home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_013.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  17.8 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #13
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Tuesday, 22 Jan 1991    Volume 4 : Issue 13
  9.  
  10. Today's Topics:
  11.  
  12. Stoned on a Hardcard (PC)
  13. Re: Need help w/ CMOS problem in PS/2 Model 70 (PC)
  14. Query - Disinfectant vs. Virex (Mac)
  15. Re: Need OTS Virus package (UNIX)
  16. Re: Disinfectant vs. Virex (Mac)
  17. International Virus Infections (PC)
  18. Stoned variants (PC)
  19. Apathy and viral spread (general)
  20. F-PROT 1.14 (PC)
  21. Processor-specific viruses and other subjects (PC)
  22.  
  23. VIRUS-L is a moderated, digested mail forum for discussing computer
  24. virus issues; comp.virus is a non-digested Usenet counterpart.
  25. Discussions are not limited to any one hardware/software platform -
  26. diversity is welcomed.  Contributions should be relevant, concise,
  27. polite, etc.  Please sign submissions with your real name.  Send
  28. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  29. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  30. anti-virus, documentation, and back-issue archives is distributed
  31. periodically on the list.  Administrative mail (comments, suggestions,
  32. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  33.  
  34.    Ken van Wyk
  35.  
  36. ---------------------------------------------------------------------------
  37.  
  38. Date:    Fri, 18 Jan 91 14:15:12 -0700
  39. From:    rtravsky@CORRAL.UWyo.Edu (Richard W Travsky)
  40. Subject: Stoned on a Hardcard (PC)
  41.  
  42. We're currently having a few skirmishes here with the stoned virus.
  43. In one instance we had stoned show up on a hardcard (and removed
  44. same).  Hadn't thot of hardcards being infectable before, but I
  45. suppose it's no different from the flat round kind of hard disk.  Are
  46. there any differences in viral behavior/ detection/removal when a
  47. hardcard is involded (as opposed to a hard disk)?
  48.  
  49. Richard Travsky                        Bitnet:   RTRAVSKY @ UWYO
  50. Division of Information Technology     Internet: RTRAVSKY @ CORRAL.UWYO.EDU
  51. University of Wyoming                  (307) 766 - 3663 / 3668
  52.  
  53. ------------------------------
  54.  
  55. Date:    18 Jan 91 22:09:13 +0000
  56. From:    bdh@uchicago.UCAR.EDU (Brian D. Howard)
  57. Subject: Re: Need help w/ CMOS problem in PS/2 Model 70 (PC)
  58.  
  59. wright@cs.uiuc.edu (David Wright) writes:
  60.  
  61. >My apologies if this group is not appropriate, but I would like to
  62. >solicit advice on a problem that may be a malicious attack:
  63.  
  64. >I am looking at a friend's PS/2 Model 70 that he reports has had
  65. >problems including problems reading diskettes that appear to be fine
  66. >in another machine (a laptop that I am keeping carefully isolated).
  67.  
  68. Hold it right there.  The PS/2 has a 'feature' in that it will ignore
  69. how a diskette is formatted and will ignore the diskette hardware.  If
  70. you format a 1.44M 3-1/2" (I assume you mean 3-1/2") to be 720K (i.e.
  71. use it in your laptop that only has 720K floppy?) and attempt to read
  72. it in the PS/2 it will think it is formatted HD (1.44M) and give up.
  73. Tape up the little square hole on the upper left hand side (no, not
  74. that one under the slide) and try it again.
  75.  
  76. - --
  77. "Hire the young while they still know everything." 
  78.  
  79. ------------------------------
  80.  
  81. Date:    18 Jan 91 22:32:07 +0000
  82. From:    francis@cis.ohio-state.edu (RD Francis)
  83. Subject: Query - Disinfectant vs. Virex (Mac)
  84.  
  85. Virex 1.3 is rather old, and probably won't catch any virus except
  86. those older than WDEF, at least (discovered in late 1989).  Virex is
  87. updateable from the company, for a fee; I believe that 2.0 was
  88. released in 1989, though my memory may be playing tricks on me there.
  89. As far as I know, from the standpoint of reliability, both products
  90. are completely reliable.  The only differences visible to the user are
  91. minor cosmetic differences in implementing the interface, the
  92. commercial vs. PD issue, and the cost.  By commercial vs. PD, I mean
  93. to mention that some people would prefer to use a commercial product
  94. that they have to pay to get upgrades for because that prodcut's
  95. creators are more motivated to keep the program up-to-date, and less
  96. likely to drop support.  Personally, I recommend Disinfectant; John
  97. Norstad's done a great job, his updates are usually the first I hear
  98. of the existance of a new Mac virus, and his support for the product
  99. has been wonderful.
  100.  
  101. ------------------------------
  102.  
  103. Date:    18 Jan 91 22:38:14 +0000
  104. From:    limes@Eng.Sun.COM (Greg Limes)
  105. Subject: Re: Need OTS Virus package (UNIX)
  106.  
  107. ssdc!jbasara@uunet.UU.NET (jim basara) writes:
  108. |> I would like to request recommendations for off-the-shelf packages
  109. |> which will prevent/isolate/monitor/etc. viruses on a Sun workstation
  110. |> under unix.
  111.  
  112. Occasionally, I see people asking about such things on this list and
  113. elsewhere, and I am underwhelmed by the amount of information that
  114. therefore appears on the net.
  115.  
  116. Has anyone ever actually SEEN a "virus" on a UNIX box? And, don't tell
  117. me about worms, that's a different matter ... I am specificly looking
  118. for information about programs that propogate by modifying other
  119. programs.
  120.  
  121. My background as an operating systems programmer at Sun leads me to
  122. believe that such virii would be more difficult and less rewarding for
  123. Joe Virus-Writer to create, and easier to protect against using
  124. mechanisms available in the system, but it might be nice if I could
  125. have some backing information that I could give when people ask me
  126. about such things ...
  127.  
  128. - -- Greg Limes
  129. #include <disclaimer>
  130. #include <cute-quote>
  131.  
  132. ------------------------------
  133.  
  134. Date:    19 Jan 91 05:31:38 +0000
  135. From:    kddlab!lkbreth.foretune.co.jp!trebor@uunet.UU.NET (Robert Trebor Woodhead)
  136. Subject: Re: Disinfectant vs. Virex (Mac)
  137.  
  138. First of all, you should ALWAYS GET THE CURRENT VERSION of any
  139. Antiviral utility.  Using old versions is a ticket to disaster as it
  140. lends a false sense of security.
  141.  
  142. Given the easy availability (Disinfectant is everywhere; and
  143. you can order an upgrade of your current VIREX by calling
  144. 1-800-877-CURE) there is no excuse not to be current.
  145.  
  146. The current versions of VIREX and Disinfectant find and remove
  147. all currently known Mac Viruses.  Both have powerful INITs.
  148.  
  149. Starting with V3.0, the VIREX INIT became significantly more
  150. powerful.  The INIT now has repair capabilities (in fact, the
  151. only reason to use the Application is if wierd things start
  152. to happen and you want the App's better reporting.)
  153.  
  154. All the antivirals do a fine job of the basic function of virus
  155. detection and repair; where they are differentiated is in
  156. bells&whistles, nice user interfaces, and support.  When you go with a
  157. commercial product like, oh to pick one at random, VIREX (available at
  158. finer computer stores, as well as a lot of direputable ones...) you
  159. are paying for handholding; there's going to be someone on the other
  160. end of the phone line for you to call when the going gets wierd.
  161.  
  162. Disclaimer : I wrote the Virex Application.
  163.  
  164. - -- 
  165. +--------------------------------------------------------------------------+
  166. | Robert J. Woodhead, Biar Games / AnimEigo, Incs.   trebor@foretune.co.jp |
  167. | "The Force. It surrounds us; It enfolds us; It gets us dates on Saturday |
  168. | Nights." -- Obi Wan Kenobi, Famous Jedi Knight and Party Animal.         |
  169.  
  170. ------------------------------
  171.  
  172. Date:    20 Jan 91 19:23:37 +0100
  173. From:    clear@cavebbs.gen.nz
  174. Subject: International Virus Infections (PC)
  175.  
  176. One of my BBS users (David Clarke) reported an interesting virus attack 
  177. on board the cruise liner Royal Viking, in Wellington on Sat 19 January.
  178.  
  179. He was called to the ship to diagnose some problems they had been having
  180. with the hardware.
  181.  
  182. The JOSHI virus was discovered on two PS/2 55's running MS-DOS 4.01.
  183. The KEYPRESS virus was found lurking on a Toshiba portable running 
  184. MS-DOS 3.3 on a 20MB HD.
  185.  
  186. David writes, "Joshi infected three of my diskettes while I was hunting
  187. for the problem, I've learned my lesson, keep all diskettes write
  188. protected!"
  189.  
  190. As mentioned, the callout was to diagnose hardware problems. What made
  191. it harder to pin down as viruses was neither of these viruses being seen
  192. in New Zealand before (as far as I know).
  193.  
  194. It is interesting to note he had downloaded SCAN and CLEAN from The Cave,
  195. as the computer press and newspapers over here are continually lambasting
  196. bulletin boards as a primary source of infection. Its a good thing some
  197. people know better... 
  198. - -- 
  199. - --------------------------------------------------------------------------
  200. Charlie "The Bear" Lear | clear@cavebbs.gen.nz | Kawasaki Z750GT  DoD#0221
  201. The Cave MegaBBS  +64 4 643429  V32 | PO Box 2009, Wellington, New Zealand
  202. - --------------------------------------------------------------------------
  203.  
  204. ------------------------------
  205.  
  206. Date:    Sun, 20 Jan 91 17:52:17 -0800
  207. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  208. Subject: Stoned variants (PC)
  209.  
  210. timt@ashtate.A-T.COM (Tim Trimble) writes:
  211.  
  212. > the stone virus not being in the states yet can be considered false.
  213.  
  214. The original posting referred to the fact that the *Stoned-II* virus
  215. had not been seen in the United States.  There have, in fact, been two
  216. *major* variants of Stoned, with *minor* variations of each.  The
  217. Hoffman list describes a total of six variants altogether, and as
  218. those familiar with virus reseaarch will attest, this is probably very
  219. conservative.
  220.  
  221. ------------------------------
  222.  
  223. Date:    Sun, 20 Jan 91 18:07:13 -0800
  224. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  225. Subject: Apathy and viral spread (general)
  226.  
  227. Recently, Stratford Software has started a new online information
  228. service called SUZY.  (The service is active in Canada, and is in
  229. beta testing for users in the United States.)  I manage the data
  230. security/anti-viral topic area (referred to as an "Information
  231. Network", or "IN") called INtegrity.  Any SUZY user can look at
  232. the information in the INs, but, as they "leave" the area, they
  233. are asked if they want to "join".  This simply puts them on a
  234. mailing list that can be used to send announcements to the
  235. "members" of an IN.  If they want to "join", they hit ENTER, if
  236. not, they hit <ESC>.
  237.  
  238. Well, as of today, the number of SUZY users who have joined
  239. INtegrity stands at 170.  Some others may have dropped in and
  240. looked around, but deliberately left themselves off the list when
  241. they left the IN.
  242.  
  243. The number of accounts on SUZY currently stands at about 6000.
  244. However, research I have done indicates that less than 15%
  245. actually use the system more than once a month.  Interestingly,
  246. this figure has remained unchanged since SUZY was released.  That
  247. means that less than 900 accounts are "active".
  248.  
  249. What does this mean to you, and to data security?  It means that
  250. less than 3% of all, and 20% of *active* SUZY users care enough
  251. about data security to join the anti-virus IN.  This is the
  252. *real* reason that computer viri are so widespread today: people
  253. do not realize the danger.
  254.  
  255. Those of you who have studied viral charactersitics, and
  256. virus protection and functions, will realize how easy
  257. it is to protect yourselves against most viri.  But if the
  258. majority of users think they are safe, and do not take *any*
  259. precautions, then viri have a fertile breeding ground to grow and
  260. spread in.  As my wife says, it show not only how few people
  261. understand technology, but how few even understand the concepts
  262. of public health.
  263.  
  264. ------------------------------
  265.  
  266. Date:    Mon, 21 Jan 91 09:47:48 +0000
  267. From:    frisk@rhi.hi.is (Fridrik Skulason)
  268. Subject: F-PROT 1.14 (PC)
  269.  
  270.                Changes to F-PROT
  271.  
  272. Version 1.14 added the following features:
  273.  
  274.  
  275.     Detection, but not removal of
  276.  
  277.         Anthrax
  278.         Crazy Eddie
  279.                 V2P6
  280.  
  281.     The reason V2P6 is not removed is because of the complexity of
  282.     the various encryption methods - If you ever get infected by the
  283.     virus, I suggest you contact its author:
  284.  
  285.             Mark Washburn
  286.             4656 Polk Street NE
  287.             Coloumbia Heights, MN 55421
  288.             USA
  289.  
  290.     Detection and removal of the following viruses:
  291.  
  292.                 217
  293.                 417
  294.                 440
  295.                 492
  296.                 516
  297.                 600
  298.                 696
  299.                 699 (erronously called "711" elsewhere)
  300.                 707
  301.                 948
  302.                 1049
  303.                 1067
  304.                 1075
  305.                 1226
  306.                 1600
  307.                 2144
  308.                 2480
  309.         Agiplan
  310.                 Alabama-B
  311.         Amstrad-852
  312.         AntiPascal
  313.         AntiPascal 2
  314.                 Attention
  315.                 Bebe
  316.         Best Wishes
  317.                 Black Monday
  318.                 Burger-537
  319.                 Carioca
  320.                 Christmas in Japan
  321.                 Cookie
  322.                 Datalock
  323.                 Destructor
  324.                 DIR
  325.                 Doteater
  326.                 Evil
  327.                 Father Christmas (Choinka)
  328.         Groen Links
  329.                 Guppy
  330.                 Hymn
  331.                 Internal
  332.                 Invader
  333.                 Jerusalem-G
  334.                 Joker
  335.                 Joker-01
  336.                 Kemerovo
  337.                 Leprosy-B
  338.                 Liberty II
  339.                 Lozinsky
  340.                 MG
  341.                 MG-3
  342.                 MGTU
  343.                 MLTI
  344.                 Monxla/Time
  345.                 Musicbug
  346.                 Nina
  347.                 Nomenklatura
  348.                 Parity
  349.                 Phoenix
  350.                 Piter
  351.         Plastique (4 new variants)
  352.                 Polimer
  353.                 Proud
  354.                 Saddam
  355.                 Scott's Valley
  356.                 Stone `90 (T@V) - a variant of Vienna
  357.         Superhack (Scottish Murphy)
  358.                 SVC
  359.         Sverdlov
  360.                 Tiny-family (11 different variants)
  361.         Turbo-448
  362.                 Turbo Kukac
  363.         Turku (Twins)
  364.                 V2P2
  365.         VFSI (Happy)
  366.                 Vienna (several new variants)
  367.         Violator
  368.                 Virdem-792
  369.                 Voronezh
  370.         Westwood
  371.                 Wisconsin
  372.         Zero Hunt (Minnow)
  373.  
  374.     F-FCHK now does a much better job of identifying minor variants of
  375.     viruses, in particular those cases where the differences are
  376.     insignificant and do not matter with regard to disinfection. As
  377.     an example, it will now identify the minor Jerusalem-variants
  378.     (Payday, Mendoza, A-204, Puerto, Sunday, Anarkia, Westwood, B, C, G
  379.     GrLkDos etc.) correctly, instead of just labeling them "Jerusalem".
  380.  
  381.     The /LIST switch added to F-FCHK, to produce a report with a list
  382.     of files scanned, and results.
  383.  
  384.     The /MULTI switch added to F-FCHK and F-DISING to scan multiple
  385.     diskettes.
  386.  
  387.     The switches may be combined with other switches - for example
  388.     you can use
  389.  
  390.         F-DISINF A: /MULTI /AUTO
  391.  
  392.     if you have a large pile of infected diskettes or
  393.  
  394.         F-FCHK C: /AUTO /LIST > report.lis
  395.  
  396.     to scan and disinfect drive C: and produce a report.
  397.  
  398.     The following bugs/problems have been fixed:
  399.  
  400.         The identification string for "Zero Bug" has been changed
  401.         as it produced a false positive in LB.COM from Lahey and
  402.         several other programs.
  403.  
  404.         F-FCHK now reports the correct number of files disinfected,
  405.         when files are infected with multiple viruses.
  406.  
  407.         Occasional (but very rare) crashes of F-XLOCK and F-FCHK
  408.         if F-LOCK was not installed.
  409.  
  410.         Problems when removing "Stoned" from a hard disk formatted
  411.         under some DOS versions earlier than 3.0
  412.  
  413.         Occasional incorrect removal of Alabama.
  414.  
  415. The following problem-fixes and changes are expected in version 1.15
  416.  
  417.     Detection of Whale is not fully reliable, as I do not yet have
  418.     samples of all the different mutations of the virus.  This is not
  419.     a serious problem, as the virus is not known to exist "in the wild",
  420.     but I am working on this.
  421.  
  422.     F-DRIVER.SYS seems to be disabled on some machines running PC-NFS.
  423.     This was only discovered yesterday, and I am searching for a way to
  424.     solve this.
  425.  
  426.     Automatic scanning of boot sectors will be added in 1.15.
  427.  
  428. ------------------------------
  429.  
  430. Date:    Mon, 21 Jan 91 10:11:46 +0000
  431. From:    frisk@rhi.hi.is (Fridrik Skulason)
  432. Subject: Processor-specific viruses and other subjects (PC)
  433.  
  434.             Processor-specific viruses
  435.  
  436. When the first viruses appeared, some of them were discovered to work
  437. only on 8088/8086 but not on '286 or '386 computers.  The best example
  438. of this are two early boot-sector viruses:
  439.  
  440.     Ping-Pong (Italian, Bouncing Ball) - the standard version uses
  441.     the MOV CS,AX instruction which only exists on 8088 and 8086.
  442.  
  443.     Alameda (Yale) - The first version used the POP CS instruction,
  444.     for the same purpose - which also generates an "invalid instruction"
  445.     interrupt on later processors.
  446.  
  447. The reason for this was assumed to be that the authors of the viruses
  448. only had access to an 8088/8086 computer.
  449.  
  450. Now we have a different, but equally interesting situation.  One of
  451. the recent viruses from Eastern Europe fails to execute on the 8088
  452. and 8086 processors, but works perfectly on a '386.  The reaon is its
  453. use of the PUSH IMMEDIATE instruction (hex opcode 68), which did not
  454. exixt on the 8088/86.  The author of this otherwise non-remarkable 492
  455. byte virus can therefore safely be assumed to have access to a more
  456. powerful computer than the virus writers two years ago... :-)
  457.  
  458.             Translations wanted....
  459.  
  460. From the Bebe virus comes this text - what does it mean - and what
  461. language is this ?
  462.  
  463.      VIRUS!      Skagi "bebe"    Fig Tebe !
  464.  
  465. The MLTI virus contains this text - clearly a reference to the "Eddie"
  466. virus, but what does "RED DIAVOLYATA" mean ?  (I want to emphasize
  467. that "Dark Avenger" is the name of the author of the "Eddie" virus -
  468. not the name of the virus itself.)
  469.  
  470.     Eddie die somewhere in time!
  471.     This programm was written in the city of Prostokwashino
  472.     (C) 1990   RED DIAVOLYATA
  473.     Hello! MLTI!
  474.  
  475. From the POLIMER comes this text - is this Polish ? And what does it
  476. mean ?
  477.  
  478.         A le'jobb kazetta a POLIMER kazetta !   Vegye ezt !
  479.  
  480. ------------------------------
  481.  
  482. End of VIRUS-L Digest [Volume 4 Issue 13]
  483. *****************************************
  484.