home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_006.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  13.2 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #6
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Tuesday,  8 Jan 1991    Volume 4 : Issue 6
  9.  
  10. Today's Topics:
  11.  
  12. possible macintosh virus
  13. Reported QEMM "virus" (PC)
  14. MacVirusIndex (Mac)
  15. Addition to monthly postings?
  16. WordPerfect "virus"--summary of responses
  17. Re: UK Computer Crime Unit
  18. Strange Problem Running Disinfectant 2.4! (Mac)
  19. Prevent hard disk infection? (PC)
  20. Auto-scanning Virus Vaccine? (PC)
  21. Fish Virus Activation (PC)
  22. Grapes (Mac)
  23. Re: Grapes virus? (Mac)
  24.  
  25. VIRUS-L is a moderated, digested mail forum for discussing computer
  26. virus issues; comp.virus is a non-digested Usenet counterpart.
  27. Discussions are not limited to any one hardware/software platform -
  28. diversity is welcomed.  Contributions should be relevant, concise,
  29. polite, etc.  Please sign submissions with your real name.  Send
  30. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  31. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  32. anti-virus, documentation, and back-issue archives is distributed
  33. periodically on the list.  Administrative mail (comments, suggestions,
  34. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  35.  
  36.    Ken van Wyk
  37.  
  38. ---------------------------------------------------------------------------
  39.  
  40. Date:    07 Jan 91 20:43:44 +0000
  41. From:    <mwu@teri.bio.uci.edu>
  42. Subject: possible macintosh virus
  43.  
  44. Does anyone know of a Macintosh virus that will make all floppy disks
  45. appear to be locked to the computer? At first, we thought the problem
  46. was with the disk drive, but when it started surfacing on other
  47. computers, we've become a little suspicious. Any help would be
  48. appreciated.
  49.  
  50. Matt Wu
  51. mwu@teri.bio.uci.edu
  52.  
  53. ------------------------------
  54.  
  55. Date:    07 Jan 91 16:01:10 -0500
  56. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  57. Subject: Reported QEMM "virus" (PC)
  58.  
  59. That person has some serious misinformation, I'm afraid; the 648
  60. virus, while it does contain those 5 bytes, doesn't infect EXE files
  61. or overlays (unless they have the extension "COM"), and doesn't write
  62. zeros into files as he describes.  The five bytes he gives as the
  63. "sign of the virus" are just five bytes that cause the machine to
  64. reboot.  The 648 sometimes inserts this into programs, but there are
  65. many legitimate programs out there that contain those five bytes for
  66. good non-viral reasons (they want to reboot the machine, for
  67. instance).
  68.  
  69. My guess would be (can't be anything like sure at this distance, of
  70. course) that he's just got something mundane, like a conflict between
  71. QEMM and his disk driver software...
  72.  
  73. DC
  74.  
  75. ------------------------------
  76.  
  77. Date:    Mon, 07 Jan 91 14:27:04 -1000
  78. From:    jwright@uwila.cfht.hawaii.edu (Jim Wright)
  79. Subject: MacVirusIndex (Mac)
  80.  
  81. Andreas "Pandy" Holmberg (pandy@spiff.hut.fi) has pointed out to me
  82. that there is a MacVirusIndex available from nic.funet.fi in the
  83. directory /pub/mac/doc.  Does anyone know if this is available from an
  84. archive site in the U.S.?  (Please don't everyone grab this file from
  85. Finland.  Wait until it shows up a bit closer to you.)  I haven't seen
  86. this, so I don't know how it compares to the Virus Encyclopedia Stack.
  87.  
  88. Jim
  89.  
  90. ------------------------------
  91.  
  92. Date:    Mon, 07 Jan 91 14:32:30 -1000
  93. From:    jwright@uwila.cfht.hawaii.edu (Jim Wright)
  94. Subject: Addition to monthly postings?
  95.  
  96. It has been suggested that I add a section to the monthly postings of
  97. archive sites that would explain what to do with ZIP, ZOO, ARC, HQX,
  98. SIT, etc. files.  Would you find this information useful?  Would you
  99. like to see it added to the monthly postings?  I'm trying to see if
  100. many people are interested in this.
  101.  
  102. Jim
  103.  
  104. ------------------------------
  105.  
  106. Date:    Tue, 08 Jan 91 07:11:27 +0000
  107. From:    jkelly@violet.berkeley.edu (John Kelly)
  108. Subject: WordPerfect "virus"--summary of responses
  109.  
  110. Report on WordPerfect "Virus" 
  111.  
  112. Over the last month or two over a dozen people (thank you all)
  113. have posted articles responding to queries about a possible
  114. "WordPerfect virus" which was to blame for certain problems
  115. with WordPerfect-- specifically: 
  116.  
  117.         Trashed floppy disks, 
  118.         Documents duplicated many times within a single file, 
  119.         Screwy pagination, 
  120.         Slow repositioning, and 
  121.         Control codes mysteriously appearing in files, often in 
  122.             conjunction with the other problems.  
  123.  
  124. Here's the summarized wisdom of the group:
  125.  
  126.         (1)  There's no virus involved.  It's just bugs and 
  127. design flaws in WP.  
  128.  
  129.         (2)  The trashed-floppy problem is extremely common and 
  130. most likely results from users switching floppies too fast for 
  131. WordPerfect to keep track of them.  The remedy is (a) don't 
  132. switch floppies; (b) if you do, save first, exit from the 
  133. document, switch floppies, and _immediately_ List Files (<F5>) so 
  134. WP will know that it's dealing with a new disk.  
  135.         WordPerfect's autosave feature can be part of the problem 
  136. or part of a solution; one writer recommended disabling it and 
  137. saving yourself.  I would recommend hanging on to it _if_ you can 
  138. make it save to a different drive from the one your documents are 
  139. on (i.e., if you have hard disk space on your machine or on a 
  140. network).  If you and autosave write to the same disk, you're 
  141. likely to interfere with each other; if you and autosave write to 
  142. different disks, you're backing each other up.  
  143.  
  144.         (3)  The other problems are less common and not readily 
  145. explained.  
  146.  
  147.         It's worth pointing out that no one wrote in to say WP 
  148. was a crappy program; indeed, one writer took pains to say it was 
  149. still his word-processor of choice, warts and all.  I just hope 
  150. the next version is a bit more careful about writing to removable 
  151. media.  (I'm not a sophisticated programmer, so will some hotshot 
  152. tell me:  is WP taking a shortcut there around the DOS file-
  153. writing functions, and is that what's trashing all those 
  154. floppies?) 
  155.  
  156. ------------------------------
  157.  
  158. Date:    Tue, 08 Jan 91 09:26:17 +0000
  159. From:    ccx020@cck.cov.ac.uk (James Nash)
  160. Subject: Re: UK Computer Crime Unit
  161.  
  162. XPUM04@prime-a.central-services.umist.ac.uk (Anthony Appleyard) writes:
  163. >>"The UK Computer Crime Unit hasn't got an email-address, nor do they
  164. >>read these UUCP-news. Pandy
  165. >>pandy@spiff.hut.fi"
  166. >
  167. >If they aren't in contact with the computing world, how  can  they  operate
  168. >effectively?  If  they  can't  email,  and have to rely on GPO mail and the
  169. >phone and personal visits, and can't get email circulars, they are going to
  170. >be way behind developments. Can't they afford a microcomputer and a  modem?
  171.  
  172. The reason why the UK CCU has such a small budget is because their
  173. superiors do not believe there is a problem. If more people in the UK
  174. actually reported viral infections as crimes then the police might be
  175. interested in solving those crimes. We are years behind America and
  176. other nations in this respect.
  177.  
  178. Also, if (and hopefully when) the "worms" are caught who write 
  179. viruses, they can be prosecuted for the damage they have caused. If
  180. no-one has reported a crime, no action can be taken.
  181. - --
  182. James Nash, Coventry Polytechnic, England
  183.  
  184. ------------------------------
  185.  
  186. Date:    Mon, 07 Jan 91 04:26:51 -1200
  187. From:    Mark Anbinder <mha%baka.UUCP@theory.TN.CORNELL.EDU>
  188. Subject: Strange Problem Running Disinfectant 2.4! (Mac)
  189.  
  190. (Original poster described problem with Disinfectant launching and
  191. immediately showing a flashing message asking the user to insert a
  192. disk.)
  193.  
  194. I have a suggestion on how to handle the problem you've been having.
  195. It sounds like someone has turned on the setting that makes that copy
  196. of Disinfectant an auto-starting scanning station.  This is designed
  197. to allow a facility manager such as yourself to set up a single Mac
  198. with no mouse and no keyboard (tamper-proof, in other words) that can
  199. be started up with a disk containing a Disinfectant that will
  200. automatically go into this mode.
  201.  
  202. The solution I'd suggest is that you throw away the Disinfectant Prefs
  203. file in the System Folder of the hard drive in question.  Then,
  204. Disinfectant will use its default settings, and you should be fine.
  205.  
  206. Another solution is to do your checks by shutting down each computer,
  207. and then starting up from a locked startup floppy containing only a
  208. stripped-down System, a Finder, and Disinfectant.  This will ensure
  209. that the settings remain the same from one session to the next.
  210.  
  211. - --
  212. Mark H. Anbinder                      mha@baka.uucp
  213. BAKA Computers, Inc.                  607-257-2070 - FAX 257-2657
  214. 200 Pleasant Grove Road               QuickMail QM-QM 257-2614
  215. Ithaca, NY 14850                      Memory Alpha BBS * 607-257-5822
  216.  
  217. ------------------------------
  218.  
  219. Date:    Mon, 07 Jan 91 16:44:29 -0500
  220. From:    MONAT%UOTTAWA@acadvm1.uottawa.ca
  221. Subject: Prevent hard disk infection? (PC)
  222.  
  223. Is there any way to prevent a virus from infecting a hard disk when
  224. you cold boot with an infected diskette in drive a: ? (I should have
  225. written "when you unfortunately have left a diskette in drive a:" or
  226. "when you leave your computer unattended and someone boots from a
  227. diskette").
  228.  
  229. Paul M. Monat     Lab Manager                   Phone: 613-564-6895/6500
  230.                   Faculty of Administration       Fax: 613-564-6518
  231.                   Canada    K1N 6N5            Bitnet: Monat @ Uottawa
  232.  
  233. ------------------------------
  234.  
  235. Date:    Tue, 08 Jan 91 13:52:32 +0000
  236. From:    Mr Gordon S Byron <gsb1@forth.stirling.ac.uk>
  237. Subject: Auto-scanning Virus Vaccine? (PC)
  238.  
  239. I am interested in finding a DOS antivirus program which would
  240. automatically scan disks as they are inserted. ideally, something like
  241. SAM II on the Mac. I noticed a reference to a program called McAfee's
  242. scan. Is that an auto-scan antivirus program?
  243.  
  244. ------------------------------
  245.  
  246. Date:    Tue, 08 Jan 91 15:19:19 +0100
  247. From:    swimmer@rzsun4.informatik.uni-hamburg.de (Morton Swimmer)
  248. Subject: Fish Virus Activation (PC)
  249.  
  250. I'm not sure whether this is generally known, but the Fish virus's
  251. damage is activate starting from this year (1991). The virus will (or
  252. should) display the message:
  253.  
  254.  FISH VIRUS #6 - EACH DIFF - BONN 2/90 '~knzyvo}'
  255.  
  256.                                    (    ^^^^^^^^ VB claims this translates
  257.                                       to TADPOLES )
  258.  
  259. and the virus halts the machine. This is I believe similar to what
  260. Frodo is supposed to do. One question remains: is there perhaps
  261. another virus (perhaps Whale) that will continue from that point, via
  262. the timer interrupt perhaps, I haven't looked at whale that closely
  263. yet.
  264.  
  265. Far fetched? Well I fail to be surprised by anything these viruses do
  266. nowadays.
  267.  
  268. Cheers, Morton
  269.  
  270. (and thanks to Stefan Tode for the information.)
  271.  
  272. PS: In light of this: Happy New Year!
  273.  
  274. ------------------------------
  275.  
  276. Date:    Tue, 08 Jan 91 09:32:08 -0500
  277. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
  278. Subject: Grapes (Mac)
  279.  
  280. Try rebuilding your desktop file. Someone may have been playing with
  281. ResEdit and changed the icon for Fortran files to that. If one of them
  282. was changed, the first one copied onto a new disk will make the rest of
  283. them look that way, too.
  284.  
  285.  --- Joe M.
  286.  
  287. ------------------------------
  288.  
  289. Date:    08 Jan 91 20:23:13
  290. From:    pandy@niksula.hut.fi (Pandy Holmberg)
  291. Subject: Re: Grapes virus? (Mac)
  292.  
  293. NDG503@csc1.anu.edu.au (Nick Guoth) writes:
  294.  
  295. - ->    We are using MacFortran on some of our Macintoshs here and just over
  296. - ->    the last few days, we seem to have contracted a strange virus or
  297. - ->    something. Now I'm never confident about viruses affecting us here in
  298. - ->    Australia as the protection software generally arrives before the
  299. - ->    virus. What is happening is that the icons for the Fortran executable
  300. - ->    files have turned into bunches of grapes.
  301.  
  302. As I can't examine your machine from here all I can do is come with guesses.
  303. I haven't heard of this behaviour before so what I suggest is.
  304. Use ResEdit or some other Resource editor to determine from which program
  305. the grape icon originates.
  306.  Then study that program closely.
  307.  
  308. Another explanation would be that another application has the same creator name
  309. i.e. if you make a program of your own and make the creator name WILD all
  310. hypercard stacks will have the same icon as your program and versa.
  311. (OK. It's not THAT simple, but close enough.)
  312.  
  313. Third guess:
  314. Check that the original icons still are in the MacFortran application. Some
  315. wise guy might have redisigned them.
  316.  
  317. I would be interested in hearing what you discover.
  318.  
  319.                     Tsaukki says
  320.                               Pandy
  321.  
  322. - --
  323. "Don't worry, ski happy"
  324.                 - Skischule Arlberg
  325.  
  326. ******************************************************************************
  327.        /I I   Andreas "Pandy" Holmberg             pandy@spiff.hut.fi
  328.       /-I-I   Helsinki University of Technology    pandy@otax.hut.fi
  329.      /  I I   Faculty of Electrical Engineering    s37775d@taltta.hut.fi
  330. ******************************************************************************
  331.  
  332. ------------------------------
  333.  
  334. End of VIRUS-L Digest [Volume 4 Issue 6]
  335. ****************************************
  336.