey.bc.ca (Rob Slade) writes:
622.  
623.  >"Upgradeable" means the *user* can update (*change*) his BIOS from a
624.  >program distributed on a floppy or other media.  The danger of flash
625.  >EAPROMs is a real area of concern and should not be taken lightly.
626.  
627.  >True, they have not hit the marketplace yet but figure:
628.  
629. Correction, Flash EPROM BIOS are on the market and have been for
630. several months now.  An EISA board designed by Anigma and marketed by
631. Swan Technologies is for sale at your local mail order catalogue.
632.  
633.  >This is the danger to be considered but fortunately it has been.  The
634.  >following things can/are being done:
635.  
636.  >* hardware enable of reprogramming (switch/jumper plug, etc)
637.  
638. According to Swans technical support the BIOS are upgraded by
639. "software-only, no hardware."
640.  
641.  >Most importantly is that different vendors are implementing their own
642.  >hardware and the lack of a "standard" should prevent any flash virus
643.  >from having a large enough culture to thrive in.
644.  
645. I agree that because of proprietary differences, and the fact that
646. most machines today do not have Flash EPROM BIOS, BIOS modifying
647. viruses will not become a significant issue.  Although I have no doubt
648. that someone will probably try, "just for the fun of it." :(
649.  
650. - -------------------------------------------------------------------------------
651.  Kevin Hemsley                             |
652.  Information & Technical Security          | If you think that you have someone
653.  Idaho National Engineering Laboratory     | eating out of your hand, it's a
654.  (208) 526-9322                            | good idea to count your fingers!
655.  kev@inel.gov                              |
656. - -------------------------------------------------------------------------------
657.  
658. ------------------------------
659.  
660. Date:    22 Jan 92 23:36:24 +0000
661. From:    spaf@cs.purdue.edu (Gene Spafford)
662. Subject: Re: New Antivirus Organization Announced
663.  
664. Here is a description of the Antivirus Methods Congress, direct from
665. Dick Lefkon himself (along with a paragraph about who Dick is):
666.  
667. Dick Lefkon (dklefkon@well.sf.ca.us) is 1991-1992 President of
668. Antivirus Methods Congress.  His term of office ends spring 1992.  He
669. is program chair of the FIFTH INTERNATIONAL COMPUTER VIRUS & SECURITY
670. CONFERENCE to be held March 11-13 at the Loews Summit and Marriott in
671. New York.  Dick was asked to do the setup work for AMC in 1991 since
672. he had helped to start five of the eight SIGs at Data Processing
673. Management Association.  Of four clearance levels (researcher, vendor,
674. user practitioner, lay user), Dick ranks himself as a user
675. practitioner.
676.  
677. AMC was established to unite all constituencies in the struggle to
678. slow and eventually overcome the onslaught of malevolent code.
679. Specific committees for University Users, Corporate Users, Government
680. Users, Vendors, Telecom Users, and Non-DOS users have directly elected
681. chairs and make sure their constituencies receive proper liaison and
682. are not inadvertently ignored by the joint effort.  AMC does not
683. endorse any product or course.
684.  
685. Action Committees of AMC include Identification/Classification, Legal,
686. Credentials (includes clearance for virus swapping), Nonproliferation
687. (protections in swapping), Research Methods and possible others.  AMC
688. acts as a "frontend" for existing centers and efforts, a single
689. well-known referral point that the uninitiated user can contact with a
690. need and be sent directly to one or more existing parties.  AMC
691. "harmonizes" with other ongoing efforts and does not attempt to
692. supplant any.  No dues until spring vote, then $5 or $10 US
693. thereafter.  Quarterly or monthly thin newsletter (no scholarly
694. journal), with most productive committee work done via existing e-mail
695. and donated forum space.
696.  
697. Membership by sending name, address, e-mail and phone and saying
698. you hereby declare yourself a member.  Name your classification
699. if it's clear to you.
700. - -- 
701. Gene Spafford
702. NSF/Purdue/U of Florida  Software Engineering Research Center,
703. Dept. of Computer Sciences, Purdue University, W. Lafayette IN 47907-1398
704. Internet:  spaf@cs.purdue.edu    phone:  (317) 494-7825
705.  
706. ------------------------------
707.  
708. Date:    Wed, 22 Jan 92 07:37:00 -0500
709. From:    HAYES@urvax.urich.edu
710. Subject: program update from Padgett Peterson (PC)
711.  
712. Hello.
713.  
714. Just received and made available for FTP transfer FIXMBR24.ZIP.  This
715. is an update of A. Padgett Peterson FixMBR.  This update corrects a
716. potential problem with ESDI hard disks.
717.  
718. Best, Claude.
719.  
720. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
721. Claude Bersano-Hayes     HAYES @ URVAX                 (Vanilla BITNET)
722. University of Richmond   hayes@urvax.urich.edu     (Bitnet or Internet)
723. Richmond, VA  23173
724.  
725. ------------------------------
726.  
727. Date:    Thu, 23 Jan 92 15:53:21 +0700
728. From:    frisk@complex.is (Fridrik Skulason)
729. Subject: F-PROT 2.02 now available (PC)
730.  
731. Version 2.02 of F-prot is now available on SIMTEL20, and should be
732. available on beach.gal.utexas.edu in a day or two....
733.  
734. - -frisk
735.  
736. - ------------------------------------------------------------------------------
737. Version 2.02 - corrections:
738.  
739.   "Secure Scan" used to report a "possible new variant of Yaunch" when
740.   scanning certain files, including some OS/2 executables - fixed.
741.  
742.   On certain old types of 360K floppy disk drives the scanner would not
743.   always detect a disk change - it would scan the boot sector correctly,
744.   but not the files contained on the diskette - fixed.
745.  
746.   "Analyse Program" would occasionally crash with a "Divide error"
747.   message - fixed.
748.  
749.   Version 2.01 had some problems when scanning Bernoulli boxes, and
750.   when run from the OS/2 DOS box - fixed.
751.  
752. Version 2.02 - improvements:
753.  
754.   "Secure Scan" is now several times as fast as previously, and it is now
755.   the default method.  "Full Scan" no longer exists.
756.  
757.   "Secure Scan" can now usually determine if data has been appended to a
758.   file after infection.
759.  
760.   "Secure Scan" can now also usually determine if a file has been
761.   infected by two different viruses, and should be able to remove them
762.   in the correct order.
763.  
764.   Memory scan is now much faster than previously, but can no longer be
765.   aborted by pressing ESC.
766.  
767.   As the first .SYS-infecting files have now been found "in the wild"
768.   outside Bulgaria, the set of default file extensions has been expanded
769.   to include "SYS" as well.
770.  
771.   It is now possible to scan for any combination of boot/file viruses,
772.   Trojans and user-defined patterns at the same time - previously a
773.   separate scan was required to search for user-defined patterns.
774.  
775.   The scanning report now includes a date/time stamp, as well as a
776.   description of the parameters used.
777.  
778.   The following command-line switches have been added.
779.  
780.       /ANALYSE      Uses heuristic analysis instead of signature-based
781.                     virus scanning.
782.       /HARD         Scan all DOS partitions on the hard disk.
783.       /MULTI        Scan multiple diskettes.
784.       /NET          Scan all network "drives".
785.       /REPORT=file  Saves the output to "file".
786.       /SILENT       Generates no screen output.
787.  
788.    "Analysis" no longer exists as a separate function in the main menu,
789.    but only as the third search method, in addition to Secure Scan and
790.    Quick Scan.
791.  
792.    The VIRSTOP.BIN file no longer exists.
793.  
794.    F-PROT.EXE now returns an exit code, which can be checked with an
795.    ERRORLEVEL command.  See COMMAND.DOC for further information.
796.  
797. Version 2.02 - new viruses:
798.  
799.   The following 75 new viruses (or new variants of old viruses) can be
800.   detected and removed with version 2.02
801.  
802.     _2330  (temporary name)
803.     Albania (429, 506, 575 and 606)
804.     AntiPascal 2 (440-B and 480-B)
805.     Anto
806.         Black Monday-Borderline
807.      Boojum
808.     Bulgarian Tiny-Ghost
809.     Burger-Pirate
810.     Burghofer
811.     Cascade-1701-S
812.     Checksum (1.00 and 1.01)
813.         Crazy imp
814.     CSL (V4 and V5)
815.         Dada
816.      Dark Avenger-null
817.     Day/10
818.         DM (310 and 400-1.01)
819.         Feist
820.     Hitchcok
821.     Hungarian-473
822.         Hydra (0, 1, 2, 3, 4, 5, 6, 7 and 8)
823.     ILL
824.     JD (158, 276, 356, 392, 448 and 460)
825.         Jerusalem (Einstein, Miky and T13)
826.         Lao Doung
827.      MH-757
828.     Mosquito-Topo
829.     MSTU-554
830.     Murphy-Amilia
831.     MPS-OPC-EXE-4.01
832.     NV71 (only 1827 bytes long, not 1840 as reported elsewhere)
833.     Orion (262 and 365)
834.     Pixel-Rosen
835.     QMU-1513
836.         Shadowbyte-635
837.     Sistor (2225 and 2380)
838.         Smallv-115
839.     South African-623
840.         Stoned-NoInt
841.     Surrender
842.         Sylvia-C
843.     Tokyo
844.     Trivial-44
845.     Tumen-1.2
846.     V-472
847.         V-905-765 (The family name may be changed soon)
848.         VCS-Manta
849.         VCS-VDV-853
850.         Vienna-625
851.     Voronezh-Chemist
852.     Words (1391 and 1485)
853.  
854.   The following 33 new viruses can now be detecte
855. Downloaded From P-80 International Information Systems 304-744-2253
856.