home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_017.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  23.5 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #17
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Wednesday, 30 Jan 1991    Volume 4 : Issue 17
  9.  
  10. Today's Topics:
  11.  
  12. Re: Text in MLTI Virus (PC)
  13. Query - Disinfectant vs. Virex (Mac)
  14. Problems installing F-PROT 1.14 (PC)
  15. Anti-Viral Utilities (PC)
  16. Virus Guidelines
  17. Update on GAME2 (IBM VM/CMS)
  18. SimWare 3.1 (Mac)
  19. Re: Review of SCAN (PC)
  20. Hungarian text in virus (PC)
  21. Nimbus machines and viruses ? (PC)
  22. Re: Processor-specific viruses and other subjects (PC)
  23. Re: Need OTS Virus package (UNIX)
  24. Re: RSCS Protection (IBM VM/CMS)
  25. Word Perfect and change checkers (PC?)
  26. Updating Disinfectant (Mac)
  27. Re: Problem with F-Prot 1.14 (PC)
  28. Possible bug in FPROT 1.14? (PC)
  29.  
  30. VIRUS-L is a moderated, digested mail forum for discussing computer
  31. virus issues; comp.virus is a non-digested Usenet counterpart.
  32. Discussions are not limited to any one hardware/software platform -
  33. diversity is welcomed.  Contributions should be relevant, concise,
  34. polite, etc.  Please sign submissions with your real name.  Send
  35. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  36. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  37. anti-virus, documentation, and back-issue archives is distributed
  38. periodically on the list.  Administrative mail (comments, suggestions,
  39. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  40.  
  41.    Ken van Wyk
  42.  
  43. ---------------------------------------------------------------------------
  44.  
  45. Date:    Mon, 28 Jan 91 09:02:18 -0700
  46. From:    DGB@BNOS.BLDRDOC.GOV
  47. Subject: Re: Text in MLTI Virus (PC)
  48.  
  49. Regarding the discussion about "Eddie," I have always associated the
  50. phrase,
  51.   "Eddie die somewhere in time"
  52. along with the action of randomly picking a location to kill with the
  53. book Slaughterhouse 5 by Kurt Vonnegut Jr, where the hero has become
  54. unstuck in time.
  55.  
  56. Am I alone?
  57.  
  58. Regards,
  59. Dave Beausang
  60.  
  61. Bell:      (303)497-5174
  62. BITNet:    DGB@NISTCS2.BITNet
  63. Internet:  DGB@BNOS.BLDRDOC.GOV
  64.  
  65. The opinions expressed herein are not necessarily those of my employer;
  66. and upon futher reflection they may no longer be mine.
  67.  
  68. ------------------------------
  69.  
  70. Date:    Mon, 28 Jan 91 15:42:40 +0000
  71. From:    Mr Gordon S Byron <gsb1@forth.stirling.ac.uk>
  72. Subject: Query - Disinfectant vs. Virex (Mac)
  73.  
  74. how do you rate SAM 6 in relation to the two under discussion. curious
  75. as we've recently got a site license for it. Wnat to know if we've
  76. been silly.
  77.  
  78. *******************************************************************************
  79. Snailmail: Gordon Byron,  Arts Computing Advisor,Pathfoot Building,
  80. University of Stirling,FK9 4LA  Stirling, Scotland, UK.
  81. Voice:  Phone: 0786 73171: Ext 7266  FAX +78651335
  82. *******************************************************************************
  83.  
  84. ------------------------------
  85.  
  86. Date:    Mon, 28 Jan 91 15:52:19 +0700
  87. From:    "J.C. Kohler" <csw76@seq1.keele.ac.uk>
  88. Subject: Problems installing F-PROT 1.14 (PC)
  89.  
  90. I encountered a small problem while I was installing f-prot 1.14. 
  91.  
  92. When I tried f-flock *.* in my wordperfect directory, it couldn't lock
  93. a number of files, one of them was wp.exe. Since this is the most used
  94. file of wordperfect, it is important that it is kept locked. The error
  95. message from f-flock looks something like 'unable to lock wp.exe,
  96. invalid header'.
  97.  
  98. I'm using Wordperfect 5.1 dutch version. Anybody has an idea to solve
  99. this problem
  100.  
  101. Thanks in advance
  102. Christian
  103.  
  104. - -- 
  105. [J.] Christian Kohler
  106. Keele university, United Kingdom
  107. JANET    : csw76@uk.ac.keele.seq1
  108. INTERNET : csw76%keele.ac.uk@nsfnet-relay.ac.uk
  109. BITNET   : csw76%keele.ac.uk@ukacrl
  110. UUCP     : ..!ukc!keele!csw76
  111.  
  112. ------------------------------
  113.  
  114. Date:    28 January, 1991 
  115. From:    Padgett Peterson <padgett@tccslr.dnet@uvs1.orl.mmc.com>
  116. Subject: Anti-Viral Utilities (PC)
  117.  
  118.     For some time I have been debating whether or not to mention a
  119. possibility concerning the spread of Partition Table/Boot Sector
  120. infections lest anyone get ideas. Watching the postings lately leads
  121. me to think that possibly it has already happened.
  122.  
  123.     In short, it would be trivial to write a trojan or virus that
  124. would place a P-Table or BSI on a machine. At the moment, I suspect that
  125. in the interest of speed, signature scanning routines only look for these
  126. infections in memory and in the partition table and boot sector and not
  127. inside executables.
  128.  
  129.     For this reason, I would suggest that people experiencing multiple
  130. unexplainable infections utilize Mr. McAfee's new extension to SCAN and
  131. check all executables for a random code sequence taken from such an infection.
  132.  
  133.     As some of you know, I have been experimenting with anti-viral
  134. routines implanted in the partition table of the fixed disk and have
  135. become convinced that effective protection against malicious software
  136. MUST include such programs. So far the technique has proven equally
  137. effective against both "stealth" and non-"stealth" software.
  138.  
  139.     Used in conjunction with any number of authentication programs
  140. specific to the operating system (is effective with MS-DOS, and should
  141. be equally effective on an OS/2 or unix platform with an IBM-type
  142. BIOS) it can detect (only hardware can block) infections carried on
  143. the boot sector of a floppy immediately (before DOS loads), can block
  144. any later attempt at infection of the partition table or boot sector,
  145. and can provide an authenticatable path to the disk for other routines
  146. loaded later.
  147.  
  148.     Interestingly, the technique started out as a password
  149. protection scheme to protect fixed disks from intrusion. The full
  150. capability just fell out in testing.
  151.  
  152.                         Padgett
  153.  
  154. ------------------------------
  155.  
  156. Date:    Mon, 28 Jan 91 11:51:57 -0700
  157. From:    rtravsky@CORRAL.UWyo.Edu (Richard W Travsky)
  158. Subject: Virus Guidelines
  159.  
  160. Below are some draft virus guidelines we're chewing over at our site
  161. (the University of Wyoming).  So far we've been real lucky and not had
  162. a real problem with viruses; lately tho things have picking up. As
  163. this list is very specific to our site, I'll stick explanatory notes
  164. after some items.  I'm posting this for the benefit of those in
  165. similar circumstances or to elicit comment from those who've already
  166. been around the track a few times, as it were.  (I use "should be" and
  167. "will be" below to distinguish between things that WILL be done no
  168. matter what and things that should be done [but might not, matter is
  169. still open to debate here].)
  170.  
  171.  1. Viral Software
  172.     a. Viral scanning/cleaning software will not be used unless the
  173.        accompanying documentation has been read by the support person
  174.        doing the scan/cleanup.
  175.     b. Viral scanning/cleaning software should be kept reasonably up to date.
  176. [As stated,  we've had fairly low virus activity,  so being up to date with
  177. the latest is not real important - yet.]
  178.     c. More than software product should be used for cross checking purposes.
  179.     d. After removal of a virus,  the machine/disk should be re-scanned to
  180.        verify removal.
  181.  
  182.  2. Maintenance
  183. [We maintenance machines owned by the University as well as those in the
  184. student labs.]
  185.     a. All incoming machines should be checked for infection.
  186.     b. All returning spares will be checked for infection.
  187. [We supply spares when possible so that the user is able to continue working.]
  188.     c. All diagnostic disks will have write protect tabs.
  189.     d. If software is being restored to someone's machine (like a backup,
  190.        format,  and then a restore) the disks should be checked for infection.
  191.  
  192.  3. Installs
  193. [We install software - like PC SAS - on users' machines.
  194.     a. When possible,  install disks will have write protect tabs.
  195.     b. When write protect tabs can not be used,  the install disks will be
  196.        checked for infection upon return.
  197. [Some software,  like dBase 4 we found,  writes to the install floppy during
  198. installation.]
  199.     c. User's machine should be checked for infection.
  200. [This would take care of b .]
  201.  
  202.  4. Rentals,  Loaners
  203. [We provide rentals and loaners upon occaision.]
  204.     All rentals and loaned machines/software (for example, Lap Link) will be
  205.     checked for infection upon return.
  206.  
  207.  5. Public access IT machines (Labs, OWA) with hard disks
  208.     Machines such as these should be checked periodically for infection.
  209.     Ideally,  some resident software (preferably a TSR) should be in place
  210.     to help detect and prevent infection.  The question of requiring users
  211.     to check their disks before insertion should be left open for the time
  212.     being.
  213.  
  214.  6. User Support
  215.     a. User Support staff should periodically check their machines for
  216.        infection.
  217.     b. Users bringing in disks for aid should have said disks checked;  barring
  218.        that the machine used to help them should be checked when done.
  219. [People often bring in disks that are hammered or the software is not working
  220. right for some reason (bad Word Perfect printer files,  for example.)]
  221.  
  222. Richard Travsky                        Bitnet:   RTRAVSKY @ UWYO
  223. Division of Information Technology     Internet: RTRAVSKY @ CORRAL.UWYO.EDU
  224. University of Wyoming                  (307) 766 - 3663 / 3668
  225.  
  226. ------------------------------
  227.  
  228. Date:    Mon, 28 Jan 91 11:21:00 -0800
  229. From:    "R N Hathhorn, VM Systems Support" <SYSMAINT@PCCVM.BITNET>
  230. Subject: Update on GAME2 (IBM VM/CMS)
  231.  
  232. Activity on this worm has slowed down, but a report from TREARN
  233. indicates that it is still alive, at least on that node and probably
  234. others. I have updated the file GAME2 COMMENTS on LISTSERV@PCCVM with
  235. the latest information available.
  236.  
  237. I am still in need of a 'dis-assembler' program for further
  238. investigation of this and other viri/worms. Your assistance is
  239. requested.
  240.  
  241. +---------------------------------------------+-------------------------------+
  242. |                                             |                               |
  243. |   Russell N. Hathhorn, VM Systems Support   |  BITNET: SYSMAINT@PCCVM       |
  244. |   Portland Community College                |                               |
  245. |   Computer Services Department, CC B27c     |  COMPU$ERVE: 76636,1036       |
  246. |   P. O. Box 19000                           |                               |
  247. |   12000 S. W. 49th. Avenue                  |  Voice: (503) 244-6111 x 4705 |
  248. |   Portland, Oregon  97219-0990              |  FAX: (503) 452-4947          |
  249. |                                             |                               |
  250. +-----------------------------------------------------------------------------+
  251.  
  252. ------------------------------
  253.  
  254. Date:    Mon, 28 Jan 91 16:52:31 -0600
  255. From:    THE GAR <GLWARNER@SAMFORD.BITNET>
  256. Subject: SimWare 3.1 (Mac)
  257.  
  258. I just ran SAM on my Mac, because someone was using it over the
  259. weekend, and I don't know what they did.  I was told that my desktop
  260. was infected with WDEF.  This bothered me, so I contacted the person
  261. who had been using it.
  262.  
  263. They said that they had only used my hard drive to type a memo in MS
  264. WORD and print it, and they had then deleted the file.
  265.  
  266. So I started checking all the disks that I have received from
  267. "unknown" sources this month (a SAM scan on Jan 5 had been clean).
  268.  
  269. I of course suspected disks first where someone had said "Hey, here's
  270. some cool game/sound/graphic".  All of them were clean.  I then began
  271. to check "legitimate" software.  White Knight's new ScreenShare, and
  272. MacKeymeleon II, both of which I received un-solicited, were clean,
  273.  
  274. BUT . . . SIMWARE's "SimMac 3.1 Application Disk" (Master Program),
  275. which I received on or about Jan 11 was infected!  SAM reports that it
  276. was last altered on 12/21/90 at 12:55 PM.  This INFURIATES me, as I
  277. had up until today always trusted the programs that come straight from
  278. the manufacturer sealed in the "Read Carefully BEFORE Opening" license
  279. envelope!
  280.  
  281. Just thought someone out there might want to know.
  282.  
  283.  /++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++\
  284. !  Later        +   Systems Programmer                                 !
  285. !  Gary Warner  +   Samford University Computer Services               !
  286. !               +   II TIMOTHY 2:15                                    !
  287.  \+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++/
  288.  
  289. ------------------------------
  290.  
  291. Date:    28 Jan 91 23:38:30 +0000
  292. From:    gt1546c@prism.gatech.edu (Gatliff, William A.)
  293. Subject: Re: Review of SCAN (PC)
  294.  
  295. Pardon my input into something I know very little about, but I
  296. have a question/comment:
  297. I have observed that, according to a lot of the posts in this
  298. newsgroup, many of these viri infect the boot sector of a disk.
  299.  
  300. To help combat this, what would be the possibility of 'delibrately'
  301. infecting ones boot-sector with a piece of code that would display
  302. some kind of 'ok' message if it hadn't been tampered with?
  303.  
  304. For example, as the computer goes to boot, it loads the boot sector
  305. and prints something like 'All is ok as of ...<maybe insert a date
  306. here.> as instructed by the program that lies there (the one I *put*
  307. there.)  Ok.  Now, if the user doesn't see that message when he boots,
  308. he can suspect that all is not ok.  Maybe this piece of code would run
  309. some kind of check on itself to be sure it hadn't been relocated or
  310. something...
  311.  
  312. This is just a brief flash of insight I had, I'm *not* a programmer
  313. or anything.  Would this be a helpful tool in the war against viruses?
  314.  
  315. I would like to add that even within the very short amount of time I have
  316. spent reading this newsgroup I have been impressed with the amount
  317. that you guys seem to know about these animals.  It makes me feel
  318. good that there are a number of obviously very capable dudes/dude-etts
  319. working on the side of those who need protection from these creatures.
  320. b.g.
  321.  
  322. ------------------------------
  323.  
  324. Date:    Tue, 29 Jan 91 12:43:04 +0000
  325. From:    Anthony Appleyard <XPUM04@prime-a.central-services.umist.ac.uk>
  326. Subject: Hungarian text in virus (PC)
  327.  
  328. This text in the POLIMER PC virus: "A le'jobb kazetta a  POLIMER  kaz!"  is
  329. Hungarian  for  "The best case/casette is the POLIMER case/casette! This is
  330. mixed/chemical!".
  331. {A.Appleyard} (email: APPLEYARD@UK.AC.UMIST), Tue, 29 Jan 91 12:38:20 GMT
  332.  
  333. ------------------------------
  334.  
  335. Date:    Tue, 29 Jan 91 12:42:09 +0000
  336. From:    Aidan Saunders <A.C.G.Saunders@newcastle.ac.uk>
  337. Subject: Nimbus machines and viruses ? (PC)
  338.  
  339. Hi there!
  340.  
  341. A friend of mine is responsible for a network of RM Nimbus machines.
  342. So far they have not had any problems with viruses (at least, not that
  343. they know about!) These machines behave largely as PCs (so I'm told)
  344. but for some applications need to use an IBM-emulator.  So, a couple
  345. of questions:
  346.  
  347.   1)  Are Nimbus machines susceptible to 'normal' PC viruses?
  348.   2)  Are there any viruses specific to Nimbuses?
  349.  
  350. If anyone has any experience of viruses and Nimbuses (or should that
  351. be virii and Nimbii :-) ), I would be most interested to hear from
  352. you.
  353.  
  354. Thanks,
  355.  
  356. Aidan
  357.  
  358. - ----------------------------------------------
  359. ARPA :: a.c.g.saunders@newcastle.ac.uk
  360. UUCP :: ...!ukc!newcastle.ac.uk!a.c.g.saunders
  361. - ----------------------------------------------
  362.  
  363. ------------------------------
  364.  
  365. Date:    29 Jan 91 17:10:51 +0000
  366. From:    tbeke@phoenix.princeton.edu (Tibor Beke)
  367. Subject: Re: Processor-specific viruses and other subjects (PC)
  368.  
  369. KLUB@MARISTB (Richard Budd) writes:
  370. >frisk@rhi.hi.is (Fridrik Skulason)writes in VIRUS-L V4 #13:
  371. >>From the POLIMER comes this text - is this Polish ? And what does it
  372. >>mean ?
  373. >
  374. >>        A le'jobb kazetta a POLIMER kazetta !   Vegye ezt !
  375. >
  376. >The last sentence looks like Magyar (Hungarian).  I've had some
  377.  
  378. It is Hungarian, indeed, and reads:
  379.  
  380.           POLIMER brand casettes are simply the best!  Go for them!
  381.  
  382. Incidentally, this brand is by far the worst anybody, even in the East
  383. Bloc, could have conjured up.
  384.  
  385.         Tibor Beke (Beke Tibor, tinektek magyaroknak)
  386.         a Hungarian citizen who miraculously got full undergraduate
  387.         scholarship
  388.   -:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:
  389.   There is something fascinating about science. One gets such wholesome
  390. returns of conjecture out of such a trifling investment of fact.
  391.                                               Mark Twain
  392.  
  393. Disclaimer: one thing i can trust is my absentmindedne
  394.  
  395. ------------------------------
  396.  
  397. Date:    29 Jan 91 19:59:12 +0000
  398. From:    bryden@chopin.udel.edu (Chris Bryden)
  399. Subject: Re: Need OTS Virus package (UNIX)
  400.  
  401. limes@Eng.Sun.COM (Greg Limes) writes:
  402. }ssdc!jbasara@uunet.UU.NET (jim basara) writes:
  403. }|> I would like to request recommendations for off-the-shelf packages
  404. }|> which will prevent/isolate/monitor/etc. viruses on a Sun workstation
  405. }|> under unix.
  406. }
  407. }Occasionally, I see people asking about such things on this list and
  408. }elsewhere, and I am underwhelmed by the amount of information that
  409. }therefore appears on the net.
  410. }
  411. }Has anyone ever actually SEEN a "virus" on a UNIX box? And, don't tell
  412. }me about worms, that's a different matter ... I am specificly looking
  413. }for information about programs that propogate by modifying other
  414. }programs.
  415.  
  416. You bet.  _Abacus_ had a fairly lengthy series of articles on unix
  417. style viruses.  The author of the article wrote a fairly simple virus
  418. and advertized the existance of deseriable programs he had sitting
  419. around.  Within a week, the virus had spread to the farthest reaches
  420. of the disk on an exerimental machine.
  421.  
  422. }My background as an operating systems programmer at Sun leads me to
  423. }believe that such virii would be more difficult and less rewarding for
  424. }Joe Virus-Writer to create, and easier to protect against using
  425. }mechanisms available in the system, but it might be nice if I could
  426. }have some backing information that I could give when people ask me
  427. }about such things ...
  428.  
  429. I'm surprised.  Does the word "crt0" mean anything to you?  Break a
  430. fairly mundain security hole, learn some assembly, and wait for the
  431. next big rebuild.  Complicated by the fact that most sites with a
  432. source license get their updates in the form of source code, we're
  433. talking about a major hole in Unix.  In fact, if you don't know when
  434. the bug was introduced, you may have to go back several operating
  435. system revisions to get back to "normal".
  436.  
  437. And, hey, I'm not even going to start talking about packet scanners on
  438. a network that has NFS traffic.  At some point, the distinction
  439. between virus, worm and trojan horse break down.  Has anybody seen a
  440. formal specification that delineates the difference between each?
  441. Ever wonder why?
  442.  
  443. I saw a Unix virus long before I ever saw a PC virus.
  444.  
  445. Chris
  446. - -- 
  447. {gateway}!udel!brahms!bryden | I am a direct result of the policies and actions
  448. bryden@udel.edu 302-451-6339 | that are endorsed by the University of Delaware.
  449.  
  450. ------------------------------
  451.  
  452. Date:    Tue, 29 Jan 91 16:06:31 -0600
  453. From:    Jon Eidson <EIDSON@TCUBVM.BITNET>
  454. Subject: Re: RSCS Protection (IBM VM/CMS)
  455.  
  456. I wrote such an exec just the other day when the CMS worm was
  457. announced the other day.  I lists out all rdr files with at file type
  458. of "EXEC" or "MODULE" and I run it periodically.
  459.  
  460. Fortunately, the only occurance of the "GAME2" worm came to one for
  461. our VAX/VMS user ... of course it couldn't go any furthers.
  462.  
  463. I'll be happy to post the REXX programs if anyone desires.
  464.  
  465. Jon Eidson
  466. Senior Systems Programmer
  467. Texas Christian University
  468.  
  469. ------------------------------
  470.  
  471. Date:    Tue, 29 Jan 91 12:11:36 -0800
  472. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  473. Subject: Word Perfect and change checkers (PC?)
  474.  
  475. csw76@seq1.keele.ac.uk (J.C. Kohler) writes:
  476.  
  477. > I'm using a Dutch version of WP 5.1, does anybody has an ideay why
  478. > F-XLOCK can't lock them, it displays an error message, which contains
  479. > something about a illegal header.
  480.  
  481. All versions of Word Perfect (at least since 4.2) have had a self
  482. testing module on them.  Neither F-XLOCK nor SCAN /AV nor any other
  483. slef checker that adds code to the program can be used on it, since
  484. the added code invalidates the internal self test.
  485.  
  486. ------------------------------
  487.  
  488. Date:    Wed, 30 Jan 91 01:54:41 -0500
  489. From:    Eric Weisberg <WEISBERG@SUVM.BITNET>
  490. Subject: Updating Disinfectant (Mac)
  491.  
  492. To Whom It May Concern,
  493. I was given this address by someone at Syrcause University.  I am interested
  494. in getting iformation about the Virus Package Update Server.  I quess that's
  495. what it's called?  Anyways, I am in charge of kepping quite a few Macintoshes
  496. virus free, and I would like to always have the latest version of Disinfectant.
  497. The SU Computing Services is still passing out version 2.0 and when I last got
  498. a copy from a friend it was 2.4. -- That's why I have gone in search of a
  499. better source.
  500.  
  501. If you could tell me where I can always download the latest version or pay to
  502. get it in the mail I would be most thankful.  If this is not the place to get
  503. this information could you please help direct me to the person or people who
  504. can give it to me.
  505.  
  506. Thanx,
  507. Eric Weisberg
  508.  
  509. ------------------------------
  510.  
  511. Date:    30 Jan 91 11:55:51 +0000
  512. From:    frisk@rhi.hi.is (Fridrik Skulason)
  513. Subject: Re: Problem with F-Prot 1.14 (PC)
  514.  
  515. csw76@seq1.keele.ac.uk (J.C. Kohler) writes:
  516. >I installed the new version of F-PROT (1.14) today and I encountered a
  517. >small problem. When I tried to do a F-XLOCK *.* in my WordPerfect
  518. >directory, there were many files which it couldn't protect.
  519.  
  520. This problem is a side-effect of the correction of another problem.
  521. Here is what happened:
  522.  
  523. The "length" of EXE files can be defined in two ways - the actual (physical)
  524. length of the file, and the length according to the header.  Case in point:
  525.  
  526. Turbo C++ is an 800K file, but according to the header it is only 165K long.
  527. When it is executed, only 165K are loaded into memory, but the program may
  528. later load parts of itself as necessary.
  529.  
  530. Using F-XLOCK (to add automatic detection of infection of unknown viruses)
  531. involves adding a small module to the end of the file.  If Turbo C++ was
  532. F-XLOCKed in this way, it would not run, as the resulting length of the file
  533. was 800K (according to the header), and the file just could not be loaded
  534. into memory.
  535.  
  536. For this reason, I decided to prevent F-XLOCK from adding the module to EXE
  537. files, if the actual length was different from the length, according to
  538. the header.
  539.  
  540. But, in many cases the difference between the two "lengths" is small, and
  541. adding the module has no undesirable effect - I plan to change F-XLOCK a
  542. bit in the next version, and will try to improve this.
  543.  
  544. - -frisk
  545.  
  546. ------------------------------
  547.  
  548. Date:    Wed, 30 Jan 91 09:31:38 -0500
  549. From:    Paul D. Shan <PDS2@PSUVM.PSU.EDU>
  550. Subject: Possible bug in FPROT 1.14? (PC)
  551.  
  552. I recently obtained a copy of F-PROT 1.14.  As timing would have it,
  553. we also had a staff member from another department come in with a
  554. virus on his disk.  By checking the file with Norton Utilities and the
  555. VIRUSSUM.DOC file, I knew that it was the Sunday virus.  So I ran
  556. F-FCHK against that disk, and sure enough it found the Sunday virus.
  557. I answered YES when it asked if I wanted to disinfect the file, but it
  558. said that it could not disinfect the virus because it looked like a
  559. new strain.
  560.  
  561. Not liking that answer, I ran McAfee's CLEAN 72 just to see if it
  562. would work.  Indeed it did work and the virus was removed.
  563.  
  564. Has anyone else discovered any problems like this one?
  565.  
  566. Thank you!
  567.  
  568. Paul D. Shan
  569. Microcomputer and Personal Workstation Support
  570. Center for Academic Computing
  571. 12 Willard Building
  572. University Park, PA  16802
  573. (814) 863-4356
  574. PDS2@PSUVM.psu.edu
  575.  
  576. ------------------------------
  577.  
  578. End of VIRUS-L Digest [Volume 4 Issue 17]
  579. *****************************************
  580.