home *** CD-ROM | disk | FTP | other *** search

---

/ Frozen Fish 1: Amiga / FrozenFish-Apr94.iso / bbs / alib / d3xx / d326 / vsnap.lha / VSnap / message

< prev

next >

Wrap

Text File  |  1990-03-05  |  13KB  |  280 lines

---

1. Date: Sat, 16 Dec 89 02:14:52 PST
2. From: eickmeye@girtab.usc.edu (Evan "Biff Henderson" Eickmeyer)
3. Subject: The Trojan horse named "AIDS"
4.  
5. The following article is from the Los Angeles Times, 15 December 1989, p.D3.
6.  
7. AIDS Data Disk Has PC-Damaging Virus, by Michael Specter, The Washington Post
8.  
9.      A mysterious computer diskette about AIDS that was mailed to major
10. corporations, insurance companies and health professionals across the world
11. contains a hidden program that has destroyed information in thousands of
12. personal and corporate computers, police in London said Thursday.
13.  
14.      Officials of Scotland Yard said at least 10,000 copies of an unusual "AIDS
15. Information Diskette," which promised to help users deduce their risk of
16. becoming infected with the AIDS virus, were sent to people in England,
17. Scandinavia, Africa and the United States.
18.  
19.      Hospital systems from London to Stockholm reported damage Thursday and
20. AIDS researchers at major institutions in the United States, from the National
21. Institutes of Health to the University of California at San Francisco, issued
22. alerts to all their computer users.
23.  
24.      "Extremely urgent message for all National Institute of Allergy and
25. Infectious Disease PC Users," said a flyer sent Thursday to AIDS researchers at
26. NIH.  "A diskette from PC Cyborg Corp. contains a highly destructive virus.
27. All systems running these programs had ALL hard disk data DESTROYED."  Neither
28. that corporation nor Ketema Associates, its parent company, has any known
29. officers or location, according to people who tried Thursday to find them.
30.  
31.      In Sweden, the State Bacteriological Laboratory sent letters to clinics
32. and doctors warning them of the diskette.  Chase Manhattan Bank was one of the
33. first companies to report problems with the diskette, which also was sent to
34. the London Stock Exchange, British Telecommunications, Lloyds Bank, the Midland
35. Bank, other major banks and manufacturing companies.
36.  
37.      "We have never seen anything approaching the magnitude of this attack,"
38. sand John McAfee, chairman of the Computer Virus Industry Assn., though he
39. noted no damage had yet been reported in the United States.  "It took enormous
40. preparation, coordination and a huge amount of money."
41.  
42.      People familiar with computer "viruses" and other computer "diseases" were
43. baffled by the maliciousness of the crime, the amount of money and
44. sophistication it required and its lack of any immediately discernible motive.
45.  
46.      Computer programs written as pranks or tools of minor sabotage have become
47. ubiquitous over the past few years.  But this one was different, according to
48. experts across the country.
49.  
50.      The diskette came in a slick package mailed from offices on London's tony
51. New Bond Street.  The bright blue cover sheet said the package contained AIDS
52. information, and informed recipients that the information was easy to use and
53. would help them calculate the risks of exposure to the disease.
54.  
55. ------------------------------
56.  
57. Date:         Tue, 12 Dec 89 11:26:29 PST
58. Sender:       Virus Alert List <VALERT-L@LEHIIBM1>
59. From:         portal!cup.portal.com!Alan_J_Roberts@SUN.COM
60. Comments: To: VALERT-L@ibm1.cc.lehigh.edu
61. Subject:      Major Trojan Warning
62.  
63. This is an urgent forward from John McAfee:
64.  
65.      A distribution diskette from a corporation calling itself PC Cyborg has
66. been widely distributed to major corporations and PC user groups around the
67. world and the diskette contains a highly destructive trojan.  The Chase
68. Manhattan Bank and ICL Computers were the first to report problems with the
69. software.  All systems that ran the enclosed programs had all data on the hard
70. disks destroyed.  Hundreds of systems were affected.  Other reports have come
71. in from user groups, small businesses and individuals with similar problems.
72. The professionally prepared documentation that comes with the diskette purports
73. that the software provides a data base of AIDS information.  The flyer heading
74. reads - "AIDS Information - An Introductory Diskette".  The license agreement
75. on the back of the same flyer reads:
76.  
77. "In case of breach of license, PC Cyborg Corporation reserves the right to use
78. program mechanisms to ensure termination of the use of these programs.  These
79. program mechanisms will adversely affect other program applications on
80. microcomputers.  You are hereby advised of the most serious consequences of
81. your failure to abide by the terms of this license agreement."
82.  
83. Further in the license is the sentence: "Warning: Do not use these programs
84. unless you are prepared to pay for them".
85.  
86. If the software is installed using the included INSTALL program, the first
87. thing that the program does is print out an invoice for the software.  Then,
88. whenever the system is re-booted, or powered down and then re-booted from the
89. hard disk, the system self destructs.
90.  
91. Whoever has perpetrated this monstrosity has gone to a great deal of time, and
92. more expense, and they have clearly perpetrated the largest single targeting of
93. destructive code yet reported.  The mailings are professionally done, and the
94. style of the mailing labels indicate the lists were purchased from professional
95. mailing organizations.  The estimated costs for printing, diskette, label and
96. mailing is over $3.00 per package.  The volume of reports imply that many
97. thousands may have been mailed.  In addition, the British magazine "PC Business
98. World" has included a copy of the diskette with its most recent publication -
99. another expensive avenue of distribution.  The only indication of who the
100. perpetrator(s) may be is the address on the invoice to which they ask that
101. $378.00 be mailed:
102.  
103.           PC Cyborg Corporation
104.           P.O. Box 871744
105.           Panama 7, Panama
106.  
107. Needless to say, a check for a registered PC Cyborg Corporation in Panama
108. turned up negative.
109.  
110. An additional note of interest in the license section reads: "PC Cyborg
111. Corporation does not authorize you to distribute or use these programs in the
112. United States of America.  If you have any doubt about your willingness or
113. ability to meet the terms of this license agreement or if you are not prepared
114. to pay all amounts due to PC Cyborg Corporation, then do not use these
115. programs".
116.  
117. John McAfee
118.  
119. ------------------------------
120.  
121. Date:         Wed, 13 Dec 89 18:02:50 EST
122. Sender:       Virus Alert List <VALERT-L@LEHIIBM1>
123. Comments:     Resent-From: Kenneth R. van Wyk <krvw@SEI.CMU.EDU>
124. Comments:     Originally-From: Alan Jay <alanj@IBMPCUG.CO.UK>
125. From:         "Kenneth R. van Wyk" <krvw@SEI.CMU.EDU>
126. Subject:      Re: AIDS DISK UPDATE (I)
127.  
128.               AIDS INFORMATION DISK
129.               =====================
130.  
131. The latest on this is as follows:
132.  
133. If you have run this disk contact ROBERT WALCZY at PC Business World
134. on 01-831 9252 they have a FREE disk that combats the effects of the
135. disk and they will send a copy to users effected.
136.  
137. Either call Robert of FAX him on 01-405 2347 with your name and address.
138.  
139. The disk should be available in the next day or two.
140.  
141. The program will be available on CONNECT (01-863 6646) for download as
142. soon as it has been tested.
143.  
144. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
145.  
146. The AIDS disk when installed creates a number of hidden files and directories.
147. You can remove these files by running the program mentioned above or by using
148. the Norton Utilities, PC Tools or equivalent program.
149.  
150. The files that are hidden include a new AUTOEXEC.BAT and a number of other
151. files and directories that contain characters that can not be accessed by
152. standard DOS commands.  You will need to rename the files/directories before
153. they can be deleted.
154.  
155. This information will be updated as we learn more about the disk.
156.  
157. Alan Jay -- The IBM PC User Group -- 01-863 1191.
158.  
159. *** APPENDED 12/14/89 09:17:07 BY PU/MELINDA ***
160.  
161. Append on 12/14/89 at 09:17 by Lew Shepherdson, Simware:
162.  
163. I was at a seminar a couple of weeks ago and we had a session on viruses.
164. Some interesting predictions...
165.  
166. 1. Benign (non-destructive) viruses will die out...just a passing fad
167.  
168. 2. Expect big increase in 'political' viruses...groups spreading vir
169.    which promote a political/environmental/human rig
170.    and are counting on intense coverage by eager media
171.  
172. 3. Expect an increase in 'extortion' viruses aimed at particular vendors...
173.    'If we don't get _______, we will release a virus that only attacks
174.    your product, etc...'
175.  
176. 4. There's a real danger that political
177.    hysteria by passing some stupid laws.
178.  
179. 5. Expect diskless workstations to be a high-growth mark
180.  
181. Lew Shepherdson
182. Simware Inc.
183.  
184. *** APPENDED 12/14/89 09:17:25 BY SIW/LEW ***
185.  
186. Append on 12/14/89 at 09:59 by Melinda Varian <BITNET: MAINT@PUCC>:
187.  
188. Received: by PUCC (Mailer R2.06X) id 9330; Thu, 14 Dec 89 07:45:07 EST
189. Date:         Thu, 14 Dec 89 07:42:06 EST
190. Sender:       Virus Alert List <VALERT-L@LEHIIBM1>
191. Comments:     Resent-From: Kenneth R. van Wyk <krvw@SEI.CMU.EDU>
192. Comments:     Originally-From: Alan Jay <alanj@IBMPCUG.CO.UK>
193. From:         "Kenneth R. van Wyk" <krvw@SEI.CMU.EDU>
194. Subject:      Re: AIDS -- UPDATE II -- What can you do.
195.  
196.                    AIDS INFORMATION DISK
197.                    =====================
198.  
199. Update 2  13-Dec-1989 6pm
200.  
201. IF you have not run this disk DO NOT INSTALL it appears to be a very
202. cleverly written TROJAN program that can be activated by a number of
203. methods.  Currently the activation method that has been detected uses
204. a counter of the number of system reboots.  When the counter gets to
205. 90 the system goes into a second phase and encrypts files and
206. directories on your hard disk.
207.  
208. The program appears to have a number of embelisments that makes one
209. think that the front door we have been shown MAY not be the only
210. method that the system uses for deciding when to activate.  This
211. is a very nasty program and the only 100% safe thing to do is to
212. backup all DATA files and perform a full reformat of your hard disk.
213.  
214. Followed by a reinstallation of all DATA, from your backup, and
215. programs from original system disks (or backup prior to installing
216. this software).
217.  
218. This should only be attempeted once at least TWO copies of all
219. valuable data have been extracted from the system.  Please remember to
220. boot your system off an original DOS disk before starting this
221. procedure.
222.  
223. Full details of the suggested procedure will be posted tomorrow.
224.  
225. Alan Jay
226.  
227. Readers who do not wish to follow this route may be interested to
228. in the folowing information about the primary activation system.
229.  
230. 1)  A hidden 'ACTOEXEC.BAT' file contains
231.  
232. CD \<ALT255>
233. REM<ALT255>
234.  
235.     it then runs your AUTOEXEC.BAT which the program renamed AUTO.BAT
236.  
237. 2) A hidden subdirectory <ALT255> contains a file REM<ALT255>.EXE
238.  
239. Each time the system is booted the program is run and the counter
240. incremented/decremented.  After 90 activations the system enters phase
241. TWO.
242.  
243. Please note that the system uses the <ALT255> character 'hi space' in the
244. file names to stop standard DOS procedures acting on these files.
245.  
246. IT MAY be possible to delete these entries and thereby disable the
247. program this is NOT certain and it will take several months to discover
248. if this is a safe course of events to take.
249.  
250. I hope that this information helps.  I also understand that this is in the
251. hands of the Fraud Squad / Computer Crime Division of the Metropolitan
252. Police.  If you have any further information I am sure that they would
253. be interested to here from you.
254.  
255. Alan Jay -- IBM PC User Group -  01-863 1191
256.  
257. *** APPENDED 12/14/89 09:59:16 BY PU/MELINDA ***
258.  
259. Append on 12/14/89 at 14:02 by Rich Greenberg, Locus Computer Corp., L.A.:
260.  
261. The AIDS virus was mentioned on the local radio news broadcast as having hit
262. The RAND Corp in Santa Monica, Ca.
263.                                           Rich
264.  
265. *** APPENDED 12/14/89 14:02:45 BY LCT/RICH.G ***
266.  
267. Append on 12/15/89 at 00:50 by John Lynn - Mobil Technical Center:
268.  
269. Sick sick sick! AIDS kills on a daily basis, so I guess that makes a 'clever'
270. topic to exploit. And $300+ dollars, plus a 256K minimum memory requirement?!
271. For an AIDS questionnaire? Very imaginative...
272.  
273. Guess they got tired of pulling wings off of flies...
274.  
275. -- John (Sorry, but enough is enough, wouldn't you say?) Lynn
276.  
277. ------------------------------
278.  
279.