home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / VIRUSL3 / VIRUSL3.61 < prev    next >
Encoding:
Text File  |  1994-07-17  |  12.1 KB  |  296 lines
  1. VIRUS-L Digest   Wednesday, 21 Mar 1990    Volume 3 : Issue 61
  2.  
  3. Today's Topics:
  4.  
  5. Low level format (PC)
  6. Utilities?
  7. bogus Amiga program: 'VirusX 4.4'
  8. Re: Getting files from "anonymous FTP"
  9. probably not maliciouos [was Re: possible new trojan on Genie (Mac)]
  10. Re: Stoned disinfection information (PC)
  11. another trojan called "Virus Info" (Mac)
  12. VirusX Trojan (Amiga)
  13. VirusX Trojan (Amiga) More Info!
  14. Vaxservers and Mac viruses
  15.  
  16. VIRUS-L is a moderated, digested mail forum for discussing computer
  17. virus issues; comp.virus is a non-digested Usenet counterpart.
  18. Discussions are not limited to any one hardware/software platform -
  19. diversity is welcomed.  Contributions should be relevant, concise,
  20. polite, etc.  Please sign submissions with your real name.  Send
  21. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  22. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  23. anti-virus, documentation, and back-issue archives is distributed
  24. periodically on the list.  Administrative mail (comments, suggestions,
  25. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  26.  
  27.    Ken van Wyk
  28.  
  29. ---------------------------------------------------------------------------
  30.  
  31. Date:    Mon, 19 Mar 90 16:06:06 -0000
  32. From:    LBA002@PRIME-A.TEES-POLY.AC.UK
  33. Subject: Low level format (PC)
  34.  
  35. Many of the articles I read on recovering from a virus infection
  36. recommend a "low level format" of the hard disk as part of the
  37. process. What is a "low level format" and how does it differ from just
  38. using the DOS FORMAT command?
  39. Thanks in advance for any information.
  40.  
  41. Rgds,
  42. Iain Noble
  43.  
  44. - -----------------------------------------------------------------------------
  45. Iain Noble                                   |
  46. LBA002@pa.tp.ac.uk                           |  Post:  Main Site Library,
  47. JANET: LBA002@uk.ac.tp.pa                    |         Teesside Polytechnic,
  48. EARN/BITNET: LBA002%pa.tp.ac.uk@UKACRL       |         Middlesbrough,
  49. INTERNET: LBA002%pa.tp.ac.uk@cunyvm.cuny.edu |         Cleveland, UK, TS1 3BA
  50. UUCP: LBA002%tp-pa.ac.uk@ukc.uucp            |  Phone: +44 642 218121 x 4371
  51. - -----------------------------------------------------------------------------
  52.  
  53. ------------------------------
  54.  
  55. Date:    19 Mar 90 22:54:52 +0000
  56. From:    william@eniac.seas.upenn.edu (Bill King)
  57. Subject: Utilities?
  58.  
  59. Can someone tell me where the best place to get the utilities neccessary
  60. for de-arcing and unzipping the programs would be?  For example, I now
  61. have v59 of scan and clean, but don't have the unzip program. Can someone
  62. help me out here as to an ftp address where I could get the neccessary
  63. programs? Thanks.
  64. Bill
  65.  
  66. [Ed. The PKZIP and ARC programs are available, among many other
  67. places, on SIMTEL20.ARMY.MIL by anonymous FTP.]
  68.  
  69. ------------------------------
  70.  
  71. Date:    Tue, 20 Mar 90 00:02:36 -0500
  72. From:    Jim Shaffer Jr <72750.2335%COMPUSERVE.COM@IBM1.CC.Lehigh.Edu>
  73. Subject: bogus Amiga program: 'VirusX 4.4'
  74.  
  75. A notice has just been posted on CompuServe, by one of the sysops of the
  76. Amiga Technical Forum, that a program purporting to be "VirusX 4.4" is
  77. in circulation.  This is a bogus program!  The current version of VirusX,
  78. as verified by its author, is 4.0.
  79.  
  80. No details of what "4.4" might do were mentioned.
  81.  
  82. ------------------------------
  83.  
  84. Date:    20 Mar 90 10:31:50 +0000
  85. From:    Sam Wilson <ercm20@castle.ed.ac.uk>
  86. Subject: Re: Getting files from "anonymous FTP"
  87.  
  88. In article 1914 of comp.virus XPUM04@prime-a.central-services.umist.ac.uk
  89.    (Anthony Appleyard) writes:
  90. >
  91. > Information from "Kenneth R. van Wyk" <krvw@edu.cmu.sei.cert>, with thanks.
  92. > Some Virus-L messages say that the rest of the message can be got (say) "by
  93. > anonymous ftp from  the/quick/brown/fox/jumps.over.the.lazy.dog".  For  the
  94. > information  of those not very conversant with FTP, this can be done thus:-
  95. >
  96. > Type your computer's command "ftp cert.sei.cmu.edu". "cert.sei.cmu.edu"  is
  97. > a  USA email address. It should be "edu.cmu.sei.cert@uk.ac.nsfnet-relay" if
  98. > typed in UK (I think).
  99.  
  100. Nope!  There is no direct Internet FTP access for most people in the UK.
  101. We have our own file transfer protocol known as NIFTP (or just FTP to
  102. its friends) or 'Blue Book'.  It does not interwork with the Internet
  103. and you can't use odd mail addresses like that given above.
  104.  
  105. If you need to access Internet FTP from the UK the NSFnet-Relay provides
  106. a service of sorts but I don't know if it's public (yet?).  Mail
  107. Postmaster@uk.ac.NSFnet-Relay (...@NSFnet-Relay.ac.uk for folks outside
  108. the UK and some folks inside) for details.
  109.  
  110. Most anti-viral s/w is available in the UK - see the monthly sites
  111. postings.
  112.  
  113. Sam Wilson
  114. Network Planning, Edinburgh University Computing Service
  115.  
  116. ------------------------------
  117.  
  118. Date:    20 Mar 90 14:02:12 +0000
  119. From:    werner@cs.utexas.edu (Werner Uhrig)
  120. Subject: probably not maliciouos [was Re: possible new trojan on Genie (Mac)]
  121.  
  122. I wrote:
  123.  
  124. > a rumour has reached me that a program called "Totally Safe Sex"
  125. > on Genie may be a new trojan.
  126.  
  127.           first disassembly and review makes it look like a harmless
  128.           prank, but I'd still recommend that you do not run the program
  129.           at this time unless you are absolutely certain you know how
  130.           to prevent any potential dangers to your files ...
  131.  
  132.           apologies if you feel that this was an unnecessary alarm,
  133.           but it seemed the lesser evil to pass on a false warning to
  134.           waiting for 5 days to confirm it.
  135.  
  136.                               Cheers (or grumble?!?),                 ---Werner
  137.  
  138. ------------------------------
  139.  
  140. Date:    Tue, 20 Mar 90 22:51:07 +0000
  141. From:    gm@cunixb.cc.columbia.edu (Gary Mathews)
  142. Subject: Re: Stoned disinfection information (PC)
  143.  
  144. DEVMTG12@SAKFU00.BITNET (MUSTAFA T. ALGHAZAL) writes:
  145. >To all virus experts,
  146. >     One of our systems here at SAKFU00 was infected by the STONED virus.
  147. >     I remember that I read a note about how to remove this virus from a
  148. >     hard disk ,but the writer was refering to some issues of COMPUTER
  149. >     & SECURITY which we were not able to get.
  150. >     If any of you knows step by step instructions to remove that virus,He
  151. >     (or she) will be thankfull to send it to me directly or to the list.
  152. >
  153. >         Mustafa ALGhazal ( DEVMTG12@SAKFU00.BITNET)
  154. >         Academic Services Manager
  155. >         King Faisal Univ.
  156. >         Saudi Arabia
  157.  
  158. You could remove the stoned virus with McAfee's clean program or more
  159. simply, by booting off a clean dos disk and use the sys command to
  160. transfer a new copy of the MS-DOS system onto the hard disk.
  161.  
  162.           1) boot system on a clean disk
  163.           2) sys c:
  164.           3) "Stoned" virus is gone !
  165.  
  166. That's all.
  167.  
  168. -
  169.  ------------------------------------------------------------------------------
  170. \c-
  171. Gary Jason Mathews      | gm@cunixd.cc.columbia.edu
  172. Columbia University     | Death is life's way of telling you you've been fired.
  173. - ------------------------+ CPU time flies when you have a lot of bugs
  174.  
  175. ------------------------------
  176.  
  177. Date:    21 Mar 90 02:58:02 +0000
  178. From:    milano!werner@cs.utexas.edu (Werner Uhrig)
  179. Subject: another trojan called "Virus Info" (Mac)
  180.  
  181.           shortly after the first 2 trojans showed up on "that Canadian BBS"
  182.           a third (but technically different) one showed up - and I do not
  183.           believe anyone reported it publically yet (and I had hopes to
  184.           snarf the "evil ones" with it. alas ....)
  185.  
  186.           This trojan claims to also be from the "DeathTrack" group as were
  187.           the first two.
  188.  
  189.           it will *IMMEDIATELY* destroy your disk(s) - and I assume if anyone
  190.           had run into it, we would have heard about it by now ...:-()
  191.  
  192.           well, if anyone sees it show up ANYWHERE (or any other program which
  193.           you suspect after running it and finding your hard disk unusable
  194.           immediately afterwards, for that matter) please let me know.
  195.           (you do keep copies of all new software you download on more
  196.            than one place, don't you?!!  else, if you execute it and it
  197.            destroys the disk it was on .... right.  you can't send me a
  198.            copy for analysis!)
  199.  
  200.                     Cheers (what for?! right!),             ---Werner
  201.  
  202. - --------------------------> please send REPLIES to <------------------------
  203. INTERNET:                     werner@cs.utexas.edu
  204.                or: werner@rascal.ics.utexas.edu     (Internet # 128.83.144.1)
  205. UUCP:     ...<well-connected-site>!cs.utexas.edu!werner
  206.  
  207. ------------------------------
  208.  
  209. Date:    21 Mar 90 04:42:17 +0000
  210. From:    consp11@bingvaxu.cc.binghamton.edu (Brett L. Kessler)
  211. Subject: VirusX Trojan (Amiga)
  212.  
  213. A friend of mine here at SUNY-Binghamton just informed me of a message
  214. that was posted to CompuServe recently.  I've no idea as to how valid
  215. it is, but it's better to be safe than sorry, even VIA 3rd-hand news.
  216.  
  217. It seems that somebody has released something called "VirusX 4.4" into
  218. the public domain.  THIS IS A BOGUS PROGRAM, and may be a trojan.
  219. According to Steve Tibbett (sp?), the author of VirusX, the most
  220. recent version of the disinfectant is 4.0.
  221.  
  222. Just thought you might like to know.
  223.  
  224. +------///-+------------------| BRETT KESSLER |------------------+-\\\------+
  225. |     ///  |         consp11@bingvaxu.cc.binghamton.edu          |  \\\     |
  226. | \\\///   |              consp11@bingvaxa.BITNET                |   \\\/// |
  227. |  \XX/    |              (PeopleLink)  B.KESSLER                |    \XX/  |
  228. +----------+-----------------------------------------------------+----------+
  229.  
  230. ------------------------------
  231.  
  232. Date:    21 Mar 90 07:17:17 +0000
  233. From:    consp11@bingvaxu.cc.binghamton.edu (Brett L. Kessler)
  234. Subject: VirusX Trojan (Amiga) More Info!
  235.  
  236. With regards to my earlier posting about the bogus version of VirusX
  237. (version 4.4), here is the original text.  It originally appeared in
  238. comp.sys.amiga and comp.sys.amiga.tech.  I thought that my posting was
  239. a little sketchy, so here's a (slightly) better one.
  240.  
  241. - -----8X-----8X-----8X-----8X-----8X-----8X-----8X-----8X-----8X-----8X-----
  242. There is a file going around now that supposedly has a new version of
  243. VIRUSX.   The archive says the file has version VIRUSX 4.4 and that it was
  244. released on March 10th.
  245.  
  246. I've done some analysis on the files in the archive, and the archive
  247. appears to have the same executables as VirusX 4.0.  The doc files and
  248. the C code in the archive talk about two viruses that are supposedly
  249. "harmless".  It appears the messages were put there to lull people into
  250. a false sense of security.
  251.  
  252. I've contacted Steve Tibbett he has confirmed that this archive was NOT
  253. released by him.  He's working on a new version of VIRUSX, but this is
  254. NOT IT.
  255.  
  256. WATCH OUT FOR THIS BAD ARCHIVE, AND LET PEOPLE KNOW ABOUT IT!
  257.  
  258. Official VIRUSX releases are posted to ALL the national networks by Steve
  259. Tibbett, or by an official agent.
  260. - ------------------
  261. SR Pietrowicz    UUCP:  ...!uunet!modcomp!srp        CIS:  73047,2313
  262.                               73047.2313@compuserve.com
  263. - -----8X-----8X-----8X-----8X-----8X-----8X-----8X-----8X-----8X-----8X-----
  264.  
  265. No more "hard info," but at least it's a confirmation that the darned
  266. thing exists, and that it is probably trouble.
  267.  
  268. +------///-+------------------| BRETT KESSLER |------------------+-\\\------+
  269. |     ///  |         consp11@bingvaxu.cc.binghamton.edu          |  \\\     |
  270. | \\\///   |              consp11@bingvaxa.BITNET                |   \\\/// |
  271. |  \XX/    |              (PeopleLink)  B.KESSLER                |    \XX/  |
  272. +----------+-----------------------------------------------------+----------+
  273.  
  274. ------------------------------
  275.  
  276. Date:    Tue, 20 Mar 90 14:22:00 -0600
  277. From:    POST@ADMIN.ripon.edu
  278. Subject: Vaxservers and Mac viruses
  279.  
  280. Hi all!
  281.  
  282. I think I already know the answer to this one, but could anyone
  283. comment on Mac viruses infecting VAXen file servers.  It would seem to
  284. me that this is impossible, but we'd like a more practical view.
  285. Thanks.
  286.  
  287. Mike Post
  288. Ripon College
  289. POST@ADMIN.RIPON.EDU
  290.  
  291. ------------------------------
  292.  
  293. End of VIRUS-L Digest
  294. *********************
  295. Downloaded From P-80 International Information Systems 304-744-2253
  296.