home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / 714.VIRUSL6.088 < prev    next >
Text File  |  1993-05-31  |  40KB  |  950 lines

  1. VIRUS-L Digest   Tuesday,  1 Jun 1993    Volume 6 : Issue 88
  2.  
  3. Today's Topics:
  4.  
  5. Re: IDES '93 Conference Proceedings
  6. Network Security Standards
  7. info sharing
  8. Human factor in infections
  9. Re: Review of BootX (Amiga)
  10. Re: The Anti-Viral Software of MS-DOS 6 (PC)
  11. Re: CPAV updates? (PC)
  12. Tremor (PC)
  13. Re: Single state machines and warm reboots (PC)
  14. Re: CPAV updates? (PC)
  15. Re: Bug With Virstop 2.08a & DOS6 Memmaker? (PC)
  16. TREMOR via Satellite (PC)
  17. TREMOR Analysis (PC)
  18. DOS 6 Double Space and Invisible Virus (PC)
  19. Re: The Anti-Viral Software of MS-DOS 6 (PC)
  20. Re: Cure against Tremor available? (PC)
  21. Re: The Anti-Viral Software of MS-DOS 6 (PC)
  22. Is "Untouchable" (V-ANALYST) Effective (PC)
  23. Thunderbyte anti-virus utils v6.02 uploaded to SIMTEL20 and OAK (PC)
  24. virus news INTERNATIONAL CONFERENCE 93
  25. Activity Monitors - variations (CVP)
  26.  
  27. VIRUS-L is a moderated, digested mail forum for discussing computer
  28. virus issues; comp.virus is a gatewayed and non-digested USENET
  29. counterpart.  Discussions are not limited to any one hardware/software
  30. platform - diversity is welcomed.  Contributions should be relevant,
  31. concise, polite, etc.  (The complete set of posting guidelines is
  32. available by FTP on cert.org or upon request.)  Please sign submissions
  33. with your real name; anonymous postings will not be accepted.
  34. Information on accessing anti-virus, documentation, and back-issue
  35. archives is distributed periodically on the list.  A FAQ (Frequently
  36. Asked Questions) document and all of the back-issues are available by
  37. anonymous FTP on CERT.org (192.88.209.5).
  38.  
  39. Administrative mail (e.g., comments, suggestions, beer recipes)
  40. should be sent to me at: krvw@AGARNE.IMS.DISA.MIL.
  41.  
  42. All submissions should be sent to: VIRUS-L@Lehigh.edu.
  43.  
  44.    Ken van Wyk
  45.  
  46.  
  47. ----------------------------------------------------------------------
  48.  
  49. Date:    Thu, 27 May 93 18:06:35 +0000
  50. >From:    jmr@philabs.philips.com (Joanne Mannarino)
  51. Subject: Re: IDES '93 Conference Proceedings
  52.  
  53. bontchev@news.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
  54. |> George Guillory (wk04942@worldlink.com) writes:
  55. |> 
  56. |> > I hate to bring this up but has anyone received the proceedings from
  57. |> > the 6th International Computer Virus and Security Conference?
  58. |> 
  59. |> At least none of the VTC participants (there were three of us) have
  60. |> received them yet. I'll second your appeal to the organizers - due to
  61. |> bad organization, it was almost impossible to attend the speeches, so
  62. |> I would like at least to read the submitted papers...
  63.  
  64. This conference was held in New York City this past March and I
  65. understand that the next one is already reserved for March 1994.
  66.  
  67. Please be forewarned to avoid this conference.  I sent two people to
  68. this last one and they felt it was the most unprofessional,
  69. unorganized conference they'd ever attended -- they only went two of
  70. the three days because they were waiting for it to get better but
  71. realized it never would.  I wrote a letter of complaint to the
  72. organization and also sent copies to IEEE and ACM which were
  73. supposedly sponsors.  I don't expect to hear back from them, but
  74. wanted to warn anyone who may contemplate going that it's a total
  75. waste of time and money.
  76.  
  77. Also, from what I've heard, this wasn't just a bad year.  The
  78. conference is very badly organized and seems to get worse every year.
  79.  
  80. - -joanne mannarino
  81. - -- 
  82. joanne mannarino                  philabs!jmr@uunet   or
  83. philips laboratories - briarcliff           jmr@philabs.philips.com
  84.  
  85. ------------------------------
  86.  
  87. Date:    Fri, 28 May 93 08:01:42 -0400
  88. >From:    MARTIN@SALIG.DEMON.CO.UK
  89. Subject: Network Security Standards
  90.  
  91.  Can anyone point me in the direction of FTP sites that carry papers on
  92.  strategy on security and anti-virus matters for networks?
  93.  
  94.  If so, can you please list any FTP sites other than CERT.ORG which has
  95.  an anonymous FTP account.
  96.  
  97.  Many thanks in advance.
  98.  
  99.  --+
  100.   Martin Overton                  |Compuserve: 100063,1161
  101.   PC Technical Specialist         |Internet  : Martin@Salig.Demon.Co.Uk
  102.   Tel: +44 (403) 231937           |"Beam me up,Sooty!"
  103.  
  104. ------------------------------
  105.  
  106. Date:    Mon, 31 May 93 10:00:50 -0400
  107. >From:    rreymond@vnet.IBM.COM
  108. Subject: info sharing
  109.  
  110. Hi everybody| After all that talk about the Inbar's article, I've got
  111. my copy.  Now I wanna thanks here Inbar for having shared those info.
  112. In fact this article was very interesting and useful for me. Why?
  113. Simple: all what I know about viruses and counter measures, I've
  114. learned it ON MY OWN, or at least supported by some more skilled (and
  115. patient) colleagues...  D'ya understand? That stuff, that I'm sure it
  116. wasn't a mistery for The Dark Side before Inbar's article, was quite a
  117. mistery FOR ME. And if now I can better understand some tricks is
  118. because someone (Inbar) has kindly decided to share that, insted to
  119. keep for himself.  C'm on, folks, let's share...
  120.  
  121. .............................................Bye|
  122. ..................................................Roberto
  123. - -----------------------------------------------------------------------
  124. *  All the above are my own opinions, not necessarily shared by IBM   *
  125. ***********************************************************************
  126. Roberto Reymond            IBM C.E.R.T. Italy              via Lecco 61
  127. - ---------------                                    20059 Vimercate (MI)
  128. RREYMOND@vnet.ibm.com                              Italy     MI VIM 491
  129. .........Phone +39.39.600.6873        Fax +39.39.600.5015............
  130. ***********************************************************************
  131. *      " Another one bites the dust| " , Queen (The Game, 1980)       *
  132. ***********************************************************************
  133.  
  134. ------------------------------
  135.  
  136. Date:    Sun, 23 May 93 10:12:01 +0200
  137. >From:    Inbar_Raz@f210.n9721.z9.virnet.bad.se (Inbar Raz)
  138. Subject: Human factor in infections
  139.  
  140. frisk@complex.is (Fridrik Skulason) wrote:
  141.  
  142.  
  143.  >>Would I be mistaken if I assumed that those companies weren't adequately
  144.  >>protected, or was it a new variant?
  145.  
  146.  > They *thought* they wre fully protected...unfortunately, they had not
  147.  > updated
  148.  > their anti-virus software for two years.
  149.  
  150. Then I wouldn't be mistaken to assume that :-)
  151.  
  152. The problem, the way I see it, is that companies that have something to lose <
  153. namely, Data), don't realize that just equipping the employees (or 
  154. workstations) with Anti Virus products, no matter how idiot-proof or easy to 
  155. use they are, is NOT SUFFICIENTLY protective.
  156.  
  157. I believe that a company that cares about it's data bad enough, and that is in 
  158. the risk group that I defined earlier in this thread, should actually hire a 
  159. qualified person to handle the virus problem.
  160.  
  161. By Qualified, I don't mean 'First Degree in Computers', because people that 
  162. learned their computer science only when in College, don't really know much 
  163. about computer. By Qualified, I mean almost every one of this echo's 
  164. participants - people that involve with viruses all the time, wether they know 
  165. everything about every virus, like the hot-shots, or wether they don't, like 
  166. me, but they know how to deal with Anti-Viruses, and know the general risks 
  167. and how to defend against them.
  168.  
  169. Any comments?
  170.  
  171. Inbar Raz
  172. Chief Data Recovery
  173. - - --
  174. Inbar Raz                 5 Henegev, Yavne 70600, ISRAEL. Phone: +972-8-438660
  175. Chief Data Recovery, 15 Habanim, Nes-Ziona 70400, ISRAEL. Phone: +972-8-400070
  176. Netmail: 2:401/100.1, 2:403/100.42, 9:9721/210 nyvirus@weizmann.weizmann.ac.il
  177.  
  178. - --- FMail 0.94
  179.  * Origin: Inbar's Point - Home of the first UnTinyProg. (9:9721/210)
  180.  
  181. ------------------------------
  182.  
  183. Date:    Sat, 29 May 93 15:37:25 -0400
  184. >From:    hkantola@cc.helsinki.fi (Heikki Kantola)
  185. Subject: Re: Review of BootX (Amiga)
  186.  
  187. Rob Slade (roberts@decus.arc.ab.ca) wrote:
  188. > Performance
  189. >  
  190. > Unknown at this time due to lack of a test suite.  Currently one of the most
  191. > highly recommended Amiga antivirals.
  192. >  
  193. > Local Support
  194. >  
  195. > The author is reachable via Fidonet and Internet mail.
  196. >  
  197.  
  198. However, the author has recently announced that all BootX development is
  199. discontinued. But luckily there happens to other equally good (?) PD/SW
  200. viruskillers for Amiga, for example: Virus Checker (currently upto
  201. v6.26) and VirusZ (latest is v3.06).
  202.  
  203. - -- 
  204. - --------------------------------------------------------------------------
  205. Heikki Kantola, Computer Linguistics student at the University of Helsinki
  206. E-Mail: heikki.kantola@helsinki.fi           IRC: Hezu
  207. - --------------------------------------------------------------------------
  208.  
  209. ------------------------------
  210.  
  211. Date:    Thu, 27 May 93 14:37:41 -0400
  212. >From:    gary@sci34hub.sci.com (Gary Heston)
  213. Subject: Re: The Anti-Viral Software of MS-DOS 6 (PC)
  214.  
  215. frisk@complex.is (Fridrik Skulason) writes:
  216.   [ about CPAV causing false alarms ]
  217. >Unfortunately no...Here is for example one report I received yesterday from
  218. >one of my largest users:
  219.  
  220. >>I have encountered interaction between DOS V6.0's VSAFE and McAfee V104 and
  221. >>F-Prot 2.08a
  222.  
  223. > [ ... ]  I see this basically as MS/CP problem - those scanners seem to
  224. >be the only ones which do not encrypt all virus signatures in memory.  This
  225. >is generating too many questions for me though - and what I probably will do
  226. >is to add a check for VSAFE to my program, and if it is found I will display
  227. >a message like "WARNING! WARNING! - VSAFE found in memory"
  228.  
  229. First, I think this is an *excellent* idea. It'll help cut down on
  230. inexperienced people panicing when they run into it (and there'll be a
  231. *flood* of them as DOS 6.0 propagates).
  232.  
  233. Second, I think you also need to include a disinfect option. You'd be
  234. doing the antiviral world a favor.
  235.  
  236. :-)
  237.  
  238. - -- 
  239. Gary Heston    SCI Systems, Inc.  gary@sci34hub.sci.com   site admin
  240. The Chairman of the Board and the CFO speak for SCI. I'm neither.
  241. Hestons' First Law: I qualify virtually everything I say.
  242.  
  243. ------------------------------
  244.  
  245. Date:    Thu, 27 May 93 19:14:30 +0000
  246. >From:    ee1ckb@sunlab1.bath.ac.uk (Alan Boon)
  247. Subject: Re: CPAV updates? (PC)
  248.  
  249. In the referenced article, bontchev@rzsun2.informatik.uni-hamburg.de
  250. (Vesselin Bontchev) writes:
  251. >Alan Boon (ee1ckb@sunlab1.bath.ac.uk) writes:
  252. >
  253. >> I am currently using CP Anti-Virus v1.4 and before anyone say anything
  254. >> bad about it, I like it and think it's one of the best around! Does
  255. >
  256. >Would be curious to know why to you think that it is so good?
  257. >According to my own experience, it is actually one of the worst
  258. >anti-virus programs around... Don't you like it because of the user
  259. >interface, by chance? Remember that there is no record of a virus
  260. >being ever stopped by a user interface... :-)
  261. >
  262. >> anybody knows where I can download virus signature files from so I can
  263. >> update my CPAV detection capabilities? It will be lovely if anyone
  264. >
  265. >They are available via anonymous ftp as
  266. >
  267. >ftp.informatik.uni-hamburg.de:/pub/virus/progs/cpav_upd.zip
  268. >
  269. >According to Padgett, the updates can be used to upgrade also the
  270. >MS-DOS version of MSAV - the scanner that comes with MS-DOS 6.0.
  271.  
  272. With Bootsafe and Vsafe running, your system is well protected provided you
  273. update the signature files. It offers a comprehensive protection system
  274. that no other can match. Anyway, it wasn't the user interface that
  275. attracted me but the protection level it offered.
  276.  
  277. Alan.
  278.  
  279. ------------------------------
  280.  
  281. Date:    Fri, 28 May 93 09:27:22 -0400
  282. >From:    "Dr. Martin Erdelen" <HRZ090@VM.HRZ.UNI-ESSEN.DE>
  283. Subject: Tremor (PC)
  284.  
  285. On Wed, 12 May 93 13:45:20 MEZ
  286.  I wrote:
  287.  
  288. >is there any new development re: disinfection of the Tremor virus? Are there
  289. >antiviral programs by now which can handle this beast?
  290.  
  291. Thanks to all who responded. With the help of KILLT2.EXE, the Tremor
  292. Killer by Pascal Pochol, I was able to disinfect the afflicted files.
  293. Yes, I do know that overwriting would be better, but do my clients
  294. have clean backups? Nooooo! (Incidentally, how does one make sure that
  295. the backups are *really* clean? If no permanent infection watch is run
  296. - - as of course should be, but also of course often is not - you are
  297. apt to sooner or later replace the clean copy with an infected one,
  298. aren't you?)
  299.  
  300. While we are at it: I can't remember to have seen in the discussion
  301. any description of Tremor's payload. Is there more to it than the
  302. trembling screen image? Or has it not yet been fully analysed?
  303.  
  304. MArtin
  305.  
  306.     (~  , ,
  307.    (___/__/__-_
  308. Dr. Martin Erdelen     EARN/BITNET: HRZ090@DE0HRZ1A.BITNET
  309. - -Computing Centre-        Internet: erdelen at hrz.uni-essen.de
  310. University of Essen           Tel.: +49 201 183-2998
  311.  Schuetzenbahn 70              FAX: +49 201 183-3960
  312.   D-4300 Essen 1            Binary: .  .-.  -..  .  .-..  .  --      (~~
  313.       Germany                                                    (()~~
  314. +-----------------------+    Smoke:       ())))   ((()))~~~ ())~~~
  315. |      Remarkably       |               ())))) ~~~
  316. |      remarkless       |        (())()~(())())
  317. |         room          |     (())())
  318. +-----------------------+   ((()()())))
  319.  
  320. ------------------------------
  321.  
  322. Date:    Fri, 28 May 93 15:06:55 -0400
  323. >From:    "David M. Chess" <chess@watson.ibm.com>
  324. Subject: Re: Single state machines and warm reboots (PC)
  325.  
  326. >From:    Garry J Scobie Ext 3360 <GSCOBIE@ml0.ucs.edinburgh.ac.uk>
  327.  
  328. >> From:    padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
  329.  
  330. >>      I know of no virus (and am sure will be corrected if wrong 8*) that
  331. >> can survive a *real* warm reboot.
  332.  
  333. >Was this thread ever followed up. In Volume 5 Issue 41 1992, Vesselin
  334. >noted that no virus could survive the genuine or *real* Ctrl-Alt-Del
  335. >or warm re-boot. However, in Issue 44 David Chess notes:
  336.  
  337. >>  In short, since some viruses ARE able to survive the Ctrl-Alt-Del
  338. >>    sometimes,
  339. >
  340. >Was this taken off-line and resolved? David, Vesselin?
  341.  
  342. We are all agreeing loudly with each other, as usual!   *8)
  343. There are viruses which will still be there if you press
  344. Control-Alt-Delete and wait for the good old DOS prompt to
  345. come back.  However, the way they work is by preventing
  346. a "real" warm reboot (in Padgett's sense of "real"),
  347. and in many cases someone as observant as Vesselin will
  348. be able to tell, by watching exactly what happens after
  349. the C-A-D is pressed, that that "real" reboot did not
  350. occur.   So it's true both that we know of no virus
  351. that's still in memory after a "real" warm reboot, but
  352. at the same time if you just press C-A-D and wait for
  353. the machine to settle down again, there *are* viruses
  354. that can survive that.
  355.  
  356. - - -- -                             /   We have a little garden,
  357. David M. Chess                     /     A garden of our own,
  358. High Integrity Computing Lab       /   And every day we water there
  359. IBM Watson Research                /     The seeds that we have sown.
  360.  
  361.  
  362. ------------------------------
  363.  
  364. Date:    Sat, 29 May 93 08:57:30 -0400
  365. >From:    A.M.Zanker@newcastle.ac.uk (A.M. Zanker)
  366. Subject: Re: CPAV updates? (PC)
  367.  
  368. bontchev@rzsun2.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
  369.  
  370. >Alan Boon (ee1ckb@sunlab1.bath.ac.uk) writes:
  371.  
  372. >> I am currently using CP Anti-Virus v1.4 and before anyone say anything
  373. >> bad about it, I like it and think it's one of the best around! Does
  374.  
  375. >Would be curious to know why to you think that it is so good?
  376. >According to my own experience, it is actually one of the worst
  377. >anti-virus programs around... Don't you like it because of the user
  378. >interface, by chance? Remember that there is no record of a virus
  379. >being ever stopped by a user interface... :-)
  380.  
  381. Ha Ha! Yes, it has a nice user interface. It also detects the 50 or so
  382. virii that are ever really seen outside virus testing labs etc. (according
  383. to Alan Solomon). It always seems to have a fairly low rating in P. Hoffman's
  384. certification tests, but then she seems to use the standard 1.4 version without
  385. any of the updates. 
  386.  
  387. The Windows version is also rather nice and has got me out of a few scrapes.
  388. Both DOS and Windows versions can also detect changes to "system" files 
  389. (.exe, .com, .dll, .ov?, etc.) which seems to cover just about everything
  390. one is likely to meet in everyday home use.
  391.  
  392. Mike
  393. - -- 
  394. - --
  395. Mike Zanker                              |  A.M.Zanker@ncl.ac.uk
  396. Department of Mathematics and Statistics |
  397. University of Newcastle upon Tyne, UK    |
  398.  
  399.  
  400. ------------------------------
  401.  
  402. Date:    Sun, 30 May 93 01:23:51 -0400
  403. >From:    medici@dorm.rutgers.edu (Mark Medici)
  404. Subject: Re: Bug With Virstop 2.08a & DOS6 Memmaker? (PC)
  405.  
  406. sphughes@sfsuvax1.sfsu.edu (Shaun P. Hughes) writes:
  407.  
  408. | RTRAVSKY@corral.uwyo.edu (Rich Travsky 3668 (307) 766-3663/3668) writes:
  409. | >I have encountered an odd interaction between virstop.exe version
  410. | >2.08a and dos 6's memmaker. Specifically, having virstop running 
  411. | >(either in conventional or high memory) will hang the pc when using
  412. | >memmaker. This means then that to run memmaker you have to comment 
  413. | >it out of whichever startup file you have it in.
  414.  
  415. | I finally got around to dos 6.0 yesterday and had absolutely no
  416. | conflict between virstop 208a and memmaker. I suspect your problem
  417. | lies elsewhere. 
  418.  
  419.  
  420. I have had experiences similar to Rich's.  If I allow DOS6's MemMaker
  421. to try and determine the best way to load VIRSTOP from F-PROT 2.08a,
  422. the system locks hard requiring cold-boot.  However, if I select the
  423. custom MemMaker option, tell MemMaker that I want to specify which
  424. files to try and load high, and exclude VIRSTOP, there is no problem.
  425.  
  426. Note that VIRSTOP is actually loaded into memory, it's just that I
  427. don't let MemMaker try to fit it high.  After MemMaker is done, I have
  428. no trouble loading VIRSTOP into UMB (providing enough space is left
  429. over for it).
  430.  
  431. So the problem seems only to be that MemMaker's method of determining
  432. VIRSTOP's size is not working -- not that VIRSTOP is incompatible with
  433. DOS6's UMB/EMM386.EXE.
  434.  
  435. - -- 
  436. _________________________________________________________________________
  437. RUCS     | Mark A. Medici * Telecommunications Analyst II * User Services
  438. User     | Rutgers University Computing Services, New Brunswick, NJ 08903
  439. Services | [medici@gandalf.rutgers.edu]                    [908-932-2412]
  440.  
  441.  
  442. ------------------------------
  443.  
  444. Date:    Mon, 31 May 93 16:17:05 -0400
  445. >From:    Fischer@rz.uni-karlsruhe.de
  446. Subject: TREMOR via Satellite (PC)
  447.  
  448. Clarification:
  449.  
  450. Several people sent e-mail to me asking which version of PKUNZIP or McAfee's
  451. SCAN were infected! Maybe I was not precise enough.
  452.  
  453. 1. The virus infection did *not* happen at McAfee Associates nor at PK Ware!
  454.  
  455. 2. The company Channel Videodat near Cologne, Germany most probably contracted
  456.    TREMOR from a shareware dealer in Duesseldorf, Germany
  457.    named Software Projekt Heidel, who supplied the 104 Version of McAfee's
  458.    anti-virus software and an infected copy of PKUNZIP.EXE
  459.  
  460. 3. The transmission is on the same channel as the TV program PRO-7, that is
  461.    broadcasted in Europe.
  462.  
  463. I hope this clarifys the matter.
  464.  
  465.  
  466. Christoph Fischer
  467. Micro-BIT Virus Center
  468. University of Karlsruhe
  469. Zirkel 2
  470. W-7500 KARLSRUHE 1
  471. Germany
  472. +49 721 376422 Phone
  473. +49 721 32550  FAX
  474. email: ry15@rz.uni-karlsruhe.de
  475.  
  476. ------------------------------
  477.  
  478. Date:    Mon, 31 May 93 16:28:31 -0400
  479. >From:    Fischer@rz.uni-karlsruhe.de
  480. Subject: TREMOR Analysis (PC)
  481.  
  482. TREMOR Analysis
  483.  
  484. The analysis of the mutation mechanism in TREMOR revealed a complexity of
  485. 5.8 billion possibilies of variation of the decryption loop. Now that the full
  486. tree is analysed a 100% hit rate in detecting this virus can be achieved.
  487.  
  488. During this analysis a delay mechanism for the payload trigger has been found.
  489. This can be used to back-trace an infection strain, since the infection date
  490. can be derived from the trigger code!
  491.  
  492. TREMOR Prevalence
  493.  
  494. TREMOR is now pretty much spread in Germany the Micro-BIT Virus Center gets
  495. about 1-2 calls from infected sites per day. Several companies were among the
  496. callers.
  497.  
  498. Christoph Fischer
  499. Micro-BIT Virus Center
  500. University of Karlsruhe
  501. Zirkel 2
  502. W-7500 KARLSRUHE 1
  503. Germany
  504. +49 721 376422 Phone
  505. +49 721 32550  FAX
  506. email: ry15@rz.uni-karlsruhe.de
  507.  
  508. ------------------------------
  509.  
  510. Date:    Tue, 01 Jun 93 03:35:02 -0400
  511. >From:    "Roger Riordan" <riordan@tmxmelb.mhs.oz.au>
  512. Subject: DOS 6 Double Space and Invisible Virus (PC)
  513.  
  514. We recently received a sample of "Invisible" virus.  This infects 
  515. both files and MBRs.  Without really thinking we ran it on a 
  516. test PC in which the hard disk was set up using DOS 6 Double 
  517. Space.  After running an infected file the PC was rebooted.
  518.  
  519. Immediately we discovered major corruption.  The root directory 
  520. appeared to be OK, but many files and directories (at various 
  521. levels) were unreadable, and a number of directories were 
  522. recursive.  Of about 15M on the hard disk about 4M was lost.  
  523.  
  524. We tried running CHKDISK.  This reported many lost clusters, and 
  525. made these into about 300 files, but most of these were still 
  526. unreadable. 
  527.  
  528. Eventually we gave up and reformatted the hard disk.  We did not 
  529. install Double Space this time!
  530.  
  531. As far as we know at present the only deliberate damage done 
  532. by the virus is to write the original MBR, followed by the virus, 
  533. to the last seven sectors on the hard disk.  We were able to read 
  534. this as an absolute sector using Nortons, but many clusters 
  535. and even physical sectors appeared to be totally unreadable.  It 
  536. is possible that the virus marked the occupied sectors as bad, 
  537. and that this caused the damage, but this does not seem very 
  538. probable.
  539.  
  540.  
  541. CONCLUSION.
  542.  
  543. Double Space would appear to have the capability of converting an 
  544. infection with an otherwise trivial virus into a major disaster.
  545.  
  546.  
  547. Roger Riordan                 Author of the VET Anti-Viral Software.
  548. riordan.cybec@tmxmelb.mhs.oz.au
  549.  
  550. CYBEC Pty Ltd.                                 Tel: +613 521 0655
  551. PO Box 205, Hampton Vic 3188   AUSTRALIA       Fax: +613 521 0727
  552.  
  553.  
  554. ------------------------------
  555.  
  556. Date:    Sat, 29 May 93 17:02:07 +0000
  557. >From:    bontchev@news.informatik.uni-hamburg.de (Vesselin Bontchev)
  558. Subject: Re: The Anti-Viral Software of MS-DOS 6 (PC)
  559.  
  560. Y. Radai (RADAI@vms.huji.ac.il) writes:
  561.  
  562. > I do not notice any behavior like that described above when I use McAfee's
  563. > Scan V102, S&S's FindViru 6.18, or UTScan 28.  I find it only when I run
  564. > F-PROT after running MSAV.  I then get the message "The xxxxxx virus search
  565. > pattern has been found in memory" (where xxxxxx is "Telecom", unless VSafe is
  566. > loaded in extended memory, in which case xxxxxx is "Stoned").  I therefore
  567. > think that the problem lies with F-PROT rather than with MSAV or VSafe in this
  568. > particular case.
  569.  
  570. I beg to disagree. Although I have not observed it myself, I have
  571. received several reports about interaction with SCAN 104 and ghost
  572. positives. It seems indeed to depend on where exactly is VSAFE loaded
  573. in memory. And the cause of the problem is, of course, VSAFE and
  574. nothing else - because it doesn't bother to encrypt its scan strings.
  575.  
  576. Regards,
  577. Vesselin
  578. - --
  579. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  580. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  581. < PGP 2.2 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  582. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  583.  
  584. ------------------------------
  585.  
  586. Date:    Sat, 29 May 93 16:45:47 +0000
  587. >From:    bontchev@news.informatik.uni-hamburg.de (Vesselin Bontchev)
  588. Subject: Re: Cure against Tremor available? (PC)
  589.  
  590. Robert Hoerner (Robert.Hoerner@f2170.n492.z9.virnet.bad.se) writes:
  591.  
  592. > F-PROT 2.08 finds it.
  593.  
  594. Unfortunately, neither version 2.08, nor version 2.08a of F-Prot is
  595. able to find the Tremor virus -reliably-, let alone to disinfect it.
  596. (By unreliable detection I mean that some infected files are detected
  597. and some aren't.) As far as I understand, Frisk has solved the problem
  598. and an update for F-Prot should be out RSN...
  599.  
  600. > I myself wrote a finder+cleaner : ANTISER.ZIP, frequestable. It desinfects 
  601. > TREMOR-infected files just at the moment, they are started. No danger for re-
  602. > infection anymore. Does not work on packed files !
  603.  
  604. If your program is freeware or shareware (and if it is good, of course
  605. <grin>), and if you are interested to make it available via anonymous
  606. ftp, then I could put it on our ftp site - just uuencode it and e-mail
  607. it to me.
  608.  
  609. BTW, are you sure that your program detects the Tremor virus reliably?
  610. This is extremely difficult to test, because the virus has a
  611. considerable potential for polymorphism, but mutates very slowly. That
  612. is, even if you generate a few thousands of replicants, you'll still
  613. have only a few different mutations and a test based only on them
  614. might not be good enough.
  615.  
  616. Regards,
  617. Vesselin
  618. - --
  619. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  620. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  621. < PGP 2.2 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  622. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  623.  
  624. ------------------------------
  625.  
  626. Date:    Sat, 29 May 93 16:58:59 +0000
  627. >From:    bontchev@news.informatik.uni-hamburg.de (Vesselin Bontchev)
  628. Subject: Re: The Anti-Viral Software of MS-DOS 6 (PC)
  629.  
  630. A. Padgett Peterson (padgett@tccslr.dnet.mmc.com) writes:
  631.  
  632. > As far as the easy disable in memory as documented widely, a tiny TSR
  633. > (uses no free RAM) could disable the disabler just as easily.
  634.  
  635. Nope. The disabler -is- needed - as Yisrael pointed out, MSAV needs to
  636. turn VSAFE off before it begins to scan the disk. If you don't allow
  637. disabling of VSAFE, then you won't be able to run MSAV with VSAFE in
  638. memory. A quick fix is to make the TSR ask the user whether s/he
  639. really wants VSAFE to be disabled, but this is, after all, a kludge.
  640.  
  641. > Finally, given that the signatures are distributed separately, what is to
  642. > stop an enterprising person from distributing their own signature update
  643. > for use with MSAV having a much higher detection rate (for a suitable fee 
  644. > of course) ?
  645.  
  646. I am not competent in legal matters, but I think that one must obtain
  647. a permission from Central Point Software and/or from Microsoft, before
  648. publishing such an update... And why would they permit their
  649. competitors to publish better anti-virus software? Besides, the format
  650. of the updates is not published. On the top of that, I suspect that
  651. those updates have some internal limitations, which cannot be
  652. circumvented without a complete re-design of the product. For
  653. instance, I am 100% sure that they don't provide the means for exact
  654. virus identification.
  655.  
  656. > Thus the question must be not "whether MSAV is the One True Answer" but
  657. > "*could* it be ..." e.g. is the engine robust enough ? Certainly, Windows
  658.  
  659. Hm, what do you mean by "robust enough"? I've got the impression that
  660. the scanning engine in CPAV/MSAV is rather far from the modern fast
  661. scanning technologies...
  662.  
  663. > Now let's look on the positive side: MSAV is at least trivially integrated
  664. > into DOS.
  665.  
  666. Is it? How? From what I have seen, it is just an add-on product, which
  667. has nothing to do with the operating system. Heh, it even doesn't
  668. check the DOS version like the other external DOS commands... :-)
  669.  
  670. > I haven't tried it yet but would expect it to be compatable with
  671. > disk compression and Windows 32BitDiskAccess (possibly why the boot sector
  672.  
  673. Please try it and post the results. I have my reasons to doubt that
  674. the above is true, but I might be wrong.
  675.  
  676. > it against necessary functions that we do not know about (yet 8*). In
  677. > other words, the hard part (nice human interface & it works) is done and the 
  678. > a-v people can concentrate on improving the detection rate plus the low 
  679. > level add-ons.
  680.  
  681. Actually, even the user interface is screwed-up. The nice user
  682. interface of CPAV has been restricted quite a lot in MSAV...
  683.  
  684. > There are some drawbacks that I know of. For instance you can take a looong
  685. > coffee break while waiting for the memory scan on a 4.77 Mhz PC or XT but
  686. > this is fixable or possibly no-one will care.
  687.  
  688. This is again a result of the usage of out-of-date scanning
  689. technology. It cannot be fixed without a complete re-design of the
  690. scanning engine.
  691.  
  692. > ps STAC also quietly announced availability of STACKER for OS/2 on p 170
  693. >    of the May 24 PC-Week. Did anyone else notice ?
  694.  
  695. Sure, I even saw the product at the CeBIT'93 computer fair in 
  696. Hannover... :-)
  697.  
  698. Regards,
  699. Vesselin
  700. - --
  701. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  702. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  703. < PGP 2.2 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  704. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  705.  
  706. ------------------------------
  707.  
  708. Date:    Tue, 25 May 93 17:44:00 +0200
  709. >From:    Schwartz_Gabriel@f101.n9721.z9.virnet.bad.se (Schwartz Gabriel)
  710. Subject: Is "Untouchable" (V-ANALYST) Effective (PC)
  711.  
  712. TO: bontchev@news.informatik.uni-hamburg.de
  713. Yes you might be right about the integrity checker of V-Analyst but most of 
  714. the users want to see scan results much more then integrity check.
  715. Altough integrity check is a very important path of an anti-virus package it 
  716. can't stand alone as the leading part.I'm lookin in the latest VSUM reports 
  717. and V-Analyst doesn't look very good there,  
  718.  
  719. - --- FastEcho/386 B0426/Real! (Beta)
  720.  * Origin: >> Rudy's Place << VirNet, Israel (9:9721/101)
  721.  
  722. ------------------------------
  723.  
  724. Date:    Sat, 29 May 93 17:50:37 -0400
  725. >From:    bondt@dutiws.TWI.TUDelft.NL (Piet de Bondt)
  726. Subject: Thunderbyte anti-virus utils v6.02 uploaded to SIMTEL20 and OAK (PC)
  727.  
  728. I have uploaded to WSMR-SIMTEL20.Army.Mil and OAK.Oakland.Edu:
  729.  
  730. pd1:<msdos.virus>
  731. TBAV602.ZIP     Thunderbyte anti-virus utilities, v6.02
  732. TBAVU602.ZIP    Thunderbyte anti-virus pgm, upgrade 6.01->6.02
  733. TBAVX602.ZIP    TBAV processor specific pgms; see TBAV602.ZIP
  734. VSIG9305.ZIP    Signatures for HTSCAN virus scanner
  735.  
  736. Greetings,
  737.  
  738. Piet de Bondt                            E-Mail : bondt@dutiws.twi.tudelft.nl
  739.  
  740.  
  741. ------------------------------
  742.  
  743. Date:    Mon, 31 May 93 09:44:43 -0400
  744. >From:    wachtel@canon.co.uk (Tom Wachtel)
  745. Subject: virus news INTERNATIONAL CONFERENCE 93
  746.  
  747. virus news
  748. INTERNATIONAL CONFERENCE
  749. 93
  750.  
  751. 23rd June 1993
  752.  
  753. Sheraton Skyline
  754. Heathrow
  755.  
  756. Virus News International is widely recognised for its excellent
  757. coverage of security issues.  VNI contributors gather information
  758. from around the world and are in constant contact with police forces
  759. and law enforcement agencies.  Nowhere near all of this information
  760. has been published in VNI - yet.
  761.  
  762. As the virus field comes of age, so your need for information becomes
  763. more and more specialised.  Because you now have a much better
  764. understanding of viruses, you are now asking more focused questions.
  765. You will be given answers on which to build your defences against
  766. potential security breaches.
  767.  
  768. What you will get at the VNI Conference is a concise intelligence
  769. briefing.  When you return to your organisation, you will be in a
  770. position to update your company's policies and procedures with the
  771. advantage of having a clear idea of what is to come.
  772.  
  773.  * Why do virus authors do it?
  774.  
  775.  * What new approaches are virus authors likely to take?
  776.  
  777.  * How to prepare for the next attack
  778.  
  779.  * Up to the minute news of activities in the virus world
  780.  
  781.  
  782. What the conference will give you
  783.  
  784. One of the most frequently asked questions is "Why do they do it?"
  785. At the VNI Conference, you will hear from people who have contacted
  786. virus authors and who have hacked into closed computer systems.
  787. Their insights will help you understand your enemy better.
  788.  
  789. Knowing what new angles virus authors are likely to take is one of
  790. the questions many technical people would like to know.  Vesselin
  791. Bontchev of the Virus Test Center at the University of Hamburg is one
  792. of the world's leading virus researchers and is better placed than
  793. most to be able to provide at least some of the answers.
  794.  
  795. Most people assume that all anti-virus software operates in the same
  796. way.  Dr. Simon Shepherd of the United Kingdom Computer Virus
  797. Certification Centre, University of Bradford knows better.  He will
  798. explain how a full evaluation is carried out and what you should look
  799. for when deciding which products to use.
  800.  
  801. Dr Alan Solomon, Chairman of S & S International, will give you a
  802. briefing on the activities of virus authors and others involved in
  803. the dissemination of viruses.  With contacts right around the globe,
  804. Dr Solomon has an unrivalled understanding of what virus authors and
  805. distributors are doing.
  806.  
  807.  
  808. Speakers
  809.  
  810. Sara Gordon is an independent researcher and consultant in computer
  811. security.  Her insight into the minds, motives and methods of hackers
  812. and virus writers provides a unique perspective, with a wealth of
  813. expertise and information.  She recently interviewed the Dark Avenger.
  814.  
  815. Robert Schifreen is the man the House of Lords cleared of all charges
  816. of hacking into Prince Philip's Prestel mailbox.  Now one of the
  817. world's most respected consultants in the field of protection from
  818. hacking, he will be giving you an insight into the motives of
  819. hackers.
  820.  
  821. Vesselin Bontchev is a Research Associate at the University of
  822. Hamburg, while continuing his research at the Virus Test Center there.
  823.  
  824. Dr Simon Shepherd is Senior Lecturer in Cryptography and Computer
  825. Security at the University of Bradford, and Director of the UK
  826. Computer Virus Certification Centre.  He has extensive experience in
  827. the design of secure communications and computing systems.
  828.  
  829. Dr Alan Solomon, one of the leading figures in the anti-virus
  830. research community, is co-founder and technical director of the
  831. European Institute for Computer Anti-Virus Research.  He is also
  832. Chairman of S & S International and of the IBM PC User Group.
  833.  
  834.  
  835. An International Event
  836.  
  837. Virus News International has frequently shown that the appearance of
  838. a virus in one part of the world is usually the prelude to its
  839. appearance in other countries, probably including yours.  VNI has a
  840. truly international following and the conference provides and
  841. opportunity to discuss experienced with delegates from around the
  842. globe.
  843.  
  844. For the benefit of international delegates, The Sheraton Skyline at
  845. Heathrow has been selected as the venue for the conference.  VNI is
  846. conscious that delegates must justify fees and expenses so we have
  847. packed this conference into one day.  The location makes it perfectly
  848. possible for delegates to fly in from Europe or other parts of the
  849. UK, spend a full and fruitful day at the conference, and return home
  850. without incurring any overnight expense.
  851.  
  852.  
  853. Who should attend?
  854.  
  855. Senior IT staff, network managers, Information Centre managers and
  856. technical staff involved in data security procedures and development
  857.  
  858. Date                23rd June 1993
  859. Venue               The Sheraton Skyline, Heathrow
  860. Fee                 L295.00 + VAT per delegate
  861.  
  862. Delegates' fees may be paid by Access or Visa or by cheque.  Company
  863. purchase orders accepted.
  864.  
  865. Since the conference is scheduled for less than one month from now,
  866. interested persons should contact Paul Robinson on +44-792-324-000 asap.
  867. Alternatively, his email address is 70007.5406@COMPUSERVE.COM.
  868.  
  869. - -----------------------------------------------------------------------
  870. virus news INTERNATIONAL, William Knox House, Llandarcy, Swansea.  West
  871. Glamorgan, SA10 6NL, United Kingdom
  872. Tel No. +44 792 324000  Fax No. +44 792 324001
  873.  
  874. ===================
  875. - -- 
  876. Tom Wachtel (wachtel@canon.co.uk)
  877.  
  878. ------------------------------
  879.  
  880. Date:    Fri, 28 May 93 15:05:12 -0400
  881. >From:    "Rob Slade" <roberts@decus.arc.ab.ca>
  882. Subject: Activity Monitors - variations (CVP)
  883.  
  884.  
  885. PRTAVSA.CVP   930522
  886.  
  887.                   Activity Monitors - variations
  888.  
  889. I would like to cover, under the topic of activity monitoring
  890. software, two variations on the theme.  The first variation is very
  891. minor: that of operation restricting software.  Operation
  892. restricting software is similar to activity monitoring software,
  893. except that instead of watching for suspicious activities it
  894. "automatically" prevents them.  In the past I have tended to class
  895. operation restricting software as a separate type of antiviral even
  896. though the difference between a "monitor" and a "restrictor" is
  897. really only one of degree in the information given to the user.  The
  898. reason that I have done so is that the "degree" is not a continuum,
  899. and there tends to be a definite gap between those programs which
  900. inform the user, and those which do not.
  901.  
  902. As with mainframe security "permission" systems, some of these
  903. operation restricting packages allow you to restrict the activities
  904. that programs can perform, sometimes on a "file by file" basis. 
  905. However, the more options these programs allow, the more time they
  906. will take to set up.  Again, the program must be modified each time
  907. you make a valid change to the system, and, as with activity
  908. monitors, some viri may be able to evade the protection by using low
  909. level programming.
  910.  
  911. It is important, when evaluating both activity monitoring and
  912. operation restricting software, to judge the extent that the
  913. operator is given the option of "allowing" an operation.  It is also
  914. important that the operator be informed, not only that a particular
  915. program or operation should be halted, but also why.  There should
  916. not be too many "false alarms" generated by the software, and it
  917. would be helpful to have the option of "tuning" the software to be
  918. less, or more, sensitive to a given type of activity.
  919.  
  920. The second variant on activity monitoring may at first seem to be
  921. wildly diverse: "heuristic" scanning.  However, please note that
  922. heuristic scanners attempt to do the same thing that an activity
  923. monitor does, if in a slightly different way.  Instead of "waiting"
  924. for a program to perform a suspicious activity, a heuristic scanner
  925. examines the *code* of a program for suspicious calls (hopefully
  926. before the program is even run).  Although such scanners may be
  927. limited to checking for very generic sections of code in their
  928. current, natal state, eventually they will require a good deal of
  929. "intelligence" to justify the analytical nature implied by the name
  930. "heuristic".  Heuristic scanners are currently tools best used by
  931. those with some background in virus identification and prevention,
  932. but they hold a promise to become very useful tools even for the
  933. novice with future development.
  934.  
  935. copyright Robert M. Slade, 1993   PRTAVSA.CVP   930522
  936.  
  937. ==============                      _________________________
  938. Vancouver      ROBERTS@decus.ca    |    |     |\^/|     |    | swiped
  939. Institute for  Robert_Slade@sfu.ca |    |  _|\|   |/|_  |    | from
  940. Research into  rslade@cue.bc.ca    |    |  >         <  |    | Alan
  941. User           p1@CyberStore.ca    |    |   >_./|\._<   |    | Tai
  942. Security       Canada V7K 2G6      |____|_______^_______|____|
  943.  
  944.  
  945. ------------------------------
  946.  
  947. End of VIRUS-L Digest [Volume 6 Issue 88]
  948. *****************************************
  949.