home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_008.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  24.9 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #8
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Thursday, 10 Jan 1991    Volume 4 : Issue 8
  9.  
  10. Today's Topics:
  11.  
  12. Administrivia - Document archive update
  13. Re: nVIR-like resources... (Mac)
  14. Re: UK Computer Crime Unit
  15. Re: MacVirusIndex (Mac)
  16. Re: Prevent hard disk infection? (PC)
  17. Re: QEMM Virus? (PC)
  18. Re: Addition to monthly postings?
  19. Floppy disk detection (PC)
  20. Re:Prevent hard disk infection? (PC)
  21. Re: QEMM Virus? Followup from Quarterdeck (PC)
  22. clean72.zip update (PC)
  23. Virex Address (PC)
  24. Various thoughts
  25. Stoned in KC, Mo. (PC)
  26. Re: Stoned Virus (PC)
  27.  
  28. VIRUS-L is a moderated, digested mail forum for discussing computer
  29. virus issues; comp.virus is a non-digested Usenet counterpart.
  30. Discussions are not limited to any one hardware/software platform -
  31. diversity is welcomed.  Contributions should be relevant, concise,
  32. polite, etc.  Please sign submissions with your real name.  Send
  33. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  34. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  35. anti-virus, documentation, and back-issue archives is distributed
  36. periodically on the list.  Administrative mail (comments, suggestions,
  37. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  38.  
  39.    Ken van Wyk
  40.  
  41. ---------------------------------------------------------------------------
  42.  
  43. Date:    Thu, 10 Jan 91 11:54:55 -0500
  44. From:    Kenneth R. van Wyk <krvw@cert.sei.cmu.edu>
  45. Subject: Administrivia - Document archive update
  46.  
  47. I just put a README file in the VIRUS-L/comp.virus document archives
  48. on cert.sei.cmu.edu (directory pub/virus-l/docs), and did some general
  49. house-cleaning there.  The README contains a list and one-line summary
  50. of all the files on the archive.
  51.  
  52. Don't forget that the docs are provided as a free service; if you have
  53. submissions or updates, please feel free to send them in!  Just mail
  54. them to krvw@cert.sei.cmu.edu.
  55.  
  56. Ken
  57.  
  58. ------------------------------
  59.  
  60. Date:    09 Jan 91 22:55:51 +0000
  61. From:    pasrich@boole.SEAS.UCLA.EDU (Puneet Pasrich/;093091;eeugrad)
  62. Subject: Re: nVIR-like resources... (Mac)
  63.  
  64. kevin@crash.cts.com (Kevin Hill) writes:
  65. > I beleive that a way to "vaccinate" a Mac against nVir is to create a
  66. >resource with the nVir type and when nVir tries to infect it, it bumps
  67. >into the nVir resource already there and fails.
  68. > If I am wrong, please correct me everyone.. Thanks.
  69.  
  70. You are correct in stating that you can "vaccinate" against the nVir
  71. by creating dummy resources and pasting them into each application.
  72. However, this will not be met with a favorable response from your
  73. favorite anti-viral program.  I'd recommend not creating these dummy
  74. resources, unless for whatever reason, you are not allowed to use a
  75. program like Disinfectant or SAM.
  76.  
  77. - --
  78. ==============================================================================
  79. == Puneet Pasrich ============ Internet:  pasrich@seas.ucla.edu ==============
  80. == Karate Kid ================ Macs rule, and that's all there is to it ======
  81. == In Capitalism, man exploits man. In Communism, it's the other way around. =
  82.  
  83. ------------------------------
  84.  
  85. Date:    10 Jan 91 00:10:11 +0000
  86. From:    abvax!iccgcc.DNET!herrickd@uunet.UU.NET (daniel lance herrick)
  87. Subject: Re: UK Computer Crime Unit
  88.  
  89. ccx020@cck.cov.ac.uk (James Nash) writes:
  90. > XPUM04@prime-a.central-services.umist.ac.uk (Anthony Appleyard) writes:
  91. >>>"The UK Computer Crime Unit hasn't got an email-address, nor do they
  92. >>>read these UUCP-news. Pandy
  93. >>>pandy@spiff.hut.fi"
  94. >>
  95. >>If they aren't in contact with the computing world, how  can  they  operate
  96. >>effectively?  If  they  can't  email,  and have to rely on GPO mail and the
  97. >>phone and personal visits, and can't get email circulars, they are going to
  98. >>be way behind developments. Can't they afford a microcomputer and a  modem?
  100. > The reason why the UK CCU has such a small budget is because their
  101. > superiors do not believe there is a problem. If more people in the UK
  102. > actually reported viral infections as crimes then the police might be
  103. > interested in solving those crimes. We are years behind America and
  104. > other nations in this respect.
  105.  
  106. Is there a system manager geographically near them who reads this and
  107. could invite them over to get acquainted?  Show them some of the
  108. existing cooperative anti-vandal effort?  Give both you and them new
  109. resources?  Offer them access to the net through your system, either
  110. by phone or by coming to your facility to use a local terminal?
  111.  
  112. dan herrick
  113. herrickd@iccgcc.decnet.ab.com
  114.  
  115. ------------------------------
  116.  
  117. Date:    Thu, 10 Jan 91 02:14:44 +0000
  118. From:    jstewart@rodan.acs.syr.edu (Ace Stewart)
  119. Subject: Re: MacVirusIndex (Mac)
  120.  
  121. jwright@uwila.cfht.hawaii.edu (Jim Wright) writes:
  122. >Andreas "Pandy" Holmberg (pandy@spiff.hut.fi) has pointed out to me
  123. >that there is a MacVirusIndex available from nic.funet.fi in the
  124. >directory /pub/mac/doc.  Does anyone know if this is available from an
  125. >archive site in the U.S.? 
  126.  
  127. Yup sure is! On icarus.cns.syr.edu (128.230.1.49) in /virus is a copy
  128. of the file. Being one of the SysAdmins for that system, I am always
  129. interested about these things, and if people have requests, let me
  130. know...
  131.  
  132.                 Cheers! Ace
  133.  
  134. >(Please don't everyone grab this file from
  135. >Finland.  Wait until it shows up a bit closer to you.)  I haven't seen
  136. >this, so I don't know how it compares to the Virus Encyclopedia Stack.
  137.  
  138. I agree wholheartedly.
  139. - -- 
  140. | Ace Stewart (Jonathan III)                             |A       /\       |
  141. | Affiliation: Eastman Kodak Company. Rochester New York |      _/  \_     |
  142. | Internet/ARPA: jstewart@rodan.acs.syr.edu              |      \_  _/     |
  143. | Bitnet:        jstewart@sunrise.bitnet                 |        /\      A|   
  144.  
  145. ------------------------------
  146.  
  147. Date:    10 Jan 91 09:17:07 +0000
  148. From:    frisk@rhi.hi.is (Fridrik Skulason)
  149. Subject: Re: Prevent hard disk infection? (PC)
  150.  
  151. MONAT%UOTTAWA@acadvm1.uottawa.ca writes:
  152. >Is there any way to prevent a virus from infecting a hard disk when
  153. >you cold boot with an infected diskette in drive a: ? 
  154.  
  155. Not without additional hardware I'm afraid.  Any program run from
  156. AUTOEXEC.BAT or CONFIG.SYS is run after the disk has booted, and
  157. (possibly) infected the hard disk.
  158.  
  159. You can get software which will detect the infection as soon as it
  160. happens, but to prevent it, you need additional hardware, which will
  161. prevent writes to the hard disk, unless some conditions are met.
  162.  
  163. - --
  164. Fridrik Skulason      University of Iceland  |       
  165. Technical Editor of the Virus Bulletin (UK)  |  Reserved for future expansion
  166. E-Mail: frisk@rhi.hi.is    Fax: 354-1-28801  |   
  167.  
  168. ------------------------------
  169.  
  170. Date:    09 Jan 91 09:47:04 +0000
  171. From:    Mark Hughes <mrh@camcon.co.uk>
  172. Subject: Re: QEMM Virus? (PC)
  173.  
  174. rtravsky@CORRAL.UWyo.Edu (Richard W Travsky) writes:
  175.  
  176. >This appeared in a recent Info-Ibmpc digest.  Figured I'd pass it on.
  177. > ...deleted...
  178. >From: David Kirschbaum <kirsch@usasoc.soc.mil>
  179. >Subject: Reported QEMM virus
  180.  
  181. >Received from the Fido Dr. Debug Echo, 1 Jan 91.
  182. >David Kirschbaum
  183. >Toad Hall
  184.  
  185. >FROM:    Richard Crain                 Area # 23 (    Dr. Debug     )
  186. >TO:      ALL
  187. >SUBJECT: Virus
  188.  
  189. >I have found what appears to be a virus on the factory supplied disk
  190. >from Quarterdeck on the QEMM386 V5.1 diskette in the Optimize.com amd
  191. >install.exe programs. These 2 programs contain a HEX signature of
  192. >EAF0FF00F0 which indicates the possible presence of the 648 virus.
  193.  
  194. I have checked my QEMM v5.0 master disks and find this signature also
  195. occurs in the same named files, but which are obviously much older.
  196. They are dated 9 March 90 on my disk. I have been using QEMM v5.0 for
  197. a good few months (can't remember exactly when I bought it) and have
  198. had no reason to suspect virus infection of my system. The age of QEMM
  199. v5.0 without apparent virus report is interesting.
  200.  
  201. In addition, McAfee's scan program 5.1v67 fails to complain about QEMM
  202. v5.0 or v5.1 despite manual inspection showing that the signature does
  203. appear as reported above. A "Vienna/648" virus is described in the
  204. McAfee documentation.
  205.  
  206. This is all fairly re-assuring to me, but it is possible that this
  207. is a dormant virus just waking up. It needs further investigate (by
  208. Quarterdeck I guess), but caution rather than panic seems appropriate.
  209.  
  210. Hope this adds to the investigation.
  211.  
  212. [Ed. Please see followup below!]
  213.  
  214. Mark
  215.  
  216. - -- 
  217.  ----------------  Eml: mrh@camcon.co.uk or mrh@camcon.uucp
  218. |   Mark Hughes  | Tel: +44 (0) 223 420024   Cambridge Consultants Ltd. 
  219. |(Compware & CCL)| Fax: +44 (0) 223 423373   The Science Park, Milton Road,
  220.  ----------------  Tlx: 81481 (CCL G)        Cambridge, CB4 2JB, UK.
  221.  
  222. ------------------------------
  223.  
  224. Date:    09 Jan 91 21:29:44 +0000
  225. From:    CAH0@gte.com (Chuck Hoffman)
  226. Subject: Re: Addition to monthly postings?
  227.  
  228. jwright@uwila.cfht.hawaii.edu (Jim Wright) writes:
  229. > It has been suggested that I add a section to the monthly postings of
  230. > archive sites that would explain what to do with ZIP, ZOO, ARC, HQX,,
  231. > SIT, etc. files.  Would you find this information useful?
  232.  
  233. I would find it useful, especially if you included in the "what to do"
  234. information about upgrades to software like Stuffit, United, etc.
  235.  
  236. - -Chuck
  237.  
  238. - - Chuck Hoffman, GTE Laboratories, Inc.  |  I'm not sure why we're here,
  239. cah0@bunny.gte.com                       |  but I am sure that while we're
  240. Telephone (U.S.A.) 617-466-2131          |  here, we're supposed to help
  241. GTE VoiceNet: 679-2131                   |  each other.
  242. GTE Telemail: C.HOFFMAN                  |
  243.  
  244. ------------------------------
  245.  
  246. Date:    Thu, 10 Jan 91 12:31:00 +0100
  247. From:    "Olivier M.J. Crepin-Leblond" <UMEEM37@VAXA.CC.IMPERIAL.AC.UK>
  248. Subject: Floppy disk detection (PC)
  249.  
  250. >From:    Douglas Barlow <DOUGB@comsys.byu.edu>
  251. >> From:    Mr Gordon S Byron <gsb1@forth.stirling.ac.uk>
  252. >>
  253. >> I am interested in finding a DOS antivirus program which would
  254. >> automatically scan disks as they are inserted. ideally, something like
  255. >> SAM II on the Mac. I noticed a reference to a program called McAfee's
  256. >> scan. Is that an auto-scan antivirus program?
  257. >
  258. >Only one problem with that idea: How can the machine tell when a disk
  259. >is inserted?  There isn't any type of sensor in IBM floppy drives like
  260. >in the Mac.
  261. >
  262. >Doug Barlow
  263.  
  264.     There are many types of 3 1/2 PC disk drives. Some drives
  265. actually detect a disk as soon as it is inserted. This type is
  266. recognizable when the shutter door of the disk is heard to slide as
  267. soon as the disk is inserted. However, I think that the sensor is a
  268. purely mechanical sensor (switch) which is connected to a solenoid of
  269. some sort, which makes a small lever slide the shutter.  The second
  270. type of 3 1/2 disk drive slides the shutter open only when the disk is
  271. accessed for the first time after being inserted in the drive.
  272.     What one would need, is some guidelines on the features a PC
  273. disk drive should have. Because of the number of cheap clones around,
  274. there is still a long way to go.
  275.  
  276. Olivier M.J. Crepin-Leblond,     Internet: <umeem37@vaxa.cc.ic.ac.uk>
  277. Communications & Signal Processing , Electrical Engineering Dept.,
  278. Imperial College of Science, Technology and Medicine, London, UK.
  279. >> If nothing else works: take disk. take knife, use knife on disk.
  280.  
  281. ------------------------------
  282.  
  283. Date:    Thu, 10 Jan 91 14:24:38 +0700
  284. From:    Carlos Jimenez <cjimenez@anyware.es>
  285. Subject: Re:Prevent hard disk infection? (PC)
  286.  
  287. >Is there any way to prevent a virus from infecting a hard disk when
  288. >you cold boot with an infected diskette in drive a: ? (I should have
  289. >written "when you unfortunately have left a diskette in drive a:" or
  290. >"when you leave your computer unattended and someone boots from a
  291. >diskette").
  292. >
  293. >Paul M. Monat     Lab Manager                   Phone: 613-564-6895/6500
  294. >                  Faculty of Administration       Fax: 613-564-6518
  295. >                  Canada    K1N 6N5            Bitnet: Monat @ Uottawa
  296.  
  297. When you light the computer the ROM BIOS checks the machine and then
  298. searchs for someone disquette in drive A:. If it can read a boot
  299. sector, read it in 0000:7C00 and run it.
  300.  
  301. (There is someones BIOS for AT's,'386 & '486 that permits configure
  302. which is the drive for start and stores this information in CMOS
  303. memory. I don't know if this is your case).
  304.  
  305. When a boot sector virus infects a disquette (with or without operating system)
  306. it can make a boot sector that can infect any hard disk using
  307.  - direct access to hard disk port
  308.     (I don't know any virus that use this method actually),
  309.  - BIOS Int 13h Function 03 (Write sector)
  310.     (like Stoned)
  311.  - DOS Int 26h (Write absolute sector).
  312.     (like Bouncing Ball,
  313.  
  314. I don't know any solution throw software for the two first method of
  315. infection but I can suggest that you change the ROM or add some EPROM
  316. that prevents boot from A:.
  317.  
  318. The third method of infection has a solution using software. If you
  319. clear the partition table of your hard disk, the DOS can't recognize
  320. the hard disk (like it hasn't low level format), and Int 26h calls
  321. will fail.  For a sucessfull boot from hard disk you must change the
  322. original bootstart routine by another, that writes the original
  323. partition table and then reads the boot sector of the active partition
  324. and execute it. You must include a program that clears again the
  325. partition table (I have a driver in CONFIG.SYS) 
  326. WARNING: - This method forces two writes in the partition sector (for create
  327.            and erase the partition table) in each warm or cold boot. It can
  328.            reduce MTBF (Mean Time Between Failures) of this sector, and a write
  329.            error can to be dangereus.
  330.          - If you don't have the DOS in the active partition, the problem is
  331.            more complicated. (I can send you some ideas).
  332.  
  333.  
  334. Carlos Jimenez    R+D Manager                    Phone: +34 1 556 92 15
  335.                   ANYWARE Information Security          +34 1 556 92 16
  336.                   General Peron, 32                Fax: +34 1 556 91 58
  337.                   28020 Madrid (SPAIN)           EUnet: cjimenez@anyware.es
  338.  
  339. ------------------------------
  340.  
  341. Date:    09 Jan 91 01:52:25 +0000
  342. From:    mitel!cunews!cognos!roberts@uunet.UU.NET (Robert Stanley)
  343. Subject: Re: QEMM Virus? Followup from Quarterdeck (PC)
  344.  
  345. Dear Virus-L moderator,
  346.  
  347. With reference to the report of a possible virus in QEMM-386 v5.1, this
  348. is not a virus.  I have already passed the enclosed information through
  349. to the comp.sys.ibm.pc.digest moderator where this report first surfaced
  350. on the Internet/Usenet.
  351.  
  352. I have been in touch with Quarterdeck Office Systems because we make
  353. extensive use of QEMM-386 in our development environment, and received
  354. the following FAX from them.
  355.  
  356. ======================= Start of FAX =============================
  357. Dear Mr. Stanley,
  358.  
  359. Thanks for forwarding the FidoNet message.  We will see if we can
  360. crawl on FidoNet and set the record strait (sic).
  361.  
  362. For the record, the byte string "EA F0 FF 00 F0" can indeed be
  363. found in the OPTIMIZE.EXE and INSTALL.EXE as well as QEMM386.SYS.
  364.  
  365. That code is JMP F000:FFF0.  It is the way that we reboot the
  366. system.  It is an intentional part of our code, not the result of
  367. a virus.  While rebooting the system is something a virus might
  368. do, having this code in your program certainly does not make you
  369. a virus.  If this is the signature some virus scan program is
  370. using to detect the 648 virus, it would seem they need to devise
  371. a more discriminating test.
  372.  
  373. Please be assured that our programs are produced under highly
  374. controlled circumstances and that great care is taken throughout
  375. our organization with respect to virus infection.  We are
  376. confident that none of the products we have ever shipped have
  377. contained viruses.  Of course, our disk, like any unprotected
  378. diskette is subject to infection by a virus when it is installed
  379. on a machine which already carries a virus.  If you are concerned
  380. about this, you should obtain and run one of the many good virus
  381. detection programs, but again, the report you forwarded does not
  382. indicate a virus.
  383.  
  384. Hopefully, all of this helps you breath easier.
  385.  
  386. Stan Young
  387. Technical Support
  388. ======================== End of FAX ==============================
  389.  
  390. We had no evidence of a virus on any of our systems, but I thought 
  391. I ought to inform them of this report.  I have informed Quarterdeck
  392. that I am forwarding their reply to you.  I believe that you should
  393. publish this information as soon as possible, to allay fears that
  394. may have been started by the wide dissemination of the original 
  395. report.  If you wish to cross-check my information before publishing
  396. it (I, too, could be a malicious prankster), Quarterdeck's standard
  397. phone line is (213) 392-9851, and their technical support line is
  398. (213) 392-9701.
  399.  
  400. I have no connection with Quarterdeck other than as an extremely 
  401. satisfied user of QEMM-386.
  402.  
  403. Robert_S
  404. - --
  405. Robert Stanley  UUCP: uunet!mitel!cunews!cognos!roberts   | 3755 Riverside Driv
  406. e
  407. Cognos, Inc.    INet: roberts%cognos.uucp@ccs.carleton.ca | PO Box 9707, Ottawa
  408. (Research)     Alice: (613) 738-1338 x6115 (EST/EDT)      | Ont  K1G 3Z4, Canad
  409. a
  410.   [I haven't really lost my mind, I'm sure I have a backup on tape somewhere.]
  411.  
  412. ------------------------------
  413.  
  414. Date:    Thu, 10 Jan 91 09:21:27 -0600
  415. From:    James Ford <JFORD@UA1VM.BITNET>
  416. Subject: clean72.zip update (PC)
  417.  
  418. A bad copy of clean72.zip was put on mibsrv on Janurary 9, 1990.  When
  419. receiving the file from Homebase, line noise apparently trashed the
  420. file transfer.  A clean copy of clean72.zip has been placed on mibsrv
  421. at 9:00am CST on Jan. 10, 1990.
  422.  
  423. Thanks to CSOCKWEL@UA1VM.UA.EDU and CASSI@UCSELX.SDSU.EDU for telling me
  424. me of the problem.
  425. - ----------
  426. You cannot antagonize and influence at the same time.
  427. - ----------
  428. James Ford -  JFORD@UA1VM.UA.EDU, JFORD@MIBSRV.MIB.ENG.UA.EDU
  429.               THE University of Alabama (in Tuscaloosa, Alabama  USA)
  430.  
  431. ------------------------------
  432.  
  433. Date:    Thu, 10 Jan 91 09:12:55 -0700
  434. From:    rtravsky@CORRAL.UWyo.Edu (Richard W Travsky)
  435. Subject: Virex Address (PC)
  436.  
  437. The January 7th PC-WEEK has a full page ad for virex on the back cover.
  438. The address and phone numbers (definitely) are:
  439.   Microcom Software Division
  440.   3700-B Lyckan Parkway
  441.   Durham  NC 27717
  442.   1-919-490-1277
  443.   in Europe call 44 483 740763
  444. There was no 800 number listed, so that apparently has been discontinued.
  445. A version of their software for PCs is listed as "new".
  446.  
  447. ------------------------------
  448.  
  449. Date:    10 January, 1991 
  450. From:    Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
  451. Subject: Various thoughts
  452.  
  453.     Being a new year and having some time over the holidays to
  454. collect a few thoughts on PC (IBM-type) viral protection.
  455.  
  456.     First off, the only effective solution to unknown boot sector
  457. viruses (as well as known ones) would have to be in the form of an Int
  458. 13 intercept, and the only time that the system is both stable and
  459. known that software can affect is on the partition table read
  460. following POST since neither DOS nor anything else has revectored the
  461. interrupts yet. Since there is no way short of hardware to prevent
  462. floppy booting, protection must take place here. This way, even if an
  463. infection takes place, it can be detected immediately, something I do
  464. not believe can be guarenteed at any later time (e.g. in CONFIG.SYS or
  465. AUTOEXEC.BAT).
  466.  
  467.     A second layer is some form of system protection that monitors
  468. the operating system and prevents subversion. The easiest method would
  469. be to incorporate this into the "special" partition table but must be
  470. recognized as a separate task.
  471.  
  472.     The next layer of protection would be authentication of files
  473. presented to the operating system for execution such as any number of
  474. systems do (Enigma-Logic's VIRUS-SAFE, McAffee's SCAN with the /AV, or
  475. the Dr. Panda Utilities plus many others). Such authentication can
  476. only be effective if the operating system can be trusted when it is
  477. invoked.
  478.  
  479.     Finally, some form of authentication or denial of unknown
  480. programs presented to the system (floppies) must be provided, such as
  481. with McAfee's VSHIELD, Fridrik's F-PROT, or CERTUS. The trouble is
  482. that such scanning is only good on known infections and must be kept
  483. up to date. For many the thought of updating 5000 machines with no
  484. budget is horrifying.
  485.  
  486.     Intelligent application of these four elements should reduce
  487. risk of infection to near zero and detect the remainder as soon as
  488. they happen.
  489.  
  490.     Lately, I have been playing with some "smart" partition table
  491. programs and other than the difficulty of debugging (when you make a
  492. mistake, on boot the PC just sits there smiling at you) and proper
  493. handling of registers in a 50h byte "nitch", it is proving very
  494. interesting. For instance "fixing" a PC so that if it is booted fom a
  495. floppy, the hard drive is just not there to DOS is trivial and
  496. STONED/JOSHI/BRAIN attacks are immediately detected.
  497.  
  498.                 Having fun in the Sun
  499.  
  500.                         Padgett
  501.  
  502. ps some of the techniques found could correct viral mistakes so I cannot
  503.    discuss these in an open forum or with unknown individuals however, the
  504.    above should point to things to look for in a "good" anti-virus program
  505.    or mix of programs.
  506.  
  507. ------------------------------
  508.  
  509. Date:    Thu, 10 Jan 91 12:47:57 -0500
  510. From:    Arthur Gutowski <AGUTOWS@WAYNEST1.BITNET>
  511. Subject: Stoned in KC, Mo. (PC)
  512.  
  513. Just got off the phone with a friend of mine in Kansas City, MO.  He
  514. has been infected with the Stoned virus (don't know which variant).
  515.  
  516. He apparently contracted the infection from a borrowed copy of
  517. Ontrack's Disk Manager.  The diskette was obtained from the Computer
  518. Resale Center in Kansas City.  He has not booted up with any other
  519. diskettes in quite some time, so he strongly suspects the Disk Manager
  520. diskette.  Fortunately for him, he had already cleaned off the drive
  521. and was preparing to low-level format the hard drive anyway.  He will
  522. start with a cold boot from a clean diskette before proceeding (don't
  523. want to spread the beast any further).
  524.  
  525. He has contacted the vendor and alerted them to the problem.  As
  526. always, there are no guarantees, but it would seem that the Ontrack
  527. diskette caused the infection.
  528.  
  529. Disclaimer:  This was meant for information only.  It was not intended to nail
  530.              anyone to the wall (except for the ******* that wrote the virus
  531.              to begin with!!)
  532.  
  533.  -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
  534.  "The problem with the future is that it keeps turning into the present."
  535.                     -Hobbes
  536.  -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
  537.   _    /|  Arthur J. Gutowski, System Programmer
  538.   \'o.O'   MVS & Antiviral Group / WSU University Computing Center
  539.   =(___)=  Bitnet:  AGUTOWS@WAYNEST1  Internet:  AGUTOWS@WAYNEST1.BITNET
  540.      U     PH: (313) 577-0718              *or*  AGUTOWS@cms.cc.wayne.edu
  541.  Bill sez "Ackphtth"
  542.  
  543. ------------------------------
  544.  
  545. Date:    Thu, 10 Jan 91 06:44:04 +0000
  546. From:    frank@cavebbs.gen.nz (Frank van der Hulst)
  547. Subject: Re: Stoned Virus (PC)
  548.  
  549. jhp@apss.ab.ca (Herb Presley, Emergency Planning Officer) writes:
  550. >Further to my earlier posting, I got ahold of a copy of McAfee's SCAN
  551. >program, and it confirmed that the [Stoned] Virus was still affecting
  552. >my hard drive.  So I have now managed to cure the problem, and for
  553. >what it's worth to anyone, if interested, here's how:
  554.  
  555. Lots of stuff deleted here:
  556.  
  557. What you needed to do was to a) Boot from a clean copy-protected disk
  558. (which you did), then b) Fix your HD boot sector. Having done that,
  559. Stoned is dead.  Finally, c) Go through your floppies with e.g. SCAN,
  560. and treat them the same way... Stoned can only get off the floppy if
  561. you boot off the floppy.
  562.  
  563. >Hope this helps anyone else who has been infected by the [Stoned]
  564. >virus.  (By the way, I don't know if you've noticed but the person who
  565. >wrote the message "Your PC is Stoned! LEGALISE MARIJUANA!"  doesn't
  566. >even know how to spell legalize.......heh! heh!  And I'll bet he
  567. >thinks he's smart.)
  568.  
  569. Hate to say this, but he's smarter than you are!!! LegaliSe is the
  570. Queen's English as spoken here in NZ (where Stoned originated, and is
  571. now at epidemic levels) -- your version is a mere vulgar Americanism.
  572. :-)
  573.  
  574. >And one other thing, a warning!  I think I picked up the virus from a
  575. >fairly reputable software company's disks that I purchased several
  576. >months ago - a word processor, no less!  It looks like some this major
  577. >company may have a snake in the woodpile.  I can't mention their name
  578. >here, however I will be taking my case up with them so that they can
  579. >call in the mongoose brigade.
  580.  
  581. Many software shops here open packages for demos, etc., then reseal
  582. them. It is not uncommon to find a virus on a disk in a "sealed"
  583. package.
  584.  
  585. - -- 
  586. Take a walk on the wild side, and I don't mean the Milford Track.
  587.  
  588. ------------------------------
  589.  
  590. End of VIRUS-L Digest [Volume 4 Issue 8]
  591. ****************************************
  592.