home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_005.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  15.5 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #5
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Monday,  7 Jan 1991    Volume 4 : Issue 5
  9.  
  10. Today's Topics:
  11.  
  12. Re: University Policy
  13. Re: Virus Vaccine (PC)
  14. re: Virus Vaccine (PC)
  15. Re: Virus Protection (PC)
  16. nVIR-like resources... (Mac)
  17. Strange Problem Running Disinfectant 2.4! (Mac)
  18. Apple //gs "Die!" Virus
  19. Re: Apple //gs Virus (Followup - READ ME FIRST)
  20. Grapes virus? (Mac)
  21. PVALIDAT.ZIP - Portable VALIDATE using McAfee algorithms (PC)
  22. QEMM Virus? (PC)
  23.  
  24. VIRUS-L is a moderated, digested mail forum for discussing computer
  25. virus issues; comp.virus is a non-digested Usenet counterpart.
  26. Discussions are not limited to any one hardware/software platform -
  27. diversity is welcomed.  Contributions should be relevant, concise,
  28. polite, etc.  Please sign submissions with your real name.  Send
  29. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  30. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  31. anti-virus, documentation, and back-issue archives is distributed
  32. periodically on the list.  Administrative mail (comments, suggestions,
  33. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  34.  
  35.    Ken van Wyk
  36.  
  37. ---------------------------------------------------------------------------
  38.  
  39. Date:    03 Jan 91 19:14:55 +0000
  40. From:    goodwin@casbah.acns.nwu.edu (David C Goodwin)
  41. Subject: Re: University Policy
  42.  
  43. For a while last year we were hit with a lot of IBM viruses, all at
  44. once.  We have Novell networks, that use individual boot disks, and
  45. that's how it spread from floppy to floppy.  Every time a user asked
  46. for a boot disk, we grabbed any floppies they had and SCAN'ed them.
  47. The average user didn't carry more than two or three floppies at a
  48. time.
  49.  
  50. Good luck.
  51.  
  52. ------------------------------
  53.  
  54. Date:    Thu, 03 Jan 91 18:05:11
  55. From:    microsoft!c-rossgr@uunet.UU.NET
  56. Subject: Re: Virus Vaccine (PC)
  57.  
  58. >From:    Evelyn Duncan <R3EJD@AKRONVM.BITNET>
  59. >
  60. >A friend of mine has an IBM-compatible computer and wants to dial into
  61. >the VM system here, but he needs a program that will prevent viruses
  62. >from infecting his system at home.  He would like a program such as
  63. >Virex.  He called Virex's 1-800 number, but it was disconnected.
  64. >
  65. >If you know of any program, please contact me.
  66.  
  67. You might want to try calling the Virex people at 919-490-1277. I know
  68. there's a 1-800 number, but for me it's just a FastDial code on my
  69. phone.  Try calling up 1-800 information and ask for either Microcom
  70. in Durham, N.C., or for HJC Software (former name until Microcom
  71. bought them out).
  72.  
  73. I can probably answer any questions you might have regarding Virex-PC.
  74.  
  75. Ross M. Greenberg
  76.  Author, Virex-PC & FLU_SHOT+
  77.  
  78. Views expressed herein are not representative of Microsoft.
  79.  
  80. ------------------------------
  81.  
  82. Date:    Thu, 03 Jan 91 22:05:34 -0400
  83. From:    pham@px3.stfx.ca (Hai Pham)
  84. Subject: re: Virus Vaccine (PC)
  85.  
  86. In reply to Evelyn Duncan's question for a PC Virex equivalent.
  87.  
  88. I could be very wrong (if there's away to do it, someone will find
  89. away to), but as far as I know, your friend should not need a virus
  90. shield to protect himself from infection if all he's going to do is
  91. dial in and use your VM system interactively.  This is because for a
  92. virus to enter a computer through a modem, it must enter via an
  93. infected program which was downloaded into his computer.  If he does
  94. download programs into his system, then all he would have to do is to
  95. check it over with a virus scan program, such as McAfee's "scan".
  96. This is because before a virus can infect the system, the infected
  97. program would have to be ran first, so if you scan for virus infection
  98. before you run the program, you will catch them before they can do any
  99. harm.
  100.  
  101. There is no way in which your friend could be infected by something
  102. like the Internet Worm, if he is only using a terminal emulator.  The
  103. reason the Internet Worm was able to infect all those Internet sites
  104. was because the computers involved all ran a common operating system
  105. (UNIX), and it took advantage of a bug in the UNIX mail program to get
  106. into the remote system.
  107.  
  108. If I am wrong on any of the above points, I would appreciate immediate
  109. feed back (so I can take steps to protect my computer).
  110.  
  111. *******************************************
  112. Hai Pham
  113. TPI, Physics Dept.
  114. Box 383, Saint Francis Xavier University
  115. Antigonish, Nova Scotia, Canada, B2G 1C0.
  116. Email: pham@phoenix.stfx.ca (Internet)
  117. *******************************************
  118.  
  119. ------------------------------
  120.  
  121. Date:    04 Jan 91 14:53:35 +0000
  122. From:    frisk@rhi.hi.is (Fridrik Skulason)
  123. Subject: Re: Virus Protection (PC)
  124.  
  125. sulistio@sutro.SFSU.EDU (Sulistio Muljadi) writes:
  126. >Michael_Kessler.Hum@mailgate.sfsu.edu wrote in VIRUS-L volume 205:
  127.  
  128. >> The one negative comment about F-Prot is that the updates appear to be less
  129. >> frequent than one might wish.
  130.  
  131. Well, yes, I admit I send out updates less frequently than would be desirable,
  132. but I expect to send out a new version every 4 weeks or so in the future.  The
  133. next version (1.14) should be ready any day now - I am busy adding routines to
  134. detect and remove all the viruses I received at the conference in Hamburg.
  135.  
  136. >  One other negative comment about F-Prot is:
  137. >
  138. >F-driver.sys does not check drive A for any possible boot sector virus
  139. >when we warm boot the machine.  The V-Shield does check drive A for
  140. >any possible boot sector virus and will denied the warm boot if there
  141. >is any boot sector virus in the floppy drive A.  Hopefully frisk will
  142. >implement this for his next version of F-PROT.  It is a great program.
  143.  
  144. Sounds like a good idea - I am not sure I will have time to add it in
  145. version 1.14, but if not then it will certainly appear in the next
  146. version after that.
  147.  
  148. - -frisk
  149.  
  150. ------------------------------
  151.  
  152. Date:    Fri, 04 Jan 91 16:03:12 -0500
  153. From:    Alan Pierce <APP@CORNELLA.BITNET>
  154. Subject: nVIR-like resources... (Mac)
  155.  
  156. I'm somewhat new to the world of Macs, so I hope someone can shed some
  157. light for me.  A user recently reported a virus on their Mac SE.
  158. Using SAM 2.0, I scanned the volumn and received the following
  159. messages:
  160.  
  161.     Examined file 'System' in folder 'System Folder'.
  162.     Warning!  This file contains nVIR-like resources(nVIR).
  163.     It was last modified on 9/17/90 at 3:57 PM.
  164.  
  165. The most interesting thing is we never purchased the machine until
  166. November and I installed the system software that came with it.
  167. Thinking I may have an infected system disk, I scanned all 4 (v6.0.5)
  168. disks and came up empty.  Next, I re-installed the system and scanned
  169. the volume again--same messages.  I hope someone here can help me.
  170. Either post to this list(as I am an avid reader, or respond directly.
  171. Thank you.
  172.  
  173. Alan Pierce
  174. Technical Consultant    <-- Huh?
  175. Division of Nutritional Sciences
  176. Cornell University
  177. Ithaca, NY
  178.  
  179. APP@CORNELLA -- Bitnet
  180. APP@CORNELLA.CIT.CORNELL.EDU -- Internet
  181.  
  182. ------------------------------
  183.  
  184. Date:    Fri, 04 Jan 91 16:04:00 -0400
  185. From:    Michael Greve <GREVE@WILMA.WHARTON.UPENN.EDU>
  186. Subject: Strange Problem Running Disinfectant 2.4! (Mac)
  187.  
  188.      I'm having problems running Disinfectant 2.4.  We have one Mac
  189.    lab consisting of 16 SE/30's with 40 mg hard drives that are
  190.    partitioned into two hard disks.  During my normal maintenance of
  191.    the lab I do a routine virus check using Disinfectant 2.4.  The
  192.    program works great on 15 of the machines.  When I run it on the
  193.    last machine, the program calls up fine, but in the upper right
  194.    hand corner where it should normally tell you which drive/partition
  195.    you are currently scaning, the program comes up with a blinking message
  196.    saying insert a disk to be checked.  This lab is networked using
  197.    Appleshare and I do the virus check from the network.  On the other
  198.    15 machines the name of the server comes up, I then switch to the
  199.    2 partitions and scan them.  On this last machine, the name of the
  200.    server shows up for a quick second then it changes to the flashing
  201.    message.  I've tried running it from diskette and the hard drives and
  202.    still get the same message.  I can't get it to work at all.
  203.  
  204.      Could this be some kind of virus??  I've never seen this before and
  205.    have no clue as to what could be causing this.  I have had no problem
  206.    with this particular machine, everything else runs fine on it.  Does
  207.    anybody have ideas about what may be causing this.  I've run out of
  208.    ideas.  Thanks for any assistance.
  209.  
  210.                     Michael Greve
  211.                     University of Pa.
  212.                     The Wharton School
  213.                     greve@wharton.upenn.edu
  214.  
  215. ------------------------------
  216.  
  217. Date:    Sun, 06 Jan 91 17:17:05 -0500
  218. From:    davidbrierley@lynx.northeastern.edu
  219. Subject: Apple //gs "Die!" Virus
  220.  
  221.      This appeared on Info-Apple:
  222.  
  223. - --------------------------------------------------------------
  224.  
  225. Date: 6 Jan 91 21:06:19 GMT
  226. From: pasteur!euler.Berkeley.EDU!benji@ucbvax.Berkeley.EDU  (Benji Rudiak-Gould
  227. )
  228. Organization: University of California, Berkeley
  229. Subject: Computer virus!
  230. Message-Id: <10039@pasteur.Berkeley.EDU>
  231. References: <1991Jan5.014646.26135@ux1.cso.uiuc.edu>,
  232.  <1991Jan6.201242.10199@watdragon.waterloo.edu>
  233. Sender: info-apple-request@apple.com
  234. To: info-apple@apple.com
  235.  
  236.  
  237. I am posting this for a friend with a IIGS who recently fell victim to a
  238. virus attack.  The symptoms (I think they were in this order):
  239.  
  240. 1)  A pop-up window appeared in the Finder with the message, "Die!"
  241.  
  242. 2)  When he tried to open his text viewer DA, it froze and the words "Ha!
  243.     Ha! Ha!" appeared all over it.
  244.  
  245. 3)  Now, just about everything is bombing.
  246.  
  247.  
  248. He has done a complete reformat of his hard drive and restored from
  249. backups, but the virus was still there.  He has Lode Runner, and
  250. downloaded the L. R.  virus killer (while he still could), but hasn't
  251. tried it yet.
  252.  
  253. These symptoms may be slightly skewed, since they were told to me quickly
  254. by phone.  Can someone identify this virus?  Thank you thank you thank you
  255. for your help.
  256.  
  257. - --                       \\  I think, therefore I am.     |___|___| Disclaimer:
  258. Benji Rudiak-Gould       //  I am, therefore I think.     |_|___|_|  Take with
  259. benji@euler.berkeley.edu \\  Therefore, I think I am.     |___|___|  a grain
  260. ///////////////////////////  Therefore I am -- I think... |_|___|_|  of :-)
  261.  
  262. ------------------------------
  263.  
  264. Date:    Sun, 06 Jan 91 19:15:44 -0500
  265. From:    davidbrierley@lynx.northeastern.edu
  266. Subject: Re: Apple //gs Virus (Followup - READ ME FIRST)
  267.  
  268.      This correction to a virus warning posted to Info-Apple:
  269.  
  270. - -------------------------------------------------------------
  271. Date:  6 Jan 91 17:05 -0600
  272. From: "H. Grant Delaney" <delaneyg@wnre.aecl.ca>
  273. To: info-apple@apple.com, benjl@euler.berkeley.edu
  274. Message-Id: <53*delaneyg@wnre.aecl.ca>
  275. Subject: RE Virus Not a virus ( Writeit NDA )
  276.  
  277. What was discribed was a window appearinf with DIE in it.  Well this sounds
  278. exactly how Write It ! NDA crashes.  This is usually due to insufficient
  279. memory and is part of the NDA.  It is not the first tome this has confused
  280. people.  This may have been removed from the latest version.
  281.  
  282. ------------------------------
  283.  
  284. Date:    Mon, 07 Jan 91 16:47:01 +0000
  285. From:    NDG503@csc1.anu.edu.au (Nick Guoth)
  286. Subject: Grapes virus? (Mac)
  287.  
  288. Hi,
  289.  
  290. or should I say what is going on?
  291.  
  292. We are using MacFortran on some of our Macintoshs here and just over
  293. the last few days, we seem to have contracted a strange virus or
  294. something. Now I'm never confident about viruses affecting us here in
  295. Australia as the protection software generally arrives before the
  296. virus. What is happening is that the icons for the Fortran executable
  297. files have turned into bunches of grapes.
  298.  
  299. Now it doesn't seem to harm the programs but it soon will become a
  300. nuisance. We have SAM with all the latest virus definitions installed
  301. on each of the Macs.
  302.  
  303. Can anyone tell me whether this is a virus or not, and if not what is 
  304. causing the problem.
  305.  
  306. Ta,
  307.  
  308. nick
  309. ndg503@csc.anu.edu.au
  310. "Happiness is a piece of fudge caught on the first bounce" - Snoopy
  311.  
  312. ------------------------------
  313.  
  314. Date:    Sat, 05 Jan 91 17:27:42 -0400
  315. From:    bnrgate!bcars53.bnr.ca!mussar@UUNET.UU.NET (G. Mussar)
  316. Subject: PVALIDAT.ZIP - Portable VALIDATE using McAfee algorithms (PC)
  317.  
  318. I have uploaded to SIMTEL20:
  319.  
  320. pd1:<msdos.trojan-pro>
  321. PVALIDAT.ZIP    Portable VALIDATE using McAfee algorithms
  322.  
  323. Portable VALIDATE is a file authentication program which can be used
  324. to check software for signs of tampering.  The program calculates two
  325. check codes over the data in a file by using two different CRC
  326. algorithms.  Portable VALIDATE uses the same CRC algorithms as McAfee
  327. Associates VALIDATE. The McAfee VALIDATE module only runs on IBM (and
  328. compatible) machines. Portable VALIDATE is written in C language and
  329. can be compiled and run on many non-IBM platforms.
  330.  
  331. - -------------------------------------------------------------------------------
  332. Gary Mussar  |Bitnet:  mussar@bnr.ca                  |  Phone: (613) 763-4937
  333. BNR Ltd.     |  UUCP:  ..uunet!bnrgate!bcars53!mussar |  FAX:   (613) 763-2626
  334.  
  335. ------------------------------
  336.  
  337. Date:    Mon, 07 Jan 91 08:13:28 -0700
  338. From:    rtravsky@CORRAL.UWyo.Edu (Richard W Travsky)
  339. Subject: QEMM Virus? (PC)
  340.  
  341. This appeared in a recent Info-Ibmpc digest.  Figured I'd pass it on.
  342. I have not seen any mention of this in recent virus-l postings so
  343. hopefully I'm not passing on old news.  Then again, I hope I'm not
  344. also spreading panic!
  345.  
  346.  
  347. Date: Tue, 1 Jan 91 10:58:09 -0500
  348. From: David Kirschbaum <kirsch@usasoc.soc.mil>
  349. Subject: Reported QEMM virus
  350.  
  351. Received from the Fido Dr. Debug Echo, 1 Jan 91.
  352. David Kirschbaum
  353. Toad Hall
  354.  
  355. FROM:    Richard Crain                 Area # 23 (    Dr. Debug     )
  356. TO:      ALL
  357. SUBJECT: Virus
  358.  
  359. I have found what appears to be a virus on the factory supplied disk
  360. from Quarterdeck on the QEMM386 V5.1 diskette in the Optimize.com amd
  361. install.exe programs. These 2 programs contain a HEX signature of
  362. EAF0FF00F0 which indicates the possible presence of the 648 virus.
  363. This virus is supposed to infect overlay programs, which I have had
  364. MAJOR problems with lately. In the last 18 hours, every program that I
  365. have used that uses overlays has had its CRC change, or worse yet,
  366. totaly crash on invocation locking the system.
  367.  
  368. Further, it has been only the EXE files that have changed. Also, in
  369. doing a byte by byte compare of a corrupted file with a good version
  370. on backup (tape) I find an absolute pattern of corruption in the
  371. files.  These changes are the substitution of a HEX 00 00 at loctaions
  372. 68B8, 68BC, 78B8, 78BC, 88B8, 88BC, Etc.....
  373.  
  374.   This problem started yesterday (again) after running the Optimize
  375. program that comes with Qemm386 V5.1 . This problem occured before
  376. causing me to panic and wipe out my hard disk, secure erase, reformat,
  377. and reload without doing serious research as to the cause, I ASSUMED
  378. that a new program that I had just added was the cause.
  379.  
  380.  This time, I have found what I believe to be the true cause with some
  381. advise from Chris Anderson.
  382.  
  383.  Further, Quarterdeck has been notified and the original disk is being
  384. returned to them for replacement and analysis. Also, the disk was never
  385. written onto by me at any time, the diskette was copied and the copy
  386. underwent the registeration process.
  387.  
  388. The HEX string to look for is EAF0FF00F0
  389.  
  390. - --- msged 1.99S ZTC
  391.  * Origin: DinoPoint 2  (1:104/114.2)
  392.  
  393. ------------------------------
  394.  
  395. End of VIRUS-L Digest [Volume 4 Issue 5]
  396. ****************************************
  397.