home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / VIRUSL3 / VIRUSL3.112 < prev    next >
Encoding:
Text File  |  1994-07-17  |  13.2 KB  |  346 lines
  1. VIRUS-L Digest   Tuesday, 12 Jun 1990    Volume 3 : Issue 112
  2.  
  3. Today's Topics:
  4.  
  5. George of the Jungle virus????? (Mac)
  6. More George of the Jungle... (Mac)
  7. Flushot version? (PC)
  8. SNEAK - a virus? (Mac)
  9. Re: Creation of New Viruses to Sell Product
  10. Re: Documented mainframe viral attacks
  11. What's the best pc clone virus protection pgm? (PC)
  12. The "Tiny" virus (PC)
  13. Hardware security
  14. - Virus's and Solutions
  15. Inbound File Filters (IBM Mainframes)
  16. NETSC63B.ZIP in Simtel Archives (PC)
  17.  
  18. VIRUS-L is a moderated, digested mail forum for discussing computer
  19. virus issues; comp.virus is a non-digested Usenet counterpart.
  20. Discussions are not limited to any one hardware/software platform -
  21. diversity is welcomed.  Contributions should be relevant, concise,
  22. polite, etc.  Please sign submissions with your real name.  Send
  23. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  24. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  25. anti-virus, documentation, and back-issue archives is distributed
  26. periodically on the list.  Administrative mail (comments, suggestions,
  27. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  28.  
  29.    Ken van Wyk
  30.  
  31. ---------------------------------------------------------------------------
  32.  
  33. Date:    11 Jun 90 14:54:01 +0000
  34. From:    hemstree@handel.CS.Colostate.Edu (charles he hemstreet)
  35. Subject: George of the Jungle virus????? (Mac)
  36.  
  37. I work at a computer lab here on campus, and we had someone come in
  38. and ask about this..  I may not ahve this totally correct...
  39.  
  40. WHAT IT DOES.....
  41.  
  42. 1. It's a file in the system folder...
  43.  
  44. 2. If you open it (it say's it's a word perfect document) it causes the
  45. system to crash and gives message that says it can't open it, and that
  46. it needs wordperfect to open it.  (Opposite order listed)
  47.  
  48. 3. Comes and goes, not consistent.  First noticed it on Friday the 8th.
  49.  
  50. 4. Not associated with anything purchased.
  51.  
  52. 5. Seems to have quite a bit of activity.
  53.  
  54. 6. Virus protection and disinfectant schemes don't seem to care that
  55. it's around.
  56.  
  57.  
  58. I know this is vague.  Please help me ask the person the correct
  59. questions so I can help you out more.  Is there any kind of
  60. standardized virus report form?
  61.  
  62. Thanks for your help.  We are currently trying to obtain a copy of
  63. this thing.  Still not sure if it's a virus or not.
  64.  
  65. Thanks for your help...
  66.  
  67. Chip
  68.  
  69. !===========================================================================!
  70. ! Charles H. Hemstreet IV       !internet: hemstree@handel.cs.Colostate.Edu !
  71. ! Colorado State University     ! "stay out of trouble!" -RoboCop           !
  72. !===========================================================================!
  73.  
  74. ------------------------------
  75.  
  76. Date:    11 Jun 90 15:07:29 +0000
  77. From:    hemstree@handel.CS.Colostate.Edu (charles he hemstreet)
  78. Subject: More George of the Jungle... (Mac)
  79.  
  80. Well, I'm not sure what I've got here, but may not be as serious as I
  81. thought.  We have got a copy here at the lab.  It's has the
  82. WordPerfect feather on a trashcan Icon.  I opened it on an isolated SE
  83. by double-clicking on the trash/feather icon.  WordPerfect complains
  84. that it can't open this kind of document.  On the isolated SE,
  85. WordPerfect goes ahead and opens an untitled document.
  86.  
  87. Is this a standard WordPerfect Icon?  The person found this document
  88. in his system folder.  I have a copy on floppy if anyone would care to
  89. look at it.
  90.  
  91. Chip
  92.  
  93. !===========================================================================!
  94. ! Charles H. Hemstreet IV       !internet: hemstree@handel.cs.Colostate.Edu !
  95. ! Colorado State University     ! "stay out of trouble!" -RoboCop           !
  96. !===========================================================================!
  97.  
  98. ------------------------------
  99.  
  100. Date:    Mon, 11 Jun 90 08:26:50 -0700
  101. From:    Robert Slade <USERQBPP@SFU.BITNET>
  102. Subject: Flushot version? (PC)
  103.  
  104. I have seen a copy of FSP_17.ARC on wuarchive.wustl.edu.  The latest
  105. version I was aware of was 1.6.  Ross having not been terribly active
  106. on the list lately, does anyone know if this is legit?
  107.  
  108. ------------------------------
  109.  
  110. Date:    Mon, 11 Jun 90 17:14:45 +0000
  111. From:    mrys@ethz.UUCP,
  112.            mrys@ethz.UUCP (Michael Rys)
  113. Subject: SNEAK - a virus? (Mac)
  114.  
  115. Configuration:
  116.  
  117. Mac II and Mac IIcx connected over TOPS.
  118.  
  119. There were some problems with printing, saving, opening files etc.
  120. Using Disinfectant 1.8 did not find any viri. Interferon 3.1
  121. reported a SNEAK virus. Some time ago, somebody said this is not aa
  122. virus.
  123.  
  124. What is it then?!!!
  125.  
  126. Any help appreciated.../Michael
  127.  
  128. +---------------------------------------------------------------+
  129. | Michael Rys, V. Conzett Str. 34; CH-8004 Zuerich; Switzerland |
  130. +---------------------------------------------------------------+
  131. | UUCP:  mrys@ethz.UUCP or       EAN:     mrys@ifi.ethz.ch  |
  132. |        mrys@bernina.UUCP       IPSANet: mrys@ipsaint                |
  133. | Voice: +41 1 242 35 87                                              |
  134. +---------------------------------------------------------------+
  135. - -- Wovon man nicht sprechen kann, darueber muss man schweigen. --
  136.        Ludwig Wittgenstein, Tractatus logico-philosophicus
  137.  
  138. ------------------------------
  139.  
  140. Date:    11 Jun 90 19:45:54 +0000
  141. From:    mike@client2.DRETOR (Mike Cummings )
  142. Subject: Re: Creation of New Viruses to Sell Product
  143.  
  144. WHMurray@DOCKMASTER.NCSC.MIL writes:
  145. >>This leaves a greater potential for companies to profit from the
  146. >>creation of new viruses.
  147. >
  148. >New viruses do not sell product.  Old viruses sell product.  There
  149. >are not enough copies of a new virus to be noticed.
  150.  
  151. This is true in the short term, but every virus has to start small, even
  152. the biggest and most prolific.  A company looking far to its future -
  153. ie. a couple of years, might stand to benifit from such a policy.
  154.  
  155. I'd hate to think that it would happen though - it's pretty morally
  156. reprehensible.  It's like a drug company developing and releasing new
  157. diseases, just to keep up the demand for new medicines.  On the other
  158. hand, I don't think that it is too likely.  There are two reasons for
  159. this:
  160. (i) the dangers for the company are too great.  If any news of such
  161. activity was leaked or discovered, it would be curtains in a big way.
  162. Such security compromises are just too likely for the company to risk
  163. it.
  164. (ii) more impiortantly perhaps,  is that companies distributing virus
  165. scanners are unlikely to need to resort to such tactics.  We don't seem
  166. to have any lack of new viruses out there.  Hackers seem only too ready
  167. to write, and worse yet, distribute viruses.  Until we educate such
  168. criminals in responsible use of computers, virus scanners will be a
  169. healthy business.
  170.  
  171. - ------->>>>>>>>>>>>>  mike%zorac@dretor.dciem.dnd.ca
  172.  
  173. ------------------------------
  174.  
  175. Date:    Tue, 12 Jun 90 02:16:17 +0000
  176. From:    peter@ficc.ferranti.com (Peter da Silva)
  177. Subject: Re: Documented mainframe viral attacks
  178.  
  179. [ Supposed mainframe virus attacks ]
  180.  
  181. > The ones that come to my mind (and I believe all have been reported
  182. > here) are the XMAS, BUL, 4PLAY, and HEADACHE execs on VM/CMS and the
  183. > RTM worm and WANK worm on Unix.
  184.  
  185. I don't know about the others, but the XMAS was a trojan horse worm, RTM was
  186. a directly attacking worm, and the WANK worm was on VAX/VMS, not UNIX.
  187.  
  188. All of these, I believe, used network utilities and mail programs to infect
  189. hosts.
  190. - --
  191. `-_-' Peter da Silva. +1 713 274 5180.  <peter@ficc.ferranti.com>
  192.  'U`  Have you hugged your wolf today?  <peter@sugar.hackercorp.com>
  193. @FIN  Dirty words: Zhghnyyl erphefvir vayvar shapgvbaf.
  194.  
  195. ------------------------------
  196.  
  197. Date:    11 Jun 90 22:48:00 -0500
  198. From:    "55SRWLGS" <55srwlgs@sacemnet.af.mil>
  199. Subject: What's the best pc clone virus protection pgm? (PC)
  200.  
  201.           Like to get some opinions on this one. If you could only get
  202. one program for your pc/pc-xt/pc-at or clone, what would it be? This
  203. is dicey, I know, what with viruses constantly evolving.
  204.           Recently a lot of folks have been leaning towards McAffee's
  205. SCAN program. Then there was one by a fellow, whose name escapes me
  206. right now. He was offering a reward of a cache of free software to
  207. whomever turned in a virus programmer, and helped get him/her arrested
  208. and convicted.
  209.           Anyway, appreciate a lot of opinions, and experiences, good or
  210. bad. I think we may be getting up a site liscense deal, and so I need
  211. some help towards getting the best for the buck.
  212.  
  213. Frank Starr
  214. Omaha, Nebraska  (55srwlgs@saacemnet.af.mil>"
  215.  
  216. ------------------------------
  217.  
  218. Date:    Tue, 12 Jun 90 09:54:01 +0000
  219. From:    frisk@rhi.hi.is (Fridrik Skulason)
  220. Subject: The "Tiny" virus (PC)
  221.  
  222. Among the 10 (or so) new PC viruses which have appeared this month is
  223. one which is by far the smallest one known - only 163 bytes.
  224.  
  225. It is very primitive - does not restore the original date/time of
  226. infected files for example.  In fact, it does nothing but replicate.
  227.  
  228. The virus infects only .COM files, by adding itself to the end and
  229. placing a 3-byte JMP at the beginning.  When an infected program is
  230. run, the virus will search the current directory for a program to
  231. infect.
  232.  
  233. "Tiny" seems to be based on the Kennedy virus, and was sent to me from
  234. Denmark by the same person who sent me a sample of Kennedy.
  235.  
  236. - -frisk
  237.  
  238. ------------------------------
  239.  
  240. Date:    11 Jun 90 15:01:33 +0000
  241. From:    <GLWARNER@SAMFORD.BITNET>
  242. Subject: Hardware security
  243.  
  244. I have had a quote attributed to me that was not mine.  I would
  245. appreciate it greatly if people would get their facts straight before
  246. posting messages.  And don't whine about your Mail program not working
  247. right.  If it doesn't work, trash it!
  248.  
  249. The quote that was attributed to me was actually posted by Mike
  250. Cummings.  The person who falsely paired me to this quote was Valdis
  251. Kletnieks.
  252.  
  253. Now to reply to Valdis:
  254.  
  255. I agree with Mike!  This is a stupid thing to do!  What is the
  256. point of having hardware protection if it is so easy to defeat!
  257. Perhaps you are not familiar with the PS/2s.  Some of them can
  258. have the case removed in under 15 seconds, and the wire could be
  259. swapped in another 3.  Close the case in another 15.  Copy a diskette
  260. in one minute.  Power the machine off.
  261.  
  262. There!!!  In less than two minutes in your office, I can steal
  263. confidential files off your hard drive that you THOUGHT were protected
  264. by hardware protection.  I can do that during the day while you walk
  265. to the coffee pot and back.  If however, I had to disable your machine
  266. for two hours to eliminate your password, it would be MUCH more obvious
  267. that something was happening.
  268. Or do you lock your door every time you leave your office?
  269.  
  270. Later
  271. THE GAR
  272.  
  273. ------------------------------
  274.  
  275. Date:    12 Jun 90 09:30:34 +0700
  276. From:    <D03G001@SAKSU00.BITNET>
  277. Subject: - Virus's and Solutions
  278.  
  279. I have 2 questions about viruses please can some body answer??
  280.  
  281. q1. There is a virus which reduce speed of booting plus reduce
  282. capacity of drive i.e you can't read high density diskette drive on it
  283. will be only 360k.  What is the virus name and what is the solution???
  284.  
  285. q2. Virus lives in memory when you put system off you can't get rod
  286. off it, It will go to clock ROM chip!! Is there any solution other
  287. than disconnecting battery??
  288.  
  289. Thanks in advance
  290.  
  291. Azim Syed
  292. Systems Programmer
  293. Riyadh Saudi Arabia
  294.  
  295. ------------------------------
  296.  
  297. Date:    Mon, 11 Jun 90 17:50:24 -0400
  298. From:    "David F. Lambert" <LAMBERT@MITVMA.BITNET>
  299. Subject: Inbound File Filters (IBM Mainframes)
  300.  
  301. >Date:    Fri, 08 Jun 90 17:52:36 -0400
  302. >From:    Arthur Gutowski <AGUTOWS@WAYNEST1.BITNET>
  303. >Subject: RE: Documented mainframe viral attacks
  304. >
  305. >spoelhof@newkodak.kodak.com (Gordon Spoelhof) asks:
  306. >.
  307. >.
  308. >>5.  What preventative measures are taken?
  309. >
  310. >One, never trust unexpected files from unknown sources.  Even though it may
  311. >not be a virus or worm as such, it has the potential of being a Trojan.
  312. >Two, monitor Virus-L/Valert-L for warnings of new/recurring problems.
  313. >Three, make sure your operations and tech support staff monitor things
  314. >like (on VM) spool space filling up with a certain filename, perhaps even
  315. >setting up filters in RSCS to reject all such files (when a confirmed report
  316. >is received).  News facilities to spread the word to users to be on the
  317. >lookout for such a file also help.
  318. >These are things that we've done to keep attacks to a minimum.
  319.  
  320. I just saw an IBM announcement a week or two ago which mentioned free
  321. security enhancements for RSCS.  Several of these features looked
  322. pretty useless, except for one which provides the file filter
  323. mentioned above.  That seems like a useful hunk of code to help nip
  324. things quickly.
  325.                                                    -Dave
  326.  
  327. ------------------------------
  328.  
  329. Date:    Mon, 11 Jun 90 22:53:00 -0400
  330. From:    <SANTO@SENECA.BITNET>
  331. Subject: NETSC63B.ZIP in Simtel Archives (PC)
  332.  
  333. Maybe I missed the little write up on Virus-L about the new Netscan but why
  334. the new version? I looked in the documentation and it doesn't say anything
  335. about the "B" version. Maybe the moderator can quickly clear this up for me?
  336. Thanks.
  337. Santo Nucifora (SANTO@SENCA.BITNET)
  338.  
  339. P.S. Just being a little cautious :-)
  340.  
  341. ------------------------------
  342.  
  343. End of VIRUS-L Digest [Volume 3 Issue 112]
  344. ******************************************
  345. Downloaded From P-80 International Information Systems 304-744-2253
  346.