home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / VIRUSL3 / VIRUSL3.111 < prev    next >
Encoding:
Text File  |  1994-07-17  |  26.6 KB  |  642 lines
  1. VIRUS-L Digest   Monday, 11 Jun 1990    Volume 3 : Issue 111
  2.  
  3. Today's Topics:
  4.  
  5. Re: removing Stoned from harddisks (PC)
  6. re: Brain (PC)
  7. re: Possible virus or trojan (Mac)? Help!!!
  8. Re: Possible virus or trojan (Mac)? Help!!!
  9. Re: Creation of New Viruses to Sell Product
  10. RE: Documented mainframe viral attacks
  11. Re: removing Stoned from harddisks (PC)
  12. Re: First jailed UK computer h
  13. Re: New Virus (PC)
  14. Soviet Virus Questions
  15. Re: 1451 virus in Yugoslavia (PC)
  16. First generation samples (PC)
  17. Re: Possible virus (PC)
  18. Military use of computer viruses
  19. F-PROT version 1.10 (PC)
  20. Ping-Pong Ball Virus (PC)
  21. Citation request - "What Do You Feed A Trojan Horse"
  22.  
  23. VIRUS-L is a moderated, digested mail forum for discussing computer
  24. virus issues; comp.virus is a non-digested Usenet counterpart.
  25. Discussions are not limited to any one hardware/software platform -
  26. diversity is welcomed.  Contributions should be relevant, concise,
  27. polite, etc.  Please sign submissions with your real name.  Send
  28. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  29. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  30. anti-virus, documentation, and back-issue archives is distributed
  31. periodically on the list.  Administrative mail (comments, suggestions,
  32. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  33.  
  34.    Ken van Wyk
  35.  
  36. ---------------------------------------------------------------------------
  37.  
  38. Date:    08 Jun 90 12:37:27 -0400
  39. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  40. Subject: Re: removing Stoned from harddisks (PC)
  41.  
  42. > he said that the tech from the disk company claimed
  43. > that Stoned actually does destroy the media permanantly.
  44.  
  45. The Stoned virus that I've seen does nothing special that would
  46. tend to destroy media; it just does normal reads and writes
  47. via the BIOS INT13 interface.  It is of course possible that
  48. there are Stoned variants out there that do nastier things, or
  49. hardware that can be permanently damaged as an indirect result
  50. of (for instance) having a bad partition table written on it,
  51. but I've seen no convincing evidence of either...
  52.  
  53. DC
  54.  
  55. ------------------------------
  56.  
  57. Date:    08 Jun 90 12:48:47 -0400
  58. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  59. Subject: re: Brain (PC)
  60.  
  61. > How does one outsmart the pakistani brain virus. I have found it on
  62. > several of my  disks some of which I don't have working backups for.
  63.  
  64. If you have the usual "Brain" virus on some diskettes, you can
  65. just copy the data off of them onto clean diskettes (using COPY,
  66. *not* DISKCOPY), and reformat them.   Be very careful, of course,
  67. to do this in a machine in which the virus is *not* currently active!
  68.  
  69. DC
  70.  
  71. ------------------------------
  72.  
  73. Date:    Fri, 08 Jun 90 14:32:40 -0400
  74. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
  75. Subject: re: Possible virus or trojan (Mac)? Help!!!
  76.  
  77. >       b.  Suddenly icons can't find their applications
  78. >       c.  Applications are increasingly unable to open data files or
  79. >           find them
  80.  
  81. This sounds like a corrupted Desktop. Try rebuilding it.
  82.  
  83. >       d.  The parameters of applications like Versaterm are unaccountably
  84. >           changing themselves i.e. the baud rate changes itself or the
  85. >           Kermit parameters change for no known reason
  86. >       e.  The options of the System and Desktop are unaccountably changing
  87. >           themselves i.e. the sound bar is turned up without anyone having
  88. >           done it.
  89.  
  90. These symptoms sound like a damaged System file at the least, possibly
  91. some of the other files in the System folder are damaged too. You may
  92. also need to replace your battery.
  93.  
  94. >       f.  There are more system bombs, and other disk and ram error messages
  95. >           than I've ever seen before in two years of working with Macs.
  96.  
  97. This sounds like real hardware trouble. Maybe. Try the other stuff I
  98. mentioned first. If the person taking the software was using an old
  99. version of the System file (i.e., booted from a floppy), it's remotely
  100. possible that may have done it.
  101.  
  102.  --- Joe M.
  103.  
  104. ------------------------------
  105.  
  106. Date:    08 Jun 90 13:35:44 +0000
  107. From:    vaxb.acs.unt.edu!ac08@cs.utexas.edu (C. Irby)
  108. Subject: Re: Possible virus or trojan (Mac)? Help!!!
  109.  
  110. mitchell@crcc.uh.edu writes:
  111. >      I've got a strange Mac problem and need help.  Monday night, one
  112. >   of my colleagues allowed a friend in to the office to steal Mac software
  113. >   (using his old Mac disks, of course).  After the appropriate cussing-out
  114. >   and running-off, the machine in question (Mac SE, 20Mb hard disk, System
  115. >   6.0.3) started acting funny.  Symptoms:
  116.  
  117. Before you do that- have you tried to reinstall the System software?
  118. If your friend accidentally trashed a file or two, that could be the
  119. easy fix...
  120.  
  121. Viruses?  Maybe, but who knows...?
  122.  
  123. C Irby
  124.  
  125. ------------------------------
  126.  
  127. Date:    08 Jun 90 13:40:53 +0000
  128. From:    vaxb.acs.unt.edu!ac08@cs.utexas.edu (C. Irby)
  129. Subject: Re: Creation of New Viruses to Sell Product
  130.  
  131. WHMurray@DOCKMASTER.NCSC.MIL writes:
  132. >>This leaves a greater potential for companies to profit from the
  133. >>creation of new viruses.
  134. >
  135. > New viruses do not sell product.  Old viruses sell product.  There
  136. > are not enough copies of a new virus to be noticed.
  137. >
  138. > William Hugh Murray, Executive Consultant, Information System Security
  139. > 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
  140. > 203 966 4769, WHMurray at DOCKMASTER.NCSC.MIL
  141.  
  142. You're joking, right?
  143.  
  144. "New virus reported- 1 copy found- get your new virus killer here!"
  145.  
  146. For example, there are some companies that sell "yearly upgrade
  147. support" for X dollars- if there are no new viruses, there *is* no
  148. reason for the product...
  149.  
  150. C Irby
  151. ac08@vaxb.acs.unt.edu
  152. ac08@untvax
  153.  
  154. ------------------------------
  155.  
  156. Date:    Fri, 08 Jun 90 17:52:36 -0400
  157. From:    Arthur Gutowski <AGUTOWS@WAYNEST1.BITNET>
  158. Subject: RE: Documented mainframe viral attacks
  159.  
  160. spoelhof@newkodak.kodak.com (Gordon Spoelhof) asks:
  161.  
  162. >1.  How many mainframe viral attacks are documented?
  163.  
  164. The ones that come to my mind (and I believe all have been reported
  165. here) are the XMAS, BUL, 4PLAY, and HEADACHE execs on VM/CMS and the
  166. RTM worm and WANK worm on Unix.
  167.  
  168. >2.  How many incidents are reported/not reported?
  169.  
  170. Hard to say.  I suspect that just as with PC and Macintosh viruses, some
  171. cases go unreported.
  172.  
  173. >3.  In general, how are the viruses introduced?
  174.  
  175. I'm not sure about the Unix worms, as I didn't follow them as closely,
  176. but I believe they exploited mail/file xfer bugs/features.  The VM execs
  177. used nickname files in PROFS and Rice Mail to send themselves to everyone
  178. you knew as they ran.
  179.  
  180. >4.  What corrective measures had to be taken?
  181.  
  182. The only VM exec we encountered here was the origional XMAS exec.  Luckily,
  183. we had alert tech support staff who monitored this list and Valert-L, caught
  184. the thing when it first came in, and nipped it in the bud.
  185.  
  186. >5.  What preventative measures are taken?
  187.  
  188. One, never trust unexpected files from unknown sources.  Even though it may
  189. not be a virus or worm as such, it has the potential of being a Trojan.
  190. Two, monitor Virus-L/Valert-L for warnings of new/recurring problems.
  191. Three, make sure your operations and tech support staff monitor things
  192. like (on VM) spool space filling up with a certain filename, perhaps even
  193. setting up filters in RSCS to reject all such files (when a confirmed report
  194. is received).  News facilities to spread the word to users to be on the
  195. lookout for such a file also help.
  196. These are things that we've done to keep attacks to a minimum.
  197.  
  198. >6.  What is the level of risk?
  199.  
  200. So far, to my knowledge (corrections welcomed if I'm wrong), the only
  201. threat the VM execs have posed is filling up spool space, which can
  202. cause VM to crash, if the problem goes unnoticed.  However, there always
  203. is the risk of a virus/worm carrying a payload that will format your A-disk,
  204. erase certain key files, or whatever.
  205.  
  206. Basically, we try not to get caught with our britches down.  This list and
  207. Valert-L are the good sources for new emergences. And staff awarness, along
  208. with past experiences keep us on our toes.
  209.  
  210.   /==="   Arthur J. Gutowski, System Programmer
  211.  : o o :  MVS & Antiviral Group / WSU University Computing Center
  212.  : --- :  Bitnet: AGUTOWS@WAYNEST1  Internet: AGUTOWS@WAYNEST1.BITNET
  213.   \===/                                       AGUTOWS@cms.cc.wayne.edu
  214.  Have a day.
  215.  -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
  216.  Waiter:  Would you care for some coffee, sir?
  217.  DesCartes:  I think not.                   ...*Poof!*, gone.
  218.  
  219. ------------------------------
  220.  
  221. Date:    09 Jun 90 01:27:10 +0000
  222. From:    btr!public!gio@decwrl.dec.com (Giovanni V. Guillemette gio@btr.com)
  223. Subject: Re: removing Stoned from harddisks (PC)
  224.  
  225. plains!person@uunet.UU.NET (Brett G. Person) writes:
  226. >I had a friend call me who told me that Stoned actually damaged the
  227. >media on the hard drive.  He said they lost a full ten Meg. He took
  228. >the drive through a low-level + dos format, and only wound up with
  229. >20Meg on a 30 meg disk.
  230. >
  231. >Now, I know that a piece of software isn't supposed to physically
  232. >destroy media, but he said that the tech from the disk company claimed
  233. >that Stoned actually does destroy the media permanantly.  I don't
  234. >pretend to know everything about the pc, do I told him I'd ask here.
  235. >My bet is that the drive was either mis-labled as a 30 meg, or somehow
  236. >partitioned wrong.
  237. >
  238. >- --
  239. >Brett G. Person
  240. >North Dakota State University
  241. >uunet!plains!person | person@plains.bitnet | person@plains.nodak.edu
  242.  
  243. This has happened to me before, but not in relation to a virus.  It happened
  244. when I tried to format an RLL drive in MFM format, as RLL offers 50% more
  245. data per track.  Run CHKDSK on the disk.  If you get a message to the effect
  246. that you have 10 megs of bad sectors, then it's media damage.  If not, then
  247. it's because you didn't partition the disk properly.  Here's how:
  248.  
  249. Use a program like Ontrack's Disk Manager, or Speedstor to do your low-level
  250. format.  It will ask you for the drive type - and, in both cases, you should
  251. be able to enter the specific disk (assuming it's a Seagate, but, even if it's
  252. not, Speedstor might still have it) by brand and model.  Then, let the program
  253. partition it for you, using the *default* values.  What it will do is to create
  254. a small (<1MB) MFM partition for DOS to boot off of (obviously, that's where
  255. you load your system), and another 31MB RLL partition, which DOS will only be
  256. able to access after loading the device driver that Disk Manager (or Speedstor)
  257. loads automatically on the first partition for you.  Hope I didn't confuse you.
  258.  
  259. One caveat:  The disk program will install a device driver and a default
  260. CONFIG.SYS file.  Make sure you don't remove the "device=[driver].sys" file
  261. from your CONFIG.SYS, or you won't be able to access the 31MB partition!
  262.  
  263. Let me know if that helps.  This is my first posting ever to the net (I'm new
  264. to Unix, but not DOS), and I don't want to think I'm wasting bandwidth.
  265.  
  266.     - Gio
  267. gio@btr.com
  268. 73677,2727@compuserve.com
  269.  
  270. (I may be new to Unix, but I've heard of the line eater.  Eat this!)
  271.  
  272. ------------------------------
  273.  
  274. Date:    Sat, 09 Jun 90 07:44:00 +0000
  275. From:    Costas Krallis <g7ahn@compulink.co.uk>
  276. Subject: Re: First jailed UK computer h
  277.  
  278. An important point is that he was convicted for serious criminal
  279. damages, not for hacking which is not really illegal by itself. He was
  280. not just a hacker but a computer vandal.
  281.  
  282. Costas Krallis
  283. London, UK
  284.  
  285. E-Mail:   <g7ahn@compulink.co.uk>
  286.  
  287. PS: The word "hacker" here is used to describe a "password cracker"
  288.     but has also other meanings. Please, let refrain from the flame
  289.     war about it.
  290.  
  291. ------------------------------
  292.  
  293. Date:    Sat, 09 Jun 90 07:38:00 +0000
  294. From:    Costas Krallis <g7ahn@compulink.co.uk>
  295. Subject: Re: New Virus (PC)
  296.  
  297. Yuval Tal <NYYUVAL@WEIZMANN.BITNET> writes:
  298.  
  299. > I've just received a copy of a virus called "Armagedon the GREEK".
  300. > Have anyone ever seen this virus? SCAN 62 did not identify this virus
  301. > so I consider this as a new virus. I've checked it a bit and from what
  302. > I found out, at a certain time, the virus sends a special command to
  303. > your ports which a Hayes compatible modem can understand!
  304.  
  305. Is it really a virus or just a trojan ? Any inteeresting copyright
  306. strings in the program ?
  307.  
  308. > Greek fellows: What does the phone number 081-141 mean?
  309.  
  310. 081-141 is the phone number where you can hear the time announcement
  311. in Iraklion, Crete.
  312.  
  313. Costas Krallis G7AHN
  314. E-Mail:  <g7ahn@compulink.co.uk>
  315.  
  316. ------------------------------
  317.  
  318. Date:    Sat, 09 Jun 90 15:42:00 -0500
  319. From:    Sanford Sherizen <0003965782@mcimail.com>
  320. Subject: Soviet Virus Questions
  321.  
  322. I recently returned from a technical study mission to the USSR,
  323. participating with a group of specialists reviewing EDP audit, data
  324. security, and quality assurance.  Experts from universities,
  325. ministries, and financial organizations (both state and private) kept
  326. mentioning their concerns with virus (Russian pronunciation=vee'rus)
  327. attacks. There have been a number of virus problems even though there
  328. is *very* restricted access to machines and minimal network links to
  329. the outside.  Soviet systems seem ill prepared to prevent virus
  330. epidemics, except for some homegrown scanning programs. Current plans
  331. to expand computerization within the public as well as private sectors
  332. will create opportunities for many problems.
  333.  
  334. I am interested in hearing from anyone who has information about the following:
  335.  
  336.         1.  Incidents of virus problems in the USSR (I have some details from
  337.  
  338.             the November, 1988 period but nothing else.)
  339.  
  340.         2.  Vaccines or other virus prevention/detection programs in the USSR
  341.  
  342.         3.  Western virus prevention/detection programs that are available for
  343.  
  344.             export to the USSR
  345.  
  346. Finally, I mentioned Virus-L in my talks and there were many people
  347. who were interested in obtaining its messages.  Does anyone know of
  348. existing links that could be used to make Virus-L available to Soviet
  349. researchers and other interested parties given current official and
  350. technical restrictions over their receiving external messages?
  351.  
  352. Any assistance that you can offer will be appreciated.  I plan to send
  353. information to people there and will be writing a number of articles
  354. on the findings from my trip.
  355.  
  356. Nice to be back in the U.S.
  357.  
  358. Sandy Sherizen
  359.  
  360. ******************
  361.  
  362. Sanford Sherizen
  363.  
  364. RESPOND VIA-------------------> MCI MAIL:   SSHERIZEN  (396-5782)
  365.            -------------------> FAX:        508-879-0698
  366.            -------------------> PHONE:      (508) 655-9888
  367.  
  368. ******************
  369.  
  370. ------------------------------
  371.  
  372. Date:    Sat, 09 Jun 90 22:41:00 -0400
  373. From:    Paul Coen <PCOEN@drew.bitnet>
  374. Subject: Re: 1451 virus in Yugoslavia (PC)
  375.  
  376. >VirusName       : ?, (1451COM/1411EXE)
  377. >Type            : indirect executable code infector
  378. >Infects         : COM and EXE files
  379. >VirusBodyLength : 1451 bytes (COM), 1411 bytes (EXE)
  380. >Expanding victim: YES, to paragraph boundary, both COM and EXE
  381. >Location in RAM : before end of memory
  382. >Steals interrupt: 21h
  383. >Intercepts func.: 40h (write to file), 4Bh (load & execute)
  384. >Attacks         : Sept., Oct., Nov., Dec., each year
  385. >Action          : When executing int 21h, func. 40h (write to file)
  386. >                  intercepts the call. If triggered the action code
  387. >                  increments register DX by 0Ah, changing the address
  388. >                  of buffer to be written to disk.
  389. >Consequences    : wrong data (or garbage) written to disk
  390.  
  391. From the trigger time, location in RAM, and the action/result, this
  392. sounds remarkably like the 1554/1559 virus.  We were hit with it in
  393. March/April here at Drew U.  One thing we noticed was that it doesn't
  394. always add the same amt. to a file -- ours tended to be around 1300+
  395. bytes.  However, Viruscan and the dissasembly indicated that it was
  396. the virus commonly known as the 1554.  I'd guess that yours is the
  397. same beastie.
  398.  
  399. I could be wrong, but I think it originated in Taiwan.  My first
  400. recollection of it was when someone from Taiwan posted a UUENCODED
  401. .COM file (chkdsk, I think) containing the virus to the VALERT-L list.
  402.  
  403. I haven't heard of too many places getting hit -- supposidly we were
  404. only the third or so reported hit in the United States.
  405.  
  406. We (Drew U. Academic Computer Center) figured that it was probably
  407. written by/for students in particular -- since the trigger time
  408. roughly corresponds to the fall semester in many places.
  409.  
  410. McAfee's viruscan (the latest version in v63) detects the 1554.  I'd
  411. be interested in knowing if that is what it identifies your virus as.
  412.  
  413. One other item of note -- the virus we were hit with doesn't go TSR
  414. by calling the standard interrupt(s).  It just writes itself in the
  415. upper 128K (on a 640K machine) and hopes nothing writes over it.
  416. Because of this, it blows right by programs watching the interrupts,
  417. like FluShot+.  If this is the method that your virus uses, I'd say
  418. it's almost certainly the same virus -- or a variant.
  419.  
  420. It's a nasty bug -- it might look like a disk error to the uninformed.
  421. Good luck with it.
  422.  
  423.                         ------------------------
  424. Paul Coen                                               Drew University
  425.            pcoen@drew.edu               pcoen@drunivac.bitnet
  426.  
  427. ------------------------------
  428.  
  429. Date:    Sun, 10 Jun 90 14:16:38 +0000
  430. From:    frisk@rhi.hi.is (Fridrik Skulason)
  431. Subject: First generation samples (PC)
  432.  
  433. When the author of a virus wants to get his creation into circulation,
  434. he might send a copy of it to a virus researcher - probably because it
  435. is a fast and easy way to get the publicity he wants.
  436.  
  437. Sometimes this is done anonymously, but the author could just as well
  438. claim to have "found" the virus on some computer.  It is even possible
  439. that this might be done in order to establish a good working
  440. relationship with the virus researcher - with possible virus exchanges
  441. in the future in mind.
  442.  
  443. It is so much easier to write a virus when a starting point, in the
  444. form of an existing virus is provided.
  445.  
  446. The question is: Has this ever happened ? Are any of the virus samples
  447. that have been made available to researchers "first-generation copies"
  448. directly from the virus authors ?
  449.  
  450. Several such cases are known - Murphy-2, New Vienna, the TP-series and
  451. Icelandic-2, and the Pentagon "virus" might also be included in the
  452. group.
  453.  
  454. There are also a few cases where the sample originally made available
  455. for research is not a typical infected program, as it includes a text
  456. string or a piece of code which is not included when the virus
  457. replicates.  In some cases the virus is structurally different,
  458. missing a 3-byte JMP at the beginning for example.  This only seems to
  459. be possible if...
  460.  
  461.        ...the person who made the virus available is the author
  462. or
  463.        ...he obtained the virus directly from the author
  464.  
  465. This article is written because a few days ago I obtained two new
  466. viruses, where the samples are different from typical infected
  467. programs - clearly the samples were first-generation programs.
  468.  
  469. Those two viruses were called SVIR.EXE (a 512 byte direct-action .EXE
  470. file infector) and 13J.EXE, a 1201 byte encrypted .EXE file infector.
  471.  
  472. Some previous such cases were known, including the Amoeba (a 1392 byte
  473. .EXE and .COM infector), but I suspect that several other viruses have
  474. also been distributed by their authors this way.
  475.  
  476. - -frisk
  477.  
  478. Fridrik Skulason      University of Iceland  |
  479. Technical Editor of the Virus Bulletin (UK)  |  Reserved for future expansion
  480. E-Mail: frisk@rhi.hi.is    Fax: 354-1-28801  |
  481.  
  482. ------------------------------
  483.  
  484. Date:    11 Jun 90 03:46:33 +0000
  485. From:    woody@chinacat.Unicom.COM (Woody Baker @ Eagle Signal)
  486. Subject: Re: Possible virus (PC)
  487.  
  488. IBNG300@INDYVAX.BITNET (SEAN KRULEWITCH) writes:
  489. > prompt.  When I try again, I get an incorrect Dos version error.  If I
  490. > then proceed to type ver it says Dos 3.41.  However I am running Dos
  491. > 4.01.  If i type ver a few more times it continues to say dos 3.41.
  492.  
  493. This sounds like one of the 4.01 bugs.  DON'T EVEN LET dos 4.X NEAR a
  494. machine.  It causes all kinds of strange problems.  I have a long
  495. string of friends and aquaintances who have tried it, and have had to
  496. go back to dos 3.x for reliablity.  The technical reasons for this are
  497. many and varied, but the major culprit seems to be the 32 bit fat
  498. table.  Some of the function calls have been modified.  Specificaly,
  499. some of the older calls did not specify the contents ofthe CX register
  500. pair.  Under DOS 4.01 the CX register pair is checked for a specific
  501. value, to enable 32 bit fat stuff.  Since this was not a requirement
  502. that CX have anything in it, some programs use it for a counter etc.
  503. etc.  These programs can crash bigtime in certain cases.  DON'T USE
  504. DOS 4.X
  505.  
  506. Cheers
  507. Woody
  508.  
  509. ------------------------------
  510.  
  511. Date:    Mon, 11 Jun 90 10:12:36 +0100
  512. From:    Anthony Appleyard <XPUM04@prime-a.central-services.umist.ac.uk>
  513. Subject: Military use of computer viruses
  514.  
  515. {A.Appleyard} (email: APPLEYARD@UK.AC.UMIST), Mon, 11 Jun 90 09:54:04 BST
  516. ......................................................................
  517. from UK newspaper 'The Sunday Telegraph', Sunday 10 June 1990
  518.  
  519. [Germ war looks to computer virus], by Roger Highfield, Science Editor
  520.  
  521. A new era of warfare - "electronic garm warfare" - is about to be launched.
  522. Computer viruses are to be developed  into  weapons.  Viruses,  destructive
  523. rograms  that  can  propagate  undetected  through computer networks, could
  524. wreak havoc on battlefield computers, disabling communications  and  making
  525. weapons  useless.  "We're  looking  to see if we can develop some malicious
  526. software concepts.",  said  Dr.  Richard  Poisel,  chief  of  research  and
  527. technology  at  the  secretive  US  Army  Centre  for  Signals  Warfare  in
  528. Warrenton, Virginia, USA. One security expert, Professor Lance  Hoffman  of
  529. George  Washington  University, said advanced nations were most vulnerable.
  530. "Their military systems are much more dependent on computers.".
  531.  
  532. Details of the attack virus are  contained  in  the  "Program  Solicitation
  533. 90-2" issued in the Defence Department's Small Business Innivation Research
  534. Programme.   Entitled  "Computer  Virus  Electronic  Counter  Measure",  it
  535. outlines how the research "shall be to determine the  potential  for  using
  536. computer viruses as an electronic counter measure technique against generic
  537. military  communications  systems/nets.". The project not only calls on the
  538. company to design the viruses but to determine if they can  be  transmitted
  539. by  radio  to  infect the enemy's computer. One potential target of viruses
  540. could be organizations like the Government Communications  Headquarters  in
  541. Cheltenham  (UK),  which  intercept  foreign radio transmissions and decode
  542. them by computer. Once in an enemy system, the virus could lurk  undetected
  543. until  required.  It  could  scramble  data,  infect  another computer, and
  544. possibly even go on to delete itself.
  545.  
  546. The US Department of Defence has offered an initial $50,000  to  businesses
  547. prepared to undertake a feasibility study.
  548.  
  549. ------------------------------
  550.  
  551. Date:    Mon, 11 Jun 90 10:40:17 +0000
  552. From:    frisk@rhi.hi.is (Fridrik Skulason)
  553. Subject: F-PROT version 1.10 (PC)
  554.  
  555. F-PROT version 1.10 is now finished.  The major changes since 1.09 include:
  556.  
  557.           * Scanning and disinfection of LZEXE-packed files.  This is rather
  558.           slow, as it is written in C.  I version 1.11 this routine will be
  559.           written in assembly language.
  560.  
  561.           * A bug in F-DISINF that prevented it from removing the 'Stoned'
  562.           virus from hard disks has been corrected.
  563.  
  564.         * Some command line options added: /AUTO to automatically remove
  565.           any infections found, without asking.
  566.  
  567.         * Support for the Bulgarian version (P16) of DOS.
  568.  
  569.         * The programs can now detect, stop and remove numerous new viruses -
  570.             including Shake, Victor, 5120, Jo-Jo, Liberty, Murphy, 800, Fish 6
  571.           and Form. The number of virus families is now 81, major variants
  572.           (different infective lengths for example) are around 120 and total
  573.           number of variants is over 150.
  574.  
  575. The German version is not ready yet - those I have promised a copy of
  576. it will have to wait a bit longer.
  577.  
  578. I will send a copy to those on my mailing list tomorrow, as well as
  579. upload a copy to SIMTEL, if possible - we often have problems reaching
  580. SIMTEL from here.
  581.  
  582. - -frisk
  583.  
  584. Fridrik Skulason      University of Iceland  |
  585. Technical Editor of the Virus Bulletin (UK)  |  Reserved for future expansion
  586. E-Mail: frisk@rhi.hi.is    Fax: 354-1-28801  |
  587.  
  588. ------------------------------
  589.  
  590. Date:    Mon, 11 Jun 90 13:36:35 +0000
  591. From:    Bechaa Mahmoud <SBECHAA@FRECCL11.BITNET>
  592. Subject: Ping-Pong Ball Virus (PC)
  593.  
  594. I found the ping-pong ball virus on 3 of our pc hard disks.  Symptoms:
  595. a ball bouncing on the screen and destroying characters.  The program
  596. seems to choose whether to activate itself or not. So, we can
  597. sometimes see it run and sometimes not. The problem is : I am not very
  598. used to viruses and to the way to fight them. I would like to know if
  599. such a virus can attack EXE and COM files and what is the best way to
  600. definitively stop the infection.
  601.  
  602. I have tried reinstalling the system files by a 'SYS c:' command, but
  603. many students have disks already infected and they reintroduce the
  604. virus when they work on the PC. I wonder if programs like SAM (on Mac)
  605. exists for pc systems. It would be a good solution, the floppy disk
  606. being always controled and treated if an infection is detected. Can
  607. anyone give me all the suggestions to help me stop the virus.
  608.  
  609. i                           Groupe ESC Lyon                             i
  610. i                      23 Avenue Guy de Collongue                       i
  611. i                            69130 - Ecully                             i
  612. i                                France                                 i
  613.  
  614. ------------------------------
  615.  
  616. Date:    Mon, 11 Jun 90 08:32:00 -0500
  617. From:    JACOBY@MSUS1.BITNET1
  618. Subject: Citation request - "What Do You Feed A Trojan Horse"
  619.  
  620. Would anyone have the text of Clifford Stoll's address
  621. "What do you feed a Trojan horse?" given at Proceedings of the 10th National
  622. Computer Security Conference (Baltimore, Md. Sept 21-24, 1987)
  623.  
  624. As usual, send responses, comments directly to me.  I will summarize
  625. for the net if there is interest.
  626.  
  627. Brian Jacoby, JACOBY@MSUS1.BITNET
  628.  
  629. In tribute to Jim Henson, a.k.a. Grover:
  630.  
  631.    N    N EEEEE  AAA  RRRR
  632.    NN   N E     A   A R   R
  633.    N  N N EEE   AAAAA RRRR
  634.    N   NN E     A   A R  R
  635.    N    N EEEEE A   A R   R         far
  636.  
  637. ------------------------------
  638.  
  639. End of VIRUS-L Digest [Volume 3 Issue 111]
  640. ******************************************
  641. Downloaded From P-80 International Information Systems 304-744-2253
  642.