home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker Chronicles 1 / HACKER1.ISO / misc / v05i016.txt

< prev

next >

Wrap

Internet Message Format  |  1992-09-27  |  21KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V5 #16
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Tuesday, 28 Jan 1992    Volume 5 : Issue 16
9.  
10. Today's Topics:
11.  
12. Plastique Virus... (PC)
13. Re: Fprot v2.02 on risc (PC)
14. Re: NCSA has tested Antivirus Programs (PC)
15. Re: .SYS Infector? Really? Info Please! (PC)
16. Re: vsum info... (PC)
17. Re: VIRUS at AT286 in SCAN85 (PC)
18. FAT chance? (PC)
19. Possible Virus, Help!! (PC)
20. re: New virus????? (PC)
21. F-PROT/CPAV conflict (PC)
22. CDef Virus (Mac)
23. very strange Mac behavior (Mac)
24. Re: New Antivirus Organization Announced
25. Re: Trojan definition? Special case
26. Re: Sigs
27. new from Padgett Peterson (PC)
28. "Commercial safety" myth
29.  
30. VIRUS-L is a moderated, digested mail forum for discussing computer
31. virus issues; comp.virus is a non-digested Usenet counterpart.
32. Discussions are not limited to any one hardware/software platform -
33. diversity is welcomed.  Contributions should be relevant, concise,
34. polite, etc.  (The complete set of posting guidelines is available by
35. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
36. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
37. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
38. Information on accessing anti-virus, documentation, and back-issue
39. archives is distributed periodically on the list.  Administrative mail
40. (comments, suggestions, and so forth) should be sent to me at:
41. krvw@CERT.SEI.CMU.EDU.
42.  
43.    Ken van Wyk
44.  
45. ----------------------------------------------------------------------
46.  
47. Date:    Mon, 20 Jan 92 16:04:00 -1100
48. From:    Veyis MUEZZINOGLU <VEYIS@TRERUN.BITNET>
49. Subject: Plastique Virus... (PC)
50.  
51. Hi everybody!
52. We have trouble with a virus whose name is PLASTIQUE.
53. I think it infect both .EXE and .COM files and place itself to FAT.
54. Once a file infected, then it does not working and operating
55. system (or virus itself) gives
56. "Sector not found..."
57. or
58. "File allocation table error on drive...."
59. errors.
60. Also, it doesn't possible to copy it.
61. After this information, does anybody know where can we get
62. an antivirus program which remove this virus from our PCs.
63.  
64. Thanks in advance...
65.  
66. Veyis Muezzinoglu
67. Erciyes University              VEYIS@TRERUN.BITNET
68. Computer Center
69.  
70. ------------------------------
71.  
72. Date:    27 Jan 92 12:36:14 +0000
73. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
74. Subject: Re: Fprot v2.02 on risc (PC)
75.  
76. JFORD@UA1VM.BITNET (James Ford) writes:
77.  
78. > Also, I attempted to ftp the file ccc21.zip (?), but was unable to access
79. > the server using anonymous.  If someone has it, please upload it to risc
80.  
81. Ooops, I published the address incorrectly. Mea culpa, sorry. The
82. correct name of the file is ccc91.zip, it is on
83. ftp.informatik.uni-hamburg.de [134.100.4.42], in the /pub/virus/texts
84. directory. Please note that we have only one (and quite slow) modem,
85. so I'll appreciate if the file is made available on more popular
86. archive sites as well. One more time sorry for the confusion.
87.  
88. Regards,
89. Vesselin
90. - -- 
91. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
92. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
93. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
94.  
95. ------------------------------
96.  
97. Date:    27 Jan 92 12:50:21 +0000
98. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
99. Subject: Re: NCSA has tested Antivirus Programs (PC)
100.  
101. RADAI@HUJIVMS.BITNET (Y. Radai) writes:
102.  
103. > >There are currently several products, which claim to add a
104. > >"self-disinfecting" envelope to other programs: I have only McAfee's
105. > >FShield, but have heard about at least three more - The Untouchable,
106. > >something from Central Point Software, and a product under
107. > >development, which I discuss with someone from Bogota, Colombia (if I
108. > >remember correctly, else - sorry)
109.  
110. > Sorry, that's not accurate.  F-Shield (now called File Protector and
111. > no longer associated with McAfee) does indeed add a self-disinfecting
112. > envelope to other programs, but Untouchable certainly does not.  It
113. > keeps all the disinfectant info in a central database. (It does check-
114. > sum itself before checking other files and warns you if it has been
115. > modified, but it does not *disinfect* itself on the fly as described
116. > in your quote from Frisk.)
117.  
118. I didn't express myself clearly enough, sorry. My arguments were
119. mainly against the generic disinfection, regardless how it is
120. implemented. I agree that keeping the information in a database is
121. much more correct than to attach it to the files, but I still claim
122. that generic disinfection is impossible in the general case (even if
123. using only the currently known infection techniques, and maybe even
124. with the currently existing viruses). Any, yes, I know that The
125. Untouchable does not destroy files when it tries to disinfect them,
126. since it checks whether the repaired file will have the same checksum
127. as the originals.
128.  
129. Regards,
130. Vesselin
131. - -- 
132. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
133. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
134. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
135.  
136. ------------------------------
137.  
138. Date:    27 Jan 92 13:06:38 +0000
139. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
140. Subject: Re: .SYS Infector? Really? Info Please! (PC)
141.  
142. RTRAVSKY@corral.uwyo.edu (Rich Travsky 3668 (307) 766-3663/3668) writes:
143.  
144. > What's this about a .sys infector? (Frisk Skulason mentions this in a
145. > recent Virus-l digest.) Some more information please, this is news for
146. > me.
147.  
148. The device drivers (usually stored in files with SYS extension)
149. contain executable code, just as the COM and EXE files. They can even
150. be of the two possible types - COM-type device drivers, and EXE-type
151. device drivers. Well, to be exact, they have a somewhat special
152. header, but it is well documented in the manuals and anybody who
153. bothers to read them can figure out how to write a device driver
154. infector.
155.  
156. It is arguable whether a device-drivers infecting virus will have any
157. chance to spread only, but nobody said that it must infect only device
158. drivers... One could (in fact several people already did) write a
159. virus, which infects both EXE & COM files and device drivers... In
160. fact, it could infect boot sectors, partition tables, OBJ files,
161. libraries, etc...
162.  
163. There have been device drivers infecting viruses since more than two
164. years - the Happy New Year (Bulgarian) was the first one, but it's not
165. so easy to make it infect device drivers, so several people haven't
166. noticed that. Currently I can recall at least about two other device
167. drivers infecting viruses, both of Russian origin - SVC 6.0 and
168. Starship. Yet, I know only about one virus scanner, which checks the
169. device drivers properly - the Dr. Alan Solomon's AntiVirus ToolKit.
170.  
171. Hope the above helps.
172.  
173. Regards,
174. Vesselin
175. - -- 
176. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
177. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
178. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
179.  
180. ------------------------------
181.  
182. Date:    27 Jan 92 13:26:30 +0000
183. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
184. Subject: Re: vsum info... (PC)
185.  
186. hobbit@vax.ftp.com (*Hobbit*) writes:
187.  
188. > Forgive me if this is a faq; I haven't seen any recent references.  Is
189. > there a plaintext version of vsumx.h! that is readable by humans
190. > without use of a program?
191.  
192. The package includes the program in question, so you can read it
193. without problems. If you read it -carefully-, you'll see the
194. explanation why Patti switched to hypertext versions (hint: look at
195. the Revision History entry). Although I would like to be able to print
196. porions of it into files in plain-text mode, without using dirty
197. tricks and printer redirection...
198.  
199. Regards,
200. Vesselin
201. - -- 
202. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
203. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
204. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
205.  
206. ------------------------------
207.  
208. Date:    27 Jan 92 13:20:30 +0000
209. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
210. Subject: Re: VIRUS at AT286 in SCAN85 (PC)
211.  
212. tkorho@cs.joensuu.fi (Tommi Korhonen) writes:
213.  
214. > Mine 286 did also JAM after i GOT THE SCAN85.ZIP!!!!!
215. [description deleted]
216.  
217. Hmm, sounds more like a hardware problem, or a corrupted DOS... (No
218. problem to write a virus, which does the same, of course, but I don't
219. think this is your case. And it's certainly not because of SCAN /AV.
220. You could remove the checksums with SCAN /RV and check whether the
221. problems disappears. Another advise, boot from a clean DOS system disk
222. and perform a SYS on your hard disk (or use Norton's "make disk
223. bootable", if the version of your SYS is not smart enough). No
224. guarantees, but the problem may disappear. Also try CHKDSK and watch
225. for any reports about corrupted files...
226.  
227. Regards,
228. Vesselin
229. - -- 
230. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
231. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
232. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
233.  
234. ------------------------------
235.  
236. Date:    Fri, 24 Jan 92 20:54:16 +0000
237. From:    lark@Solbourne.COM (Daniel Larkin)
238. Subject: FAT chance? (PC)
239.  
240.     Hi,
241.  
242.     Does anyone know of any virus that attacks strictly
243.     the FAT on the hard disk, and if so, what choices
244.     (if any) is there to combat this problem? Any
245.     information on this will be appreciated.
246.  
247.     Thanks,
248.   
249.     DAN L.
250.  
251. ------------------------------
252.  
253. Date:    Mon, 27 Jan 92 14:10:00 -0600
254. From:    "RICKY GATES" <RCG1659@TNTECH.BITNET>
255. Subject: Possible Virus, Help!! (PC)
256.  
257. I was working on a friends Gateway 2000 386SX-20 MHz computer this
258. weekend, when every time I hit the space bar on the keyboard. It stops
259. taking input from the keyboard, but the computer types out TUMARC FROM
260. CHINA on the screen and beeps for about 3 to 4 minutes. It then stops
261. and leaves the text on the screen. I can backspace it off the screen,
262. but as soon as I hit the spacebar again it does it again. I asked my
263. friend when it started doing this to him. He replied that it started
264. doing it a little while after installing Calender Creater Plus,
265. AddressBook, and one other program from Power-Up software. I am
266. wondering if anyone out there has heard of this problem or virus. I
267. looked in McAfee's virus list and it is not listed, so I am wondering
268. if this a new virus that has not yet been seen. If anyone has any
269. suggests at all please send me e-mail. Thanks!!!
270.  
271. Ricky Gates
272. TTU College of Business
273. Microcomputer Specialist and LAN Mgr
274. (615) 372-3684
275. BITNET: RCG1659@TNTECH.BITNET
276.  
277. ------------------------------
278.  
279. Date:    27 Jan 92 15:32:13 -0500
280. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
281. Subject: re: New virus????? (PC)
282.  
283. >From:    diaz@leland.stanford.edu (Kathy Diaz)
284.  
285. >I have a question it seems that I have come across some sort of virus.
286. >My Dos Machine has in every directory a file called aux.
287.  
288. Various words, including "aux", "con" and "prn", are reserved device
289. names in DOS.  If you try to do anything with them as though they were
290. files, various odd and unexpected things can happen.  "aux" actually
291. tells DOS to read to / write from the serial port; if the right sort
292. of device were hooked up there, it might actually work, although I
293. haven't heard of anyone doing it.  "con" tells DOS to treat the
294. keyboard/screen (the "console") as a file; this can be very useful (as
295. in COPY CON: TEST.JNK), but many editors will get very confused when
296. faced with "edit con".  Or "edit aux".  For more info, see the index
297. of most DOS manuals, under "device names".
298.  
299. Probably not a virus!   *8)
300.  
301. - ---
302. David M. Chess                                          mI' jIHbe' jay'!
303. High Integrity Computing Lab                            loD tlhab jIH!
304. IBM Watson Research                                          -- qama''e'
305.  
306. ------------------------------
307.  
308. Date:    Tue, 28 Jan 92 00:06:44 +0700
309. From:    frisk@complex.is (Fridrik Skulason)
310. Subject: F-PROT/CPAV conflict (PC)
311.  
312. A user of F-PROT 2.02 just reported a conflict between that program and the
313. Central Point anti-virus program:
314.  
315. It seems that "Secure Scan" reports:
316.  
317.     VSAFE.SYS  Infection: New or modified variant of Flip
318.     VWATCH.SYS  Infection: New or modified variant of Flip
319.  
320. This means that both FLIP signatures are found in the program, but it does not
321. appear to be a normal infected file - perhaps a new variant.
322.  
323. Actually, this is a false alarm, caused by the fact that the folks at CP
324. use the same signatures as I do, and they do not store them in encrypted form
325. in the file - something any decent anti-virus program should do... :-)
326.  
327. So, if you get this particular message on these files don't worry...I'll do
328. something about this in the next version, although I really consider this
329. to be CP's problem....
330.  
331. - -frisk
332.  
333. ------------------------------
334.  
335. Date:    Mon, 27 Jan 92 08:54:31 -0500
336. From:    Ed Maioriello <edm@athena.cs.uga.edu>
337. Subject: CDef Virus (Mac)
338.  
339. Hello All,
340.  
341. I have been seeing alot of the CDEF virus lately.  Does anyone have
342. any info on the way the virus works etc.  It seems to be caught quite
343. nicely by the Disinfectant init, and removed easily by Disinfectant
344. 2.5.1, but I would like to know more about it.
345.  
346. Thanks in advance.
347.  
348. Ed Maioriello                                   emaiorie @ uga.cc.uga.edu
349. University Computing & Networking Services           edm @ athena.cs.uga.edu
350. University of Georgia                    edm @ aisun1.ai.uga.edu
351. Athens, Ga. 30602                    (404) 542-5162
352.  
353. ------------------------------
354.  
355. Date:    24 Jan 92 21:41:17 +0000
356. From:    peter@sysnext.library.upenn.edu (Peter C. Gorman)
357. Subject: very strange Mac behavior (Mac)
358.  
359. Hello -
360.  
361. I've got a Mac IIsi, system 6.0.7, that's behaving very strangely:
362.  
363. - - When anyone tries to access the Page Setup or Print functions from
364. just about any application, Gatekeeper says that the application is
365. trying to violate res(system) privileges against the System -
366. RsrcMapEntry(DRVR2).
367.  
368. - - The Mac was working perfectly happpily until a few days ago; the
369. user doesn't know of any changes that were made.  (But this is a
370. semipublic machine)
371.  
372. - - Some applications also trigger the warning when loading or when
373. trying to open a document.
374.  
375. - - Disinfectant 2.5.1 sees nothing wrong.
376.  
377. Has anyone seen this sort of this thing before?  I don't want to raise
378. the virus alarm prematurely; It's possible that something's been
379. corrupted by other means.
380.  
381. Oh yeah - replacing the System file and printer drivers doesn't change
382. anything.
383.  
384. Thanks for your help.
385. - --
386. Peter Gorman
387. University of Pennsylvania
388. Library Systems Office
389. peter@sysnext.library.upenn.edu
390.  
391. ------------------------------
392.  
393. Date:    Mon, 27 Jan 92 09:21:13 +0000
394. From:    Fridrik Skulason <frisk@complex.is>
395. Subject: Re: New Antivirus Organization Announced
396.  
397. RTRAVSKY@corral.uwyo.edu (Rich Travsky 3668 (307) 766-3663/3668) writes:
398.  
399. >The following is from the Dec 30,1991/Jan 6,1992 issue of Network World.
400. >    Northern Telecom, Inc. and universities in Hamburg, Germany, and
401. >    Iceland.
402.  
403. Hm...I suppose that "University of Iceland" is supposed to refer to
404. me...  but it is a misunderstanding - I quit my job at the university
405. last April, and now concentrate my efforts on the development of my
406. product, and virus-related work.
407.  
408. - -frisk
409.  
410. ------------------------------
411.  
412. Date:    27 Jan 92 13:15:53 +0000
413. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
414. Subject: Re: Trojan definition? Special case
415.  
416. vail@tegra.com (Johnathan Vail) writes:
417.  
418. > The definition I have in my glossary is:
419. > ________________
420. > trojan (horse) - This is some (usually nasty) code that is added to,
421. >     or in place of, a harmless program.  This could include many viruses
422. >     but is usually reserved to describe code that does not replicate
423. >     itself.
424. > ________________
425.  
426. Hmm, the definition is not that bad, but I think that a more exact one
427. would be "a program, which intentionally performs some undocumented
428. functions"... Oh well.
429.  
430. Regards,
431. Vesselin
432. - -- 
433. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
434. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
435. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
436.  
437. ------------------------------
438.  
439. Date:    Fri, 24 Jan 92 21:22:58 +0000
440. From:    rslade@cue.bc.ca (Rob Slade)
441. Subject: Re: Sigs
442.  
443. willimsa@unix1.tcd.ie (alastair gavi williams) writes:
444. >    So, what's a signature virus?  Does it require the file to be
445.  
446. The signature virus is a joke.  You will note, on those sigblocks that
447. have it, the note "append me to your sig file".
448.  
449. It is strikingly similar to the "classified ads" virus.  The one that
450. says "send a copy of me to your local paper classified ads section".
451.  
452. ==============
453. Vancouver      p1@arkham.wimsey.bc.ca   | "Is it plugged in?"
454. Institute for  Robert_Slade@sfu.ca      | "I can't see."
455. Research into  rslade@cue.bc.ca         | "Why not?"
456. User           CyberStore Dpac 85301030 | "The power's off
457. Security       Canada V7K 2G6           |  here."
458.  
459. ------------------------------
460.  
461. Date:    Tue, 28 Jan 92 09:53:00 -0500
462. From:    HAYES@urvax.urich.edu
463. Subject: new from Padgett Peterson (PC)
464.  
465. Hello.
466. Just received from A. Padgett Peterson and made available:
467.  
468. FIXUTIL2.ZIP:
469.     > Minor updates of FIXUTIL - CHKBOOT finds FORM family, FixFBR won't
470.     > flag Zenith boot records as suspect - .doc reflects lower pricing
471.     > (why not ?) minor ASCII changes.
472.  
473. Best, Claude.
474.  
475. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
476. Claude Bersano-Hayes     HAYES @ URVAX                 (Vanilla BITNET)
477. University of Richmond   hayes@urvax.urich.edu     (Bitnet or Internet)
478. Richmond, VA  23173
479.  
480.  
481. ------------------------------
482.  
483. Date:    Sun, 26 Jan 92 21:07:52 -0800
484. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
485. Subject: "Commercial safety" myth
486.  
487. DEFMTH8.CVP   920126
488.  
489.                      The "Commercial Safety" Myth
490.  
491. If I had to choose one viral myth which most contributed to the
492. unchecked spread of viral programs that exists today, it would be that
493. of the "safety" of commercial software.  Although there is little
494. agreement as to actual numbers, most virus researchers would agree with
495. the statement that the vast majority of viral infections are caused by
496. viri which are both easy to detect and easy to remove.  Yet one recent
497. survey of 600,000 PCs indicated that 63% had been hit with an infection. 
498. Why?  Easy.  Only 25% had any kind of protection against viri.  (Note -
499. even more disturbing - *at least* 48% *have been hit and STILL HAVE NOT
500. TAKEN PRECAUTIONS!*)
501.  
502. I am often faced with the assertion from computer users that, "Oh, I
503. don't need to worry about viruses.  *I* only use *commercial* software. 
504. If it doesn't have shrink wrap, it doesn't go into *my* computer!"  This
505. statement, and feeling of false security, relies on three assumptions:
506. 1) that shareware is a major viral vector, 2) commercial software is
507. never infected, only shareware and pirate software are and 3) there are
508. no viral vectors other than software.
509.  
510. Although shareware has been involved in the spread of viral programs, it
511. is difficult to say how much of a role that it plays.  In nine years of
512. involvement with the local and extended communications community, I have
513. not yet downloaded a file which I found to contain a viral program
514. infection.  (Except for the ones that were sent to me as such.)  Note
515. that I am not making any claims to superior knowledge or expertise here:
516. my random sampling of interesting looking files off the nets and boards
517. has yet to pull in one which is infected.  Others say otherwise,
518. although it was interesting to note, in a recent conversation where
519. someone to the opposing view, that he finally had to admit he'd never
520. downloaded an infected file either.  In fact, for many years, shareware
521. antivirals were the only reasonable form of protection.
522.  
523. Every major microcomputer operating system except CP/M has had at least
524. one instance of a major commercial software vendor distributing infected
525. programs or media.  They take precautions, of course, but apparently
526. still don't give virus checking a high enough priority.
527.  
528. Besides which, there are other possibilities for obtaining viral
529. infections from "commercial" sources.  Most commercial software is still
530. distributed on writable media.  Software retailers will often accept
531. "returned" software, re-wrap it (shrink wrapping is easy to do) and
532. resell it - often without checking for any incidental infection. 
533. Hardware or system retailers are all too often selling infected systems
534. these days, not knowin
535. Downloaded From P-80 International Information Systems 304-744-2253
536.