home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker Chronicles 1 / HACKER1.ISO / misc / v05i115.txt

< prev

next >

Wrap

Internet Message Format  |  1992-09-27  |  37KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.ORG>
2. Errors-To: krvw@CERT.ORG
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V5 #115
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Wednesday, 10 Jun 1992    Volume 5 : Issue 115
9.  
10. Today's Topics:
11.  
12. help me .. is this a virus? (PC)
13. F-PROT & DR-DOS 6.0 (PC)
14. Help for a new(unknown) virus (PC)
15. Virus or hard disk problems ? (PC)
16. Troi Two information (PC)
17. "Wonder-2" False Alarms in NAV 2.0 update 4 (PC)
18. SCAN vs. CLIPPER 5.0 (PC)
19. Re: Zipped Viruses (PC)
20. Re: VD virus (PC)
21. Detecting the MtE (PC)
22. ISPNews & Virx (PC)
23. Virus Discovery (PC)
24. HyperCard anti-virus solution available (Mac)
25. Notes on ANSI bombs (various)
26. Re: Taxonomy of viruses
27. An apparent case of deliberate punitive virus-spreading
28. Re: what's this .signature stuff?
29. uploads to risc.ua.edu (PC)
30. New files on eugene (PC) (Mac)
31. Colds and Flu season... (Humor!)
32.  
33. VIRUS-L is a moderated, digested mail forum for discussing computer
34. virus issues; comp.virus is a non-digested Usenet counterpart.
35. Discussions are not limited to any one hardware/software platform -
36. diversity is welcomed.  Contributions should be relevant, concise,
37. polite, etc.  (The complete set of posting guidelines is available by
38. FTP on cert.sei.cmu.edu or upon request.) Please sign submissions with
39. your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
40. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
41. Information on accessing anti-virus, documentation, and back-issue
42. archives is distributed periodically on the list.  A FAQ (Frequently
43. Asked Questions) document and all of the back-issues are available by
44. anonymous FTP on cert.org (192.88.209.5).  Administrative mail
45. (comments, suggestions, and so forth) should be sent to me at:
46. <krvw@CERT.ORG>.
47.  
48.    Ken van Wyk
49.  
50. ----------------------------------------------------------------------
51.  
52. Date:    Tue, 02 Jun 92 16:06:25 -0500
53. From:    CCGERRY@UMCVMB.BITNET
54. Subject: help me .. is this a virus? (PC)
55.  
56. >I boot up the machine and it appears to run fine through the boot up
57. >until I type in a command and hit return.  It doesnt matter what the
58. >command is. Every time it does this:
59. >
60. >B:
61. >A:
62. >A:cd\
63. >A:win
64.  
65. Hmmm, we had someone call in with this problem during the Michalengo
66. event.  Is your machine a new Gateway?  His was.  The new Gateways
67. have highly programmable keyboards.  Somehow he put his keyboard
68. into "Record" mode and assigned all subsequent keystrokes to
69. his Enter key.  He accidentally recorded his installation of
70. F-PROT.
71.  
72. Even after power off, and booting from a DOS diskette, every time
73. he pressed his Enter key, it played back the keystrokes he
74. accidentally recorded.  Since it kept on attempting to re-install
75. F-PROT, he swore that F-PROT had a virus. :-)
76.  
77. If you have a Gateway clone, check your manual and find out how
78. to "de-program" your keys!
79.  
80. - ---CCGERRY@UMCVMB.MISSOURI.EDU
81.  
82. ------------------------------
83.  
84. Date:    Wed, 03 Jun 92 07:12:33 -0500
85. From:    "Dr. Martin Erdelen" <HRZ090@DE0HRZ1A.BITNET>
86. Subject: F-PROT & DR-DOS 6.0 (PC)
87.  
88. Good morning (Central European Summertime) everybody,
89.  
90. here are two questions concerning F-PROT:
91.  
92. 1) What does the message "invalid program" mean?
93.  
94. 2) Several users reported problems when trying to run VIRSTOP (v. 2.01) under
95. DR-DOS v. 6.0.
96.  
97. Apparently, VIRSTOP.EXE can *not* be installed by
98.    - DEVICE= ...   in CONFIG.SYS
99.    - HIDEVICE= ... in same
100.    - INSTALL ... in AUTOEXEC.BAT
101.    - HIINSTALL ... in same
102.    - HILOAD ...    in same
103.  
104. VIRSTOP *can* be installed by simple command in AUTOEXEC.BAT, but then is
105. reported to use up over 52 KB of memory. Can't be true, can it?
106.  
107. (I don't have DR-DOS here & don't know it much, so I can only pass this on.)
108.  
109. I am wondering why I have never seen this mentioned on VIRUS-L - after all,
110. DR-DOS isn't that rare. Am I missing something?
111.  
112. Thanks in advance for any info.
113.  
114. Humidly (to paraphrase one of our highly esteemed gurus ;-) ),
115. MArtin
116.  
117.     (~  , ,
118.    (___/__/__-_
119. Dr. Martin Erdelen     EARN/BITNET: HRZ090@DE0HRZ1A.BITNET
120. - -Computing Centre-        Internet: erdelen at hrz.uni-essen.de
121. University of Essen           Tel.: +49 201 183-2998
122.  Schuetzenbahn 70              FAX: +49 201 183-3960
123.   D-4300 Essen 1            Binary: .  .-.  -..  .  .-..  .  --      (~~
124.       Germany                                                    (()~~
125. +-----------------------+    Smoke:       ())))   ((()))~~~ ())~~~
126. |      Remarkably       |               ())))) ~~~
127. |      remarkless       |        (())()~(())())
128. |         room          |     (())())
129. +-----------------------+   ((()()())))
130. Acknowledge-To: <HRZ090@DE0HRZ1A>
131.  
132. ------------------------------
133.  
134. Date:    Wed, 03 Jun 92 07:13:38 +0000
135. From:    adv5@saathi.ernet.in (Course account)
136. Subject: Help for a new(unknown) virus (PC)
137.  
138. Could any one help me detect/clean/remove the virus(name still
139. unknown), whose characteristics are listed below :
140.  
141. 1. File or Boot Sector virus
142. 2. Attaches to EXE or COM programs
143. 3. Increases filesize by 3K
144. 4. Corrupts FAT of hardisks and floppies
145. 5. Makes starting cluster of all EXE and COM programs in FAT the same
146. 6. Can't be detected by SCAN 4.5B66, or Findvir(ver 4.2), CPAV(ver 1) or NAV
147. 7. Mostly likely doesnot remain  in memory
148. 8. Activated by running infected files.
149. 9. Probable name of the virus is 'Made in India' (Wild Guess).
150.  
151. I don't have any other tools to detect this virus.
152.  
153. Thanks in advance, for any help.
154.  
155. Dinesh Vardhan
156.  
157. Please reply on
158. zvichare@saathi.ncst.ernet.in
159. zsuhas@saathi.ncst.ernet.in
160.  
161. ------------------------------
162.  
163. Date:    Wed, 03 Jun 92 17:54:46 -0400
164. From:    Alan.Gilbertson@f230.n3603.z1.FIDONET.ORG (Alan Gilbertson)
165. Subject: Virus or hard disk problems ? (PC)
166.  
167. Sunday May 31 1992, unx.sas.com!sasaer@mcnc.org (Andy Ravenna) writes:
168.  
169.  AR> First I ran "Qaplus" which came with my Gateway, and the DMA testing
170.  AR> on the Main Components menu seemed to freeze up.  Does this mean the
171.  AR> DMA chip has gone bad ?
172.  
173.  AR> Secondly, I ran Norton Disk Doctor II and when Norton got to the last
174.  AR> 55% of my 80 meg hard drive, it started marking every sector as "BAD".
175.  
176.  AR> I did run a virus check on the system and nothing was found.
177.  
178.  AR> HELP !   Does this sound like a virus problem or a hardware problem ?
179.  
180. This sounds exactly like a wrong CMOS setting (too few cylinders) for
181. a hard disk, such as an IDE drive, using translations in the
182. controller.  This particular problem can produce some of the weirdest,
183. off-the-wall, and in many cases apparently disrelated symptoms on a
184. PC.  The clue is that Norton suddenly began finding every sector bad
185. past a certain point.
186.  
187. Check your CMOS hard drive setting and compare it with what your drive
188. requires.  Hopefully, you can correct this and clear up the trouble.
189.  
190. Alan
191. - --  
192. Internet: Alan.Gilbertson@f230.n3603.z1.FIDONET.ORG
193. UUCP: ...!uunet!myrddin!tct!psycho!230!Alan.Gilbertson
194. Note:psycho is a free gateway between Usenet & Fidonet. For info write to
195.      root@psycho.fidonet.org.
196.  
197. ------------------------------
198.  
199. Date:    04 Jun 92 11:24:16 -0400
200. From:    "Tarkan Yetiser" <TYETISER@ssw02.ab.umd.edu>
201. Subject: Troi Two information (PC)
202.  
203.    Hello,
204.  
205.    We have received a sample of a virus named Troi Two from Australia.
206.    Mr. Brian Marriott isolated the virus and reported to Virus-L
207.    previously.
208.    Neither SCAN 91, nor F-PROT 2.03 recognizes the virus. If you add the
209.    following signature to F-PROT, make sure you are using SECURE scan, or
210.    it will miss it; just an observation.
211.    A quick analysis (using DIS86 by Mr. James R. Van Zandt, SIMTEL-20
212.    archives, /msdos/disasm/dis86212.zip, highly recommended) revealed the
213.    following characteristics of the virus:
214.  
215.    ------------------------------------------------------------------------
216.    Suggested Name:  Troi Two
217.    Date/Location :  May 1992, Australia by Mr. Brian Marriott
218.    Targets       :  EXE files by appending and modifying CS:IP in header
219.    RU-there call :
220.                     mov  AH, 0FCh
221.                     int  21h
222.                     cmp  AH, 55h
223.                     jz   virus_is_active_in_mem
224.  
225.      *In English :  The virus adds a service to DOS Int 21h to determine if
226.                     it is already resident in memory. The virus interrupt
227.                     handler responds by setting AH to 55 hex.
228.  
229.    Scan String   :  B8 64 02 FA A3 84 00 8C 1E 86 00 FB EB B9 9C 80 FC FC
230.                     75 04 B4 55 9D CF
231.  
232.    Operation     : Troi Two is a 512-byte non-stealth EXE file infector.
233.                    When an infected program is run, the virus checks the
234.                    DOS date (2Ah/21h) to see if it is before May 1, 1992.
235.                    If not, it will issue an RU-there call (see above) to
236.                    determine if it is already installed in memory.
237.                    Otherwise, it will copy itself to the upper half of the
238.                    interrupt vector table (thus not taking up any
239.                    "memory").
240.                    After that, it will hook Int 21h by storing the original
241.                    handler address within itself (offsets 0291 & 0293),
242.                    and changing the IVT entry to its own handler [0264].
243.                    Since the RU-there call is skipped if the date is before
244.                    May 1, 1992, the second time the virus runs, the
245.                    original
246.                    Int 21h handler address is lost, freezing the system.
247.                    Once the virus is resident in memory, it monitors Int
248.                    21h LOAD/EXEC (4B00) requests, and checks the extension
249.                    of programs for EXE. If a victim is found, it will also
250.                    check to see if the program is already infected by
251.                    looking at the INVERTED-CHECKSUM field (offset 12h) of
252.                    EXE header, and comparing it to 3254h. If not equal,
253.                    then it assumes the program is not infected yet, and
254.                    proceeds with infection. Infection is done using DOS
255.                    handle-oriented file access. It also attempts to
256.                    preserve the file attribute.
257.  
258.   Comments      :  The way it copies itself to the upper half of the IVT,
259.                    and hooks Int 21h, as well as the RU-there call, and a
260.                    bug "fix" (5700/21h <--> 0101/21h) suggests the virus
261.                    writer has seen Troi-1, which is a COM infector.
262.                    DOS 5.0 systems will experience immediate system lockup,
263.                    and the virus will not be able to spread, though it
264.                    infects PC/DOS 3.3 systems as long as the date is set
265.                    to after May 1, 1992.
266.                    The following text string can be found inside the virus:
267.  
268.                       >>>-Troi Two-->
269.  
270. Regards,
271.  
272. Tarkan Yetiser
273. VDS Advanced Research Group               P.O. Box 9393
274. (410) 247-7117                            Baltimore, MD 21228
275. e-mail:  tyetiser@ssw02.ab.umd.edu
276.  
277. ------------------------------
278.  
279. Date:    Thu, 04 Jun 92 10:14:13 -0400
280. From:    doc@magna.com (Matthew J. D'Errico)
281. Subject: "Wonder-2" False Alarms in NAV 2.0 update 4 (PC)
282.  
283. Hi, all...
284.  
285. I thought I'd pass along the essence of a growing thread from
286. compuserve in which some false alarms have been caused by Norton
287. Anti-Virus' latest update (04) for version 2.0 which was released on
288. June 1st...
289.  
290. Several instances have been reported where this update reported
291. infections of the "Wonder-2" strain of the "Wonder" virus in
292. commercially distributed software...  These infections include files
293. from :
294.  
295.     Borland C++ 3.0 (TOUCH.COM)
296.     Mavis Beacon Teaches Typing 2.0
297.     Stacker 2.0
298.     VCD.COM (from VCD.ZIP - shareware ?)
299.     Intermission 3.0 (IMSETUP.COM)
300.     SHEZ v7.1 (3 different files : SHEZCFG.COM, SGREG.COM and DUMPMAC.COM)
301.  
302. That's the list as of last night...  In at least 3 of these cases, the
303. authors or companies involved have verified the files as correct, and
304. thus not infected...  Naturally, this infomation has been passed along
305. to SYMANTEC.
306. - -- Matt
307. +-------------------------------+---------------------------------------+
308. |    Matthew J. D'Errico    | DOMAIN:    mderrico@magna.com    |
309. | Magna Software Corporation    | uucp:        uunet!magna!mderrico    |
310. |     275 Seventh Avenue    | CompuServe:    70744,3405        |
311. |     20th Floor        +---------------------------------------+
312. |    New York, NY   10001    |    Voice    : 212 / 727 - 6737    |
313. |        USA            |    Fax    : 212 / 691 - 1968    |
314. +-------------------------------+---------------------------------------+
315.  
316. ------------------------------
317.  
318. Date:    Thu, 04 Jun 92 20:32:16 +0700
319. From:    Cezar Cichocki <CEZAR@PLEARN.BITNET>
320. Subject: SCAN vs. CLIPPER 5.0 (PC)
321.  
322. Hi!
323.  
324. Over installing CLIPPER 5.0 I ( of course ) ran SCAN with /AG option
325. for immunization. Immunized CLIPPER said me : 'Rules not found in file
326. CLIPPER.EXE', and didn't work corectly.
327.  
328. When I reinstalling CLIPPER, all was right. I repeat it few times, and
329. my conclusion is : adding generic code to CLIPPER.EXE make it unusable
330. ( of course I can add rules manualy, but it is funny idea, is'n it ?)
331.  
332. Cezar Cichocki
333. System operator
334.  
335. ------------------------------
336.  
337. Date:    Thu, 04 Jun 92 11:26:06 +0000
338. From:    mwb@wybbs.mi.org (Michael W. Burden)
339. Subject: Re: Zipped Viruses (PC)
340.  
341. magnus@thep.lu.se (Magnus Olsson) writes:
342.  
343. >David_Conrad@MTS.cc.Wayne.edu writes:
344.  
345. >[...]
346.  
347. >>Here's what happens: Your virus scanner is infected with a stealth,
348. >>fast infecting virus.  It isn't currently active.  You run the scanner,
349. >>telling it to scan your entire hard drive.  First the virus gets control:
350. >>It goes resident, takes over, then runs the scanner.  Now the scanner
351. >>attempts to perform a self-check on its file.  This detects nothing,
352. >>because the virus disinfects the file as it reads it.  Now your scanner
353. >>goes through your entire hard drive, reading all programs.  Not only
354. >>does it have no chance of catching the virus in any program, but every
355. >>program (even ones which weren't infected before) will get infected!!!
356.  
357. >At least McAfee's scanner doesn't only check files on the disk and
358. >make a self-check, but also scans memory for viruses before doing
359. >anything else. Doesn't this cure the above problem, as the
360. >memory-resident stealth virus would be detected in memory?
361.  
362. Even better yet:  Make sure you get a clean copy of your anti-virus
363. tools BEFORE you get infected, put them on a floppy, write protect
364. it, and NEVER run these programs from the hard disk.
365.  
366. - -- 
367. +----------------------------------------------------+------------------------+
368. |"Paradise is exactly like where you are right now...|       Mike Burden      |
369. |   only MUCH better!"        -Laurie Anderson       |sharkey!wybbs.mi.org!mwb|
370. +----------------------------------------------------+------------------------+
371.  
372.  
373. ------------------------------
374.  
375. Date:    05 Jun 92 14:54:15 +0000
376. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
377. Subject: Re: VD virus (PC)
378.  
379. michael.blackwell@f820.n680.z3.fido.zeta.org.au (Michael Blackwell) writes:
380.  
381. > Has anyone heard of a virus called VD, scan string [FD] ?
382.  
383. > Scan90 picked it up the other day. Scan89, virex (april ver), and Norten Anti
384. > Virus report nothing. Neither does the docs for scan, or the april Vsum.
385.  
386. Hmm, seems that SCAN 91 causes a false positive about this virus
387. sometimes... We also got a report for it yesterday - in one file only
388. and a file that the user has not touched for years...
389.  
390. Regards,
391. Vesselin
392. - -- 
393. Vesselin Vladimirov Bontchev           Virus Test Center, University of Hamburg
394. Tel.:+49-40-54715-224, Fax: +49-40-54715-226       Fachbereich Informatik - AGN
395. ** PGP public key available by finger. **     Vogt-Koelln-Strasse 30, rm. 107 C
396. e-mail: bontchev@fbihh.informatik.uni-hamburg.de     D-2000 Hamburg 54, Germany
397.  
398. ------------------------------
399.  
400. Date:    05 Jun 92 14:58:39 +0000
401. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
402. Subject: Detecting the MtE (PC)
403.  
404. Hello, everybody!
405.  
406. I received a fax of something that looks like a bulletin issued by
407. McAfee Associates. I discussed the problem with them and they said
408. that it is not their; maybe some of their agents has published it. If
409. this is the case, I would suggest them to pick their agents more
410. carefully... Anyway, here is the bulletin:
411.  
412. - ---------cut here----------
413. The Virus Test Center at the University of Hamburg just released the
414. results of their test of McAfee Associates Viruscan V89B, and Dr.
415. Solomon's FindVirus (version 4.15 including drivers from May 15th,
416. 1992) against 9,468 different viruses spawned by the Dark Avenger
417. Mutating Engine:
418.  
419. FindVirus failed to detect 744 of the viruses; Viruscan detected all
420. but 4 of the viruses.
421.  
422. Although we continue to strive for perfection (100%), we are
423. gratified that our detection tools offer our users 99.95%
424. effectiveness against this threat at this time.
425.  
426. ******************  End of Bulletin #0020  ************************
427. - ---------cut here----------
428.  
429. The above is a clear misrepresentation of my results with marketing
430. purposes.
431.  
432. 1) They "forgot" to mention the results of F-Prot (13 missed variants)
433. which is the most serious competitor of SCAN - it is a much, much
434. cheaper scanner, with slightly better detection rate in general, and
435. with MUCH better disinfection capabilities.
436.  
437. 2) They even got their arithmetic wrong - it would be 99.96%... :-)
438.  
439. 3) I my message on Virus-L/comp.virus I clearly stated that ALL the
440. three scanners tested FAILED the test. SCAN failed, F-Prot failed,
441. FidnVirus failed. Period. When we speak about detecting known viruses
442. in general, a detection rate of 90 % and higher is acceptable. When
443. are speaking about detecting a particular virus, the arithmetic is
444. boolean - you either detect it (in its ALL instances), or you don't.
445. SCAN 89-B DOESN'T detect the MtE, F-Prot 2.03a DOESN'T detect the MtE,
446. FindVirus 4.15 DOESN'T detect the MtE. Both me and Dr. Fred Cohen
447. clearly explained in our messages why anything less than 100 %
448. detection of a particular virus cannot be acceptable.
449.  
450. Meanwhile the missed variants have been sent to McAfee Associates and
451. Fridrik Skulason (the variants missed by the other programs are too
452. many to permit their sending by e-mail). Let's hope that the newer
453. versions of their programs will detect this virus. Meanwhile SCAN 91
454. still DOESN'T detect the MtE.
455.  
456. Those of the readers of Virus-L/comp.virus who have access to bulletin
457. board systems and FidoNet are invited to distribute this message
458. widely, with the hope to reduce the damage caused by the bulletin
459. quoted above.
460.  
461. OK, that was the silly stuff, now back to business.
462.  
463. We did the same MtE-detection tests with a few other programs. Here
464. are the results.
465.  
466. Virex 2.3 missed 664 variants out of 9469. Conclusion: Virex DOESN'T
467. detect the MtE-based viruses.
468.  
469. We received an update of FindVirus - this time the version is 4.19
470. with drivers of June 3, 1992. Results: it missed only 1 variant this
471. time. Conclusion: FindVirus still DOESN'T detect the MtE-based viruses
472. reliably, but at least Dr. Solomon is working to improve the product.
473. A side note for those who are not familiar with this program. It is
474. part of Dr. Solomon's Anti-Virus ToolKit, produced by S & S
475. International. The latest version of the ToolKit is 5.56. The
476. different programs in the ToolKit have different version numbers.
477. Particularly, version 4.19 of FindVirus might not be shipped to the
478. regular users yet. We accepted to test it because of the seriousness
479. of the problem - we wanted to report the latest results in this area.
480.  
481. We received UTScan version 23.00.12. UTScan is the scanner part of an
482. integrity-oriented product, called V-Analyst III. The product is
483. distributed in the USA under the name The Untouchable by Fifth
484. Generation Systems. The user interface in this product is slightly
485. different than the one in the European version, but otherwise the
486. product is functionally equivalent. The version of the scanner that I
487. received for review was clearly designed for the American version of
488. the product.
489.  
490. Results: UTScan detected ALL instances of the virus. Conclusion:
491. UTScan DOES detect the MtE-based viruses ACCORDING TO OUR TESTS (that
492. is, if it misses some, we were unable to prove this).
493.  
494. Since this was the first scanner which detected all instances of the
495. virus, I was so excited that I ran the scanner on our full virus
496. collection. The results were very good, although nothing exciting - it
497. missed about 160 different virus variants (out of about 1,300), which 
498. scores slightly worse than McAfee's SCAN 89-B. However, this is a
499. - -huge- improvement relatively to the previous version I have seen
500. (22), which had a less than 50 % detection rate.
501.  
502. The virus identification capabilities of the product were very bad -
503. it was able to recognize the exact variant only slightly better than
504. SCAN - which means almost never. Therefore, my conclusion is that it
505. is a good product to be used for initial scanning of your system, in
506. order to determine whether it is infected (by anything) or not - prior
507. to install the integrity checking part of the package. However, do not
508. rely on it for exact virus identification.
509.  
510. The last product received was an MtE-only detection program. It is
511. produced by Digital Dispatch Inc. and is supposed to be included in
512. the program VirHunt, version of June 8. The author of the program told
513. me that he has done a full analysis of the MtE and his detection is
514. algorithmical and based on his knowledge of what MtE is able to
515. generate. I don't know what UTScan does; all the other programs seem
516. to use some kind of heuristics.
517.  
518. Results: the program detected ALL the 9,469 mutations of the virus.
519. Conclusion: The program DOES detected the MtE-based viruses, according
520. to our tests.
521.  
522. OK, that was all for now, if more MtE-detectors appear, we'll test
523. them too and I'll keep you informed.
524.  
525. Regards,
526. Vesselin
527. - -- 
528. Vesselin Vladimirov Bontchev           Virus Test Center, University of Hamburg
529. Tel.:+49-40-54715-224, Fax: +49-40-54715-226       Fachbereich Informatik - AGN
530. ** PGP public key available by finger. **     Vogt-Koelln-Strasse 30, rm. 107 C
531. e-mail: bontchev@fbihh.informatik.uni-hamburg.de     D-2000 Hamburg 54, Germany
532.  
533. ------------------------------
534.  
535. Date:    05 Jun 92 12:12:46 -0400
536. From:    "Ross M. Greenberg" <72461.3212@CompuServe.COM>
537. Subject: ISPNews & Virx (PC)
538.  
539. >Date:    02 Jun 92 11:40:57 +0000
540. >From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
541. >Subject: Re: ISPNews and why 100% is the only good enough solution (PC)
542.  
543. >BTW, recently it was announced that the new version of VirX (2.3) is
544. >able to detect the MtE-based viruses. BEWARE! In my -very- preliminary
545. >tests, it missed 7 out of 27 Fear mutations! Don't use this scanner
546. >for detecting MtE-based viruses! It is unreliable!!!
547.  
548. That's what last-minute-before-the-release fiddling will getcha, alas.
549. We recently became aware of this, dangitall, and a new release that
550. catches 10,000 out of 10,000 of our test viruses will be released very
551. shortly.
552.  
553. Ross
554.  
555. - ------------------------------
556.  
557. >Date:    01 Jun 92 16:56:10 +0000
558. >From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
559. >Subject: Re: VIRx version 2.3 released (PC)
560.  
561. >trent@rock.concert.net (C. Glenn Jordan -- Virex-PC Development Team) writes:
562.  
563. >>    2.  VIRx now detects all files encrypted with the "Mutating Engine"
564. >>    attributed to the Dark Avenger that are not already destroyed by the
565. >>    Engine's attempts to encrypt them (and most of those, as well).
566.  
567. >This requires a bit of clarification. No files are "destroyed by the
568. >Engine's attempts to encrypt them". However, the MtE sometimes (a bit
569. >too often, IMHO) generates something that I call a "zero-key
570. >decryptor". It does not encrypt the body of the virus and generates a
571. >decryptor which essentially does nothing else than juggling a few
572. >constants around some registers. No attempt to perform decryption is
573. >present in these cases.
574.  
575. >The files are not destroyed - they work perfectly and are able to
576. >spread the virus. However, since the decryptor is almost non-existent,
577. >it is very difficult to detect it... :-)
578.  
579. I dunno, Vessilin: some of the above mentioned 10,000 viruses seem to
580. trash the productivity of the target file pretty nicely: after the
581. decryptor comes a whole bunch of NOP's, followed immediately by a
582. return.  The target program is never run, as an exit back to DOS seems
583. to preclude that pretty well.
584.  
585. Ross
586.  
587. ------------------------------
588.  
589. Date:    Fri, 05 Jun 92 14:14:03 -0400
590. From:    vgunay@sun.wga.peachnet.edu (Vedat Gunay)
591. Subject: Virus Discovery (PC)
592.  
593. Unknown MS-DOS Based Virus found on the West Georgia College Campus
594.  
595. The virus infects COM and EXE files.
596.  
597. It is not detected by:
598.  
599.         McAfee Scan v8.3B86
600.         F-Prot v2.03A Quick Scan or Secure Scan
601.         Virusafe 2.43
602.  
603. It is detected by:
604.  
605.         F-Prot v2.03A Heuristic Scan which reports
606.  
607.                 "This program seems to contain a memory-resident virus,
608.                  which infects other programs when they are executed."
609.  
610. Infected files have larger file sizes.  The problem was first detected when
611. certain application no longer ran. Windows 3.0 dies with a memory protection
612. error before the program finishes loading.  Once the virus is in memory it
613. attaches itself to any programs that are executed.  Most programs however
614. still run correctly after the virus has attached itself.
615.  
616. The F-Prot scan of memory does not initially detect the virus if it is
617. already resident, but during a heuristic scan the following message may
618. appear:
619.                 "Alert!  An active "stealth" virus has been found in
620.                  memory.  You should reboot the computer from a "clean"
621.                  system diskette.
622.  
623. It has either lain dormant on our campus and just activated itself (which I
624. do not believe is the case), or it spreads very fast!  If users have write
625. permission on fileservers in locations where EXE and COM files exist, the
626. virus can spread through the network.
627.  
628. At the moment we are deleting any files that are suspect and replacing them
629. with clean copies.  We still do not have a name, or any way to disinfect.
630.  
631. Any information regarding what we might have, and how we can get rid of it
632. would be greatly appreciated.
633. - ---------------------------------------------------------------------------
634. Scott W. Hughes
635. shughes@sun.wga.peachnet.edu
636. West Georgia College
637. Computer Center
638. (404) 836-6604
639.  
640. ------------------------------
641.  
642. Date:    Thu, 04 Jun 92 19:13:47 +0000
643. From:    mike@pyrite.SOM.CWRU.Edu (Michael Kerner)
644. Subject: HyperCard anti-virus solution available (Mac)
645.  
646. This has already been posted in comp.sys.mac.hypercard so here's the
647. deal:
648.  
649. I am making available in a limited beta release, a HyperCard
650. anti-virus product that is available by EMAILing me a message.  I have
651. not been able to override the protection even by SENDing "SET THE
652. SCRIPT..." to Hypercard
653.  
654. Mikey.
655. Mac Admin        WSOM CSG - CWRU        /     TRW Inc. - Corporate HQ
656.    Yea, though I walk through the valley of the shadow of death I shall fear
657.           no evil, for I am the meanest son of a bitch in the valley.
658.  
659. ------------------------------
660.  
661. Date:    Tue, 02 Jun 92 15:35:13 -0400
662. From:    padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
663. Subject: Notes on ANSI bombs (various)
664.  
665.     Since there has been quite a bit of discussion lately
666. about ANSI bombs, I just thought that a few footnotes might be in
667. order.
668.  
669.     First, if an ANSI driver is in use, you cannot trust any
670. program that does unfiltered screen writes to display a file since
671. lines may be overwritten. The DOS utilities TYPE and MORE are two of
672. these.
673.  
674.     Filtering word processors such as EDLIN (I know, some people
675. do not consider EDLIN a word processor) or viewers such as LIST will
676. either suppress the ESCAPE character (hex 1B) or translate it to a
677. displayable sequence (usu. either a carat-bracket "^[" or left arrow
678. (PC extended character set translation of hex 1b)).
679.  
680.     One problem in determining if an ANSI driver is in use is that
681. it may not be labeled as such. Though ANSI.SYS comes with DOS, third
682. party drivers such as DANSI, FANSI, DVANSI, etc. also exist and may
683. not be so obvious. Years ago I wrote an ANSI derivative that could
684. accomodate over 1k of keyboard redirection (most ANSI drivers only
685. have space for about 100 bytes) to apermit a menuing system that used
686. all forty function keys (f1-f10, alt_f1-f10, etc.) to provide single
687. keystroke application launching. For some reason I called it
688. "Padgett.Sys".
689.  
690.     Keep in mind that it does not have to be a .SYS driver to work
691. either. There is no reason an ANSI program could not load after DOS so
692. long as it intercepts and processes all screen display commands (Int 10).
693.  
694.     As I have mentioned before, all that is necessary to protect from
695. malicious keyboard redirection is to "fix" the ANSI driver to change
696. the key mapping function terminator from "p" to"something else" since there
697. are a number of good features found in ANSI (try "prompt=$e[37;44m$p$g" if
698. you have a colour display and are tired of white on black).
699.  
700.     In DOS 5.0 ANSI.SYS this is located at DEBUG offset 161h. Just
701. change the 70h ("p") to something unused by other ANSI commands. Since
702. there are a number of these, and the virus/trojan/bomb must get it
703. right the first time, it is a reasonable defense and any of the above
704. attempting a remap will just display its command on the screen (if
705. ANSI does not recognize the escape sequence, it will release it to the
706. screen instead of trapping it). What you would see in this case is a
707. bracket "[" folowed by a string of garbage, followed by a lower case
708. "p". If returns (hex 0D) are part of the sequence, the string may
709. partly overwrite itself.
710.  
711.     If in doubt, examine the file with DEBUG. A dump will not only
712. reveal the full string but also the leading hex 1b (escape).
713.  
714.                 Warmly,
715.                     Padgett
716.  
717. ------------------------------
718.  
719. Date:    03 Jun 92 09:46:35 +0000
720. From:    frisk@complex.is (Fridrik Skulason)
721. Subject: Re: Taxonomy of viruses
722.  
723. mkkuhner@phylo.genetics.washington.edu (Mary K. Kuhner) writes:
724.  
725. >Disadvantages:  Distance algorithms were designed under the assumption
726. >that changes take place one at a time and at random (as in mutation of
727. >DNA).  Computer viruses more likely change in blocks.  Two viruses may
728. >be very distant bitwise because a payload message has been changed, or
729. >the order of certain operations is different, even though they are
730. >otherwise identical.  I think this method is especially likely to fail
731. >with polymorphic viruses.
732.  
733. Well, not necessarily.  If the polymorphic code is just a decryption block,
734. you simply decrypt the virus, and apply the distance alorithm to the
735. decrypted portion.  Actually, this applies to all encrypted viruses, not just
736. the polymorphic ones.
737.  
738. >On the whole, I think distance may work well with very closely related
739. >viruses, but will probably fall apart with more distantly related
740. >viruses (and is hopeless with unrelated ones, of course).
741.  
742. This has been my experience too - I have found it very useful in determining
743. the relationship among Jerusalem variants, for example.
744.  
745. >2.  Parsimony methods.  Viruses can be hand-scored for the presence or
746. >absence of various features--file types infected, stealth, encoding,
747. >polymorphism, file destruction, etc.
748.  
749. Stealth, encoding and polymorphism are features that get often added to
750. later versions of viruses, as viruses belonging to the same family generally
751. grow in complexity as time passes.  These features are not really useful for
752. classification.  Types of files infected, TSR or not, how the virus allocates
753. memory and other such features are a lot less likely to change...
754.  
755. - -frisk
756.  
757. ------------------------------
758.  
759. Date:    04 Jun 92 14:41:56 +0000
760. From:    A.APPLEYARD@fs1.metallurgy.umist.ac.uk
761. Subject: An apparent case of deliberate punitive virus-spreading
762.  
763. Part of article 'How they get your number', page 21, 'Daily Telegraph'
764. (by Eric Bailey, additional reporting by Hugh Davies) (British
765. newspaper, editorial address = 1 Canada Square, Canary Wharf, London
766. E14 5DT, England)
767.  
768. [long description of techniques, some using computers, of
769. reprogramming in-car phones to run charging the calls to someone
770. else's account, and other ways of defrauding the telephone system]
771.  
772. [First sentence of last paragraph:-] But manufacturers are fighting
773. back: tampering with the chips of some new models corrupts both the
774. chip and the phone, and lodges a nasty <virus> in whatever computer
775. has been used.
776.  
777. ------------------------------
778.  
779. Date:    Thu, 04 Jun 92 13:06:00 -0800
780. From:    "a_rubin@dsg4.dse.beckman.com"@BIIVAX.DP.BECKMAN.COM
781. Subject: Re: what's this .signature stuff?
782.  
783. refrig@dixie.com (Todd Hedenstrom) writes:
784.  
785. >I'm sorry if this is in a FAQ somewhere I haven't been able to find,
786. >but this is starting to nag at me -
787.  
788. >I keep seeing a line on messages here on the net that says something
789. >like 'Hi, I'm a virus - copy me to your .signature file' or something
790. >like that.  What the heck is that?
791.  
792. >I just saw the same line, only this time the message was in German.
793.  
794. I've been using it lately.  IMHO, it's a joke.  It does meet the definition
795. of a virus, except it spreads only with active intervention by people.
796.  
797. >>>Ich bin ein Virus.  Mach' mit und kopiere mich in Deine .signature. <<<
798. - --
799. Arthur L. Rubin: a_rubin@dsg4.dse.beckman.com (work) Beckman Instruments/Brea
800. 216-5888@mcimail.com 70707.453@compuserve.com arthur@pnet01.cts.com (personal)
801. My opinions are my own, and do not represent those of my employer.
802. Our news system is unstable; if you want to be sure I see a post, mail it.
803.  
804. ------------------------------
805.  
806. Date:    Thu, 04 Jun 92 08:19:09 -0500
807. From:    James Ford <JFORD@UA1VM.BITNET>
808. Subject: uploads to risc.ua.edu (PC)
809.  
810. The following files hav been placed on risc.ua.edu for anonymous FTP in
811. the directory /pub/ibm-antivirus:
812.  
813.         virx25.zip   -  Ross M. Greenberg's Virex
814.       vsig9205.zip   -  May 1992 VIRSCAN.DAT file for TBSCAN/HTSCAN
815.       asig9206.zip   -  "Forgotten" additions to VIRSCAN.DAT file
816.        scanv91.zip   -  McAfee's VirusScan v91
817.        clean91.zip   -  McAfee's CleanUp v91
818.        vshld91.zip   -  McAfee's VirusShield
819.      netscn91b.zip   -  McAfee's VirusScan v91 (for networks)
820.  
821. - ----------
822. By the time you realize what love can do, the damage has already been done.
823. - ----------
824. James Ford -  Consultant II, Seebeck Computer Center
825.               The University of Alabama (in Tuscaloosa, Alabama)
826.               jford@ua1vm.ua.edu, jford@seebeck.ua.edu
827.               Work (205)348-3968  fax (205)348-3993
828.  
829. ------------------------------
830.  
831. Date:    Thu, 04 Jun 92 13:13:51 -0500
832. From:    perry@eugene.gal.utexas.edu (John Perry)
833. Subject: New files on eugene (PC) (Mac)
834.  
835. Hello Everyone!
836.  
837.     The following files have been added to the anti-viral/security
838. archives on eugene.gal.utexas.edu (129.109.9.21) If you have any
839. problems, please send e-mail to perry@eugene.gal.utexas.edu.
840.  
841. Disinfectant-2.8.hqx (MAC)
842. Virx23.zip (PC)
843. Asig9206.zip (PC)
844. Vsig9205.zip (PC)
845. Netscn91.zip (PC)
846. Scanv91.zip (PC)
847. Vshld91.zip (PC)
848.  
849. Clean91.zip was not added due to the fact that Clean91b.zip will be
850. available shortly.
851.  
852. - -- 
853.  
854. John Perry - perry@eugene.gal.utexas.edu
855.  
856. ------------------------------
857.  
858. Date:    05 Jun 92 08:30:03 +0000
859. From:    douglasm@henson.cc.wwu.edu (Douglas McCorison)
860. Subject: Colds and Flu season... (Humor!)
861.  
862. [Moderator's note: This is forwarded from the rec.humor.funny newsgroup]
863.  
864. Original from my wife and I...
865.  
866. How do you tell which computer on the network has a virus?
867.  
868.   ....It's the one with a stuffed up node.
869. - --
870. Selected by Brad Templeton.  MAIL your joke (jokes ONLY) to funny@clarinet.com
871. Attribute the joke's source if at all possible.  A Daemon will auto-reply.
872.  
873. Jokes ABOUT major current events should be sent to topical@clarinet.com
874. (ie. jokes which won't be funny if not given immediate attention.)
875. Anything that is not a joke submission goes to funny-request@clarinet.com
876.  
877. ------------------------------
878.  
879. End of VIRUS-L Digest [Volume 5 Issue 115]
880. ******************************************
881. oo ottvariIf ioftettvariIf ioftettvariIf ioftettvariIf ioftettvariIf ioftettvariIf ioftettvariIf ioftett
882. Downloaded From P-80 International Information Systems 304-744-2253
883.