home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_029.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  26.4 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #29
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Tuesday, 19 Feb 1991    Volume 4 : Issue 29
  9.  
  10. Today's Topics:
  11.  
  12. Virus or DOS clash ? (PC)
  13. Mouse working while PC goes crazy - explanation (PC)
  14. more on 'Virus Protection and Universities'
  15. Re: Disinfecting an AppleShare File Server (Mac)
  16. Information on the "Stoned Virus" (PC)
  17. Re: Reporter seeks help on story about a Mac virus (Mac)
  18. STONED virus (PC)
  19. Re: Observation On An Observation
  20. Re: STONED virus/ McAfee Associates (PC)
  21. Viruses and Comics
  22. MS-DOS anti-virals uploaded to SIMTEL20
  23. Protection Model (PC)
  24. Re: VAX/VMS and Viruses
  25. The virus-ability of a machine...
  26. Repair Shops
  27. Re: Viruses in text files
  28. Re: Request for info on the Ohio virus (PC)
  29. Re: Virus Protection and Universities
  30.  
  31. VIRUS-L is a moderated, digested mail forum for discussing computer
  32. virus issues; comp.virus is a non-digested Usenet counterpart.
  33. Discussions are not limited to any one hardware/software platform -
  34. diversity is welcomed.  Contributions should be relevant, concise,
  35. polite, etc.  Please sign submissions with your real name.  Send
  36. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  37. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  38. anti-virus, documentation, and back-issue archives is distributed
  39. periodically on the list.  Administrative mail (comments, suggestions,
  40. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  41.  
  42.    Ken van Wyk
  43.  
  44. ---------------------------------------------------------------------------
  45.  
  46. Date:    Fri, 15 Feb 91 18:13:00 +0100
  47. From:    "Olivier M.J. Crepin-Leblond" <UMEEB37@VAXA.CC.IMPERIAL.AC.UK>
  48. Subject: Virus or DOS clash ? (PC)
  49.  
  50.     A strange file has started appearing on some of the disks
  51. of one student over here. Although I do not think that it is a virus,
  52. I have remote fears that it could be. Having never come across this
  53. phenomenon before, could someone please enlighten me about the
  54. causes of the event:
  55.  
  56. The file appears in the directory listing of 5 1/4in floppies:
  57.  
  58. <delta>4<e-accent>MSDOS   3.3    0    15-00-80   12:00a
  59.  
  60. where:
  61.  
  62. <delta> is the delta sign
  63. <e-accent> is a capital E with an accent over it
  64.  
  65.  
  66. I unfortunately have not got a copy of any anti-viral programs in
  67. my hand at the moment (it's friday evening [...]). So I do not know
  68. it this happening is actually recognised as a virus or not.
  69.  
  70. My guess would be some clash between MSDos 3.3 format and 4.1 format.
  71.  
  72. Olivier M.J. Crepin-Leblond,     Internet: <umeeb37@vaxa.cc.ic.ac.uk>
  73. Communications & Signal Processing , Electrical Engineering Dept.,
  74. Imperial College of Science, Technology and Medicine, London, UK.
  75. >> If nothing else works: take disk. take knife, use knife on disk.
  76.  
  77. ------------------------------
  78.  
  79. Date:    Fri, 15 Feb 91 22:08:27 +0000
  80. From:    Rotan <HANRAH88@IRLEARN.BITNET>
  81. Subject: Mouse working while PC goes crazy - explanation (PC)
  82.  
  83. Mikael Lindberg Mortensen recently described a problem where a PC
  84. appeared to crash in a peculiar manner, leaving the keyboard locked
  85. and the speaker making beeping noises. Since the mouse appeared to
  86. remain operational, it was suspected that a virus had in some manner
  87. *partially* disabled the PC.
  88.  
  89. Let me point out that most mouse device handlers (software to manage
  90. the low level operations of i/o devices, such as movement or button
  91. operation) are interrupt driven and so, if the interupt and its
  92. associated software remain intact in memory, it is quite possible for
  93. peripheral devices to exhibit normal behaviour despite a primary
  94. system failure. I cannot speculate on the cause of Mikael's PC crash
  95. (it might just have been an electrostatic discharge) but as I have
  96. illustrated, the survival of the mouse does not mean that the PC
  97. remains operational and certainly does not prove the presence of a
  98. viral infection.
  99.  
  100. - --- Rotan Hanrahan, Department of Computer Science, UCD, Ireland.
  101.  
  102. ------------------------------
  103.  
  104. Date:    Fri, 15 Feb 91 16:32:05 -0600
  105. From:    Fred Davidson <DAVIDSON@vmd.cso.uiuc.edu>
  106. Subject: more on 'Virus Protection and Universities'
  107.  
  108. An interesting thing on this topic, protecting against viruses at
  109. universities, is the policy in the quasi-public micro lab in the
  110. basement of my building.  It has about 15 MACs and about 15 PCs.  Upon
  111. entering, there is a MAC Plus with an external drive at the monitor's
  112. desk.  The external drive has a big note taped to the top of it:
  113. "Check All Mac Disks For Viruses".  If you come in and use a MAC, when
  114. you sign in, you are supposed to check any disk you bring for MAC
  115. viruses.  What is odd is that there is no such requirement for users
  116. of the PCs.  Does this reflect the statistical proportions of viruses
  117. in the real world?  More on MACs than on PCs?
  118.  
  119. ------------------------------
  120.  
  121. Date:    Fri, 15 Feb 91 17:07:57 -0600
  122. From:    jln@casbah.acns.nwu.edu (John Norstad)
  123. Subject: Re: Disinfecting an AppleShare File Server (Mac)
  124.  
  125. Jim Fish writes:
  126.  
  127. >Can anyone give me some advice on how to disinfect an Appleshare
  128. >fileserver and protect it from further infection?
  129.  
  130. I go into great detail on this issue in my Disinfectant online manual.  See
  131. especially the section titled "Recommendations."
  132.  
  133. John Norstad
  134. Academic Computing and Network Services
  135. Northwestern University
  136. jln@casbah.acns.nwu.edu
  137.  
  138. ------------------------------
  139.  
  140. Date:    Fri, 15 Feb 91 16:28:22 -0500
  141. From:    Scott Morgan <SMORGAN@FSUAVM.BITNET>
  142. Subject: Information on the "Stoned Virus" (PC)
  143.  
  144. Felow Networkers,
  145.  
  146. Recently we have had a student on campus here contract the Stoned
  147. virus on her floppy disk.  Well, it sent a shock wave through most of
  148. our students and staffs who use our computers, to say the least.
  149.  
  150. Not knowing very much about this particular virus, I was wondering if
  151. anyone on this list could provide me with some info on it (prevention,
  152. eradication, etc.).  Any info would be greatly appreciated.
  153.  
  154. Thanks,
  155.  
  156. Scott Morgan
  157. Programmer/Analyst
  158. Florida State University
  159. Panama City Campus
  160. BITNET: SMORGAN@FSUAVM
  161.  
  162. ------------------------------
  163.  
  164. Date:    Fri, 15 Feb 91 17:40:34 -0500
  165. From:    fasfax!ross@cert.sei.cmu.edu
  166. Subject: Re: Reporter seeks help on story about a Mac virus (Mac)
  167.  
  168. ... background info deleted...
  169.  
  170.  
  171. >So, does anybody know what kind of virus this might be and how common
  172. >it is? 
  173.  
  174. Viruses are in general more common that people would like to think.  I
  175. am in general responsible for security on machines other than Mac's,
  176. unix mostly, but have enough years in this that I can perhaps give you
  177. a different perspective from your other replies.
  178.  
  179. >And is it true that Mac viruses are easier to write than PC
  180. >ones (one of our PC people told me that; maybe she's biased :-) ). 
  181.  
  182. It's not a question of Bias, the mac system is very powerful, but part
  183. of that power comes from openness.  Openness leaves one vulnerable.
  184. (I am generally biased against macs, with the exception of their
  185. usefullness for desktop publishing)
  186.  
  187. >And, on the Dumb Question of the Week category: how might the virus
  188. >have gotten into the network in the first place?
  189.  
  190. Someone inserted an infected disk onto a machine on the network, or
  191. that machine itself.
  192.  
  193. >I assume it would be somebody
  194. >bringing an infected disk in from home (the LAN is not tied to any other
  195. >network), but might there be other ways (short of the Dukakoids
  196. >sabotaging the system, which I doubt, given they had no idea it was going
  197. >to be used to write the budget, since they did all that on their Wangs).
  198.  
  199. Dukakoids aren't smart enough to do something like this, but I
  200. wouldn't put it past them if they knew how :-(
  201.  
  202. Ross (I don't speak for my company) Miller
  203. - -- 
  204. Ross Miller                        FasFax Corporation
  205. email:    fasfax1!ross@decvax.dec.com (until registration complete)
  206. alt-email:    ross@dino.ulowell.edu
  207.  
  208. ------------------------------
  209.  
  210. Date:    Sat, 16 Feb 91 03:59:23 +0000
  211. From:    amewalduck@trillium.uwaterloo.ca (Andrew Walduck)
  212. Subject: STONED virus (PC)
  213.  
  214. I seem to have contracted a case of the STONED virus on my PC. So...I'm
  215. looking for the following information:
  216.  
  217. 1. How to get rid of it from my machine.
  218. 2. How to ensure I can't get it from my backups.
  219. 3. How it is transmitted...    
  220. 4. How many variants are known.
  221. 5. What it does!
  222. + any other info that you think that I may need. Especially on recommended
  223. virus checkers so I don't catch another one of these!
  224.  
  225. Thanx
  226. Andrew Walduck
  227. amewaldu@orchid.uwaterloo.edu
  228.  
  229. P.S. I used to be a regular reader of this group...but haven't had time lately.
  230.      But keep up the great work...these things are a DAMNED nuisance! 
  231.  
  232. ------------------------------
  233.  
  234. Date:    16 Feb 91 15:15:04 +0000
  235. From:    frisk@rhi.hi.is (Fridrik Skulason)
  236. Subject: Re: Observation On An Observation
  237.  
  238. David Gursky    dg@titanium.mitre.org writes
  239. > At the time, the number of PC viruses numbered 23 distinct strains and
  240. > over a 100 total viruses.
  241.  
  242. That was a loooooong time ago - now we have around 150 families, and
  243. over 400 different variants - 30-40% written in Eastern Europe.
  244.  
  245. - -frisk
  246.  
  247. ------------------------------
  248.  
  249. Date:    Sat, 16 Feb 91 22:43:22 +0000
  250. From:    Wayne Robarge <augsec@uncecs.edu>
  251. Subject: Re: STONED virus/ McAfee Associates (PC)
  252.  
  253.  
  254. I have a similar problem and a question.  The McAfee Scan program has
  255. detected the Stone virus on some commercial software I just bought to
  256. run some lab equipment. I called them and they were surprised to hear
  257. about it as none of the disks they sold me were system disks yet the
  258. SCAN program says that the virus is in the boot sector. Are these
  259. disks infected or not?  If they are infected, will the virus infect
  260. other machines if I do not boot from these disks.
  261.  
  262. I am basically a Mac person but have to use an XT to run this
  263. software. The software is hanging for no apparent reson, which is why
  264. I decided to look for a vrius. Will the Stone virus cause exe files to
  265. just hang?
  266.  
  267. Thanks for any help anyone can provide.  This is a bummer situation
  268. and it looks like I'm stuck with it. By the way, I agree with the o
  269. previous comment, the McAfee software seems very nice and I will be
  270. sending in my shareware fee.
  271.  
  272. wayne robarge
  273. soil science, ncsu
  274. nsarah@ncsumvs.ncsu.edu
  275.  
  276. ------------------------------
  277.  
  278. Date:    Sat, 16 Feb 91 18:26:58 -0500
  279. From:    stanley@phoenix.com (John Stanley)
  280. Subject: Viruses and Comics
  281.  
  282.    This is marginally related, but the April issue of the Mighty Mouse
  283. comic has our hero being abducted into a computer (by a femme of the
  284. name Dot Matrix), in order to battle a computer virus. The virus looks
  285. amazingly like a worm (segmented). MM does not want anything to do
  286. with it until Dot tells him how it can escape onto the network. He
  287. finally stops it before it interfaces to the external modem juncture.
  288.  
  289.    So, how soon do we start to get drawings in THIS digest?
  290.  
  291. ------------------------------
  292.  
  293. Date:    Sun, 17 Feb 91 12:26:00 -0700
  294. From:    Keith Petersen <w8sdz@WSMR-SIMTEL20.ARMY.MIL>
  295. Subject: MS-DOS anti-virals uploaded to SIMTEL20
  296.  
  297. The following files were obtained from the McAfee BBS and uploaded to
  298. SIMTEL20:
  299.  
  300. pd1:<msdos.trojan-pro>
  301. CLEAN74B.ZIP    Universal virus disinfector, heals/removes
  302. NETSCN74.ZIP    Network compatible - scan for 217 viruses, v74
  303. SCANV74B.ZIP    VirusScan, scans disk files for 217 viruses
  304. VCOPY74.ZIP     Copy utility checks for viruses as it copies
  305. VSHLD74B.ZIP    Resident virus infection prevention program
  306.  
  307. Keith
  308. - --
  309. Keith Petersen
  310. Maintainer of SIMTEL20's MSDOS, MISC & CP/M archives [IP address 26.2.0.74]
  311. Internet: w8sdz@WSMR-SIMTEL20.Army.Mil    or     w8sdz@vela.acs.oakland.edu
  312. Uucp: uunet!wsmr-simtel20.army.mil!w8sdz              BITNET: w8sdz@OAKLAND
  313.  
  314. ------------------------------
  315.  
  316. Date:    27 February, 1991 
  317. From:    Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
  318. Subject: Protection Model (PC)
  319.  
  320. > I saw one product which seems (IMHO) to come close to this -
  321. >PC/DACS by Pyramid (note: I have no affiliation with them...).  It
  322. >provides boot protection, optional hard disk encryption (required to
  323. >prevent absolute sector access), username/password protection, file
  324. >access control, etc.
  325.  
  326. It can preclude unauthorized access to a disk but cannot prevent data
  327. destruction (only hardware can pprevent loss), Fischer's PC-Watchdog,
  328. Certus' CERTUS, and Enigma-Logic's PC-SAFE are also all good products
  329. for this function but all require administration. Weighing the
  330. tradeoffs between CIA and system effectiveness/response is always a
  331. difficult proposition.
  332.  
  333. Consider the model a "first pass" for the platform integrity
  334. maintenance that we expect from a robust OS such as VMS or MVS that
  335. does not currently exist in MS-DOS and a tool for evaluating proposed
  336. solutions rather than an end-all.
  337.  
  338. Incidently, it should not cost more than $5.00 per PC as an add-on.
  339.  
  340. - ------------------------------
  341. >From:    <wiw72@rz.UNI-KIEL.DBP.DE>
  342. >Subject: Sunday virus detection (PC)
  343. >Now my question: What is the trigger condition and
  344. >the damage effect of this virus?
  345.  
  346. The original version is supposed to trigger on any Sunday, print a
  347. little message (Today is Sunday, why do you work so hard ?), and
  348. delete all executables run. The one I have seen has a bug in it that
  349. prevents it from triggering. It is a Jerusalem variant with a 2xxx
  350. byte un-named TSR and .COM & .EXE files grow (.EXE many times).
  351.  
  352. - ------------------------------------------------------------------------
  353. >From:    jackz@izuba.ee.lbl.gov (Jack Zelver)
  354.  
  355. >Since we don't like to spend the taxpayer's money frivously (that's
  356. >YOUR money, folks!) we decided not to offer McAfee this huge windfall
  357. >for the privilege of locally distributing his software.  We ended up
  358. >negotiating a site license with IBM for their VIRSCAN software.  The
  359. >price is right for that one!
  360.  
  361. This attitude bothers me a bit considering what is being compared.
  362. Certainly, the IBM product is a reasonably good detector and is rarely
  363. more than six months out of date, but what do you do then ? Format the
  364. infected disks ? On the other hand, the McAfee utilities provide
  365. detection AND recovery capabilities as well as being able to check out
  366. a network server that is not even running DOS. You might also look
  367. into the "service license" which authorizes a limited number of
  368. technicians to use the utilities on any machine. Also part of the
  369. McAfee license includes two years of updates and on-line service help
  370. with disinfecting - IBMSCAN does not include this.
  371.  
  372. What is really wanted is a protection mechanism for the users that is
  373. like the idiot lights on a car - it tells them that SOMETHING is
  374. wrong.  Then the technician is called in with the high-powered (and
  375. tricky) tools for use in recovery. In most cases you do not want the
  376. user to "clean" his own machine because then you loose all tracking
  377. capability (and most I have seen do their own disinfecting just wind
  378. up reinfected.) Putting all of the tools on every machine is a bit
  379. like equipping every car with its own service station.
  380.  
  381. >You might consider getting virus protection packages for a few people
  382. >and put them on special write-protected system floppies.  Then they
  383. >could be moved from system to system to check for suspected
  384. >infections.
  385.  
  386. This is hat the service license is for.
  387. - ---------------------------------------------------------------------
  388. From:    rfink@eng.umd.edu (Russell A. Fink)
  389.  
  390. Many thanks to those who responded. As you recall, I had two machines
  391. with identical numbers of bad bytes on their hard drives, which made
  392. me suspect viral infection (vi).
  393.  
  394. Incidently, on my home PC there is a ST-251-1 and a ST-225. Both have four
  395. sector clusters and four "bad" heads (but different ones) consequently
  396. both report 40960 bytes in bad sectors.
  397.  
  398. Almost made it down to freezing last night - Padgett
  399.  
  400. ------------------------------
  401.  
  402. Date:    Mon, 18 Feb 91 10:53:36 +0000
  403. From:    tommyp@isy.liu.se (Tommy Pedersen)
  404. Subject: Re: VAX/VMS and Viruses
  405.  
  406. bert@medley.ssdl.com (Bert Medley) writes:
  407.  
  408. >Does anyone know of any virus protection software for VAX/VMS or UNIX
  409. >(Sun, DG Aviion, DEC ULTRIX)?  Please e-mail to bert@medley.ssdl.com
  410. >or post.  I will summarize and repost if there are answers.  I NEEDD
  411. >any answers you might can give.  Thanks in advance.
  412.  
  413. The answer is **TCell**.
  414.  
  415. My company SECTRA manufactures a system-surveillance tool called TCell
  416. which checks a unix system for different kinds of changes. The changes
  417. may have been done by an intruder, a virus or by misstake of a authorized
  418. person.
  419.  
  420. Depending on what security level the TCell administrator has put on a
  421. specific item, the system will do specific tasks like mailing owners of
  422. damaged/changed files or shutting the system down.
  423.  
  424. TCell currently is ported to sun and HP-UX, but will be ported to other
  425. unix systems or other operative systems if so desired.
  426.  
  427. /Tommy Pedersen
  428.  ________________________________________________________________
  429. |E-mail: tommyp@sectra.se        ||    Telephone: +46 13 235214  |
  430. |S-mail: Tommy Pedersen          ||          FAX: +46 13 212185  |
  431. |        SECTRA                  ||------------------------------|
  432. |        Teknikringen 2          ||                              |
  433. |        S-583 30 Linkoping      ||                              |
  434. |        SWEDEN                  ||                              |
  435. |________________________________||______________________________|
  436.  
  437. ------------------------------
  438.  
  439. Date:    18 Feb 91 10:52:07 +0000
  440. From:    lan@bucsf.bu.edu (Larry Nathanson)
  441. Subject: The virus-ability of a machine...
  442.  
  443. The basic reason why mac viruses are harder to write, is the
  444. standardization philosophy behind the mac.  First, the standardization
  445. requires learning how to use the toolbox - not an easy task for the
  446. average hack.  As was mentioned- there's a series of 5 manuals that
  447. comprise just the documentation.
  448.  
  449. Second, the standardization makes it a lot easier to spot a program
  450. pulling a fast one.  If some code tries to write to the boot sectors of
  451. a disk, by making direct low level os calls, a program like SAM will
  452. pick this up, and let the user know that something is making system
  453. calls, bypassing the file manager.  If a virus tries to use the file
  454. manager, then SAM gives a message saying something to the effect of
  455. "Pagemaker is trying to install an code resource".  If you are in the
  456. middle of loading a letter to your brother, you would hopefully note
  457. that this is not appropriate.  If you are installing a new version of
  458. pagemaker into your system, then the system call is appropriate.
  459.  
  460. On PC, there is no standardization - every program runs differently.. 
  461. It's very hard to figure out when someone is doing something they
  462. shouldn't.  
  463.  
  464. Three other major factors are the number of machines out there, the
  465. stability of the DOS, and the number of boot sources available.  The
  466. IBM is very widespread, and since most have hard drives, they get
  467. booted off of the same drive.  Also, the dos tends to be stable, and
  468. the boot sequence is long.  This discourages frequent rebooting.  The
  469. same thing on the mac- many hard drives, a stable dos, and long boot
  470. sequences.  It is not uncommon to run 5 or 6 mac programs without a
  471. reboot.  My old apple //e does not follow this pattern.  Most //e's
  472. have floppy disks, and most apple// floppies (DOS 3.3) are bootable,
  473. and boot quickly.  Also, many apple programs destroy the memory
  474. resident dos, after they have loaded.  To continue, you simply reboot
  475. the machine.  If I reboot every time I insert a new program to run, a
  476. virus is going to have a VERY hard time propagating.  
  477.  
  478.  
  479. An interesting sideline- I work in a service beureau, and we have LOADS
  480. of people who come in with a mac disk, looking for the machine to make
  481. magic happen.  They don't know anything about the mac, and DONT WANT to
  482. learn.  They just want to wave the mouse, and see 300dpi typeset magic.
  483.  So, they sign on to the machine, pop in the disk, and get a message
  484. onscreen that they have a virus.  So, of course, they make the OBVIOUS
  485. leap of logic, and decide that since they didn't get this message on
  486. their machine at home, they MUST have gotten this virus from us!!! 
  487. ARRRRGGHH!!  I've had people get outright belligerent, insisting that
  488. we are to blame!  Either that, or they decide this whole virus thing is
  489. a scam, to get them to spend more time and money on our machines. 
  490.  
  491. The danger isn't viruses- I can kill them quickly with any of half a
  492. dozen programs.  The danger is ignorance!
  493.  
  494. - --Larry
  495. - -- 
  496. // Larry Nathanson . 726 Comm Av #5J . Boston, MA 02215 . 617 266 7419 \\
  497.     I've heard they just built a tunnel from England to France.  The French
  498. drive on the right hand side, the English on the left.  Can they save
  499. money by building only one lane?
  500.  
  501. ------------------------------
  502.  
  503. Date:    Mon, 18 Feb 91 09:18:12 -0700
  504. From:    rtravsky@CORRAL.UWyo.Edu (Richard W Travsky)
  505. Subject: Repair Shops
  506.  
  507. When your site experiences a viral infestation, or has ongoing
  508. problems with viruses with no seeming lull between one outbreak and
  509. the next, do you notify local vendors? Like repair shops?  Our site, a
  510. university town, is currently being swamped with the Stoned virus.
  511. It's all over the darn place.  Since I work for the computer center
  512. here, I talked to our local vendors and warned them to check stuff
  513. (there's only four businesses that really count so it was easy).  Only
  514. one so far has said people came in thinking something was wrong with
  515. their machine when in fact it was Stoned.
  516.  
  517. I think some sort of communication is necessary between local
  518. businesses and oneself to help prevent the spread of viruses.  In case
  519. it hasn't dawned on you yet, we really haven't had much of a problem
  520. with viruses before recently, so many of the do's and don'ts aren't
  521. necessarily obvious to us.  So, comments anyone?
  522.  
  523. Richard Travsky                        Bitnet:   RTRAVSKY @ UWYO
  524. Division of Information Technology     Internet: RTRAVSKY @ CORRAL.UWYO.EDU
  525. University of Wyoming                  (307) 766 - 3663 / 3668
  526.  
  527. ------------------------------
  528.  
  529. Date:    Mon, 18 Feb 91 21:37:23 +0000
  530. From:    qualcom!news@UCSD.EDU
  531. Subject: Re: Viruses in text files
  532.  
  533. XPUM04@prime-a.central-services.umist.ac.uk (Anthony Appleyard) writes:
  534. >With reference to this message:-
  535. >From:    millerje@holst.tmc.edu (jeffrey scott miller)
  536. >..........
  537. >True. Viruses cannot infect text files, as they are never executed. Viruses
  538. >CAN look to see if a certain filetype is being accesses  (i.e.  .DBF),  but
  539. >since  there  is no executable code in a text file, there is no way a virus
  540. >can "latch" onto the file.
  541. >..........
  542. >::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
  543. >There was a long discussion in Virus-L in the past about viruses  infecting
  544. >text  files.  Some  systems and programs when reading text files treat some
  545. >character sequences as escape sequences to tell them to obey the  following
  546. >characters   specially,   e.g.  reading  them  as  binary  into  store,  or
  547. >trojanizing keyboard keys by altering what those keys do. So viruses  <can>
  548. >infect or trojanize text files.
  549.  
  550. Strictly speaking, I believe it's only a trojan, as these "ANSI bomb"s
  551. don't spread.  However, they can be rather dangerous.  Someone can add
  552. a command in one of the ubiquitous ANSI picture files to have your
  553. ENTER key redefined to format your hard disk.  I find that the best
  554. solution to this is to view them on-line from my terminal program, as
  555. these usually have their own ANSI handlers and will thwart any
  556. keyboard redefinition codes.
  557.  
  558. Be aware, though, that they can easily sneak these into README files,
  559. and you will have no way of knowing that your keyboard has been
  560. redefined unless you either don't have an ANSI driver, or it hits you.
  561.  
  562. ------------------------------
  563.  
  564. Date:    Tue, 19 Feb 91 13:19:18 +0000
  565. From:    treeves@magnus.ircc.ohio-state.edu (Terry N Reeves)
  566. Subject: Re: Request for info on the Ohio virus (PC)
  567.  
  568.     The ohio virus exists in several varieties, 5 or 6 at least. Our local
  569. varient will spread to 5.25" floppies only, does not contain any deliberately
  570. destructive code, and causes no major problems. This is reportedly true of all
  571. varieties. So far.
  572.     It is a boot sector virus, so files are not infected. In a university
  573. computer lab environment it may be easiest jut to recopy infected disks from
  574. masters and WRITE PROTECT THEM. This keeps out ALL viruses.
  575.     Disks can be cleaned up with f-prot's f-disinf.exe, or the mdisk 
  576. program. You can also copy all the files to another disk, format the disk and
  577. copy them back.  
  578.  
  579. - -- 
  580.  _____________________________________________________________________________
  581. |                   That's my story, and I'm sticking to it!                  |
  582. |_____________________________________________________________________________|
  583. | Microcomputer software support,     |  treeves@magnus.IRCC.OHIO-STATE.EDU   |
  584.  
  585. ------------------------------
  586.  
  587. Date:    Tue, 19 Feb 91 14:01:34 +0000
  588. From:    treeves@magnus.ircc.ohio-state.edu (Terry N Reeves)
  589. Subject: Re: Virus Protection and Universities
  590.  
  591. JS05STAF%MIAMIU.BITNET@OHSTVMA.IRCC.OHIO-STATE.EDU (Joe Simpson) writes:
  592.  
  593. >Is anyone using F-Prot.  Does Fredrik Skullasan (appologies to FS for 
  594. >spelling) have a site liscence policy?
  595.  
  596. Yes and yes. We use f-prot at Ohio State. To be candid I think it's
  597. the second best anti virus software if price is ignored, but given
  598. price it is #1.  version 2.0 due soon sounds like it will be #1 in ALL
  599. categories.  It is FREE fro individual use and a university license
  600. for INFINITE copies is only $500 or $1 per pc for less than 500 pcs.
  601.  
  602. It has a wide range of tools in the package but in labs we just
  603. install f-driver.sys which will alert us to any infection - and refuse
  604. to allow the infected program to run. we then use f-fchk & f-disinf to
  605. clean up infections.
  606.  
  607. we get a lot of viruses here - Ohio,brain,ping-pong,korea,stoned,disk
  608. killer, den zuk,jerusalem,alemeda - but f-prot tells us as soon as we
  609. get one and we don't spread it. If only we could reach the great
  610. masses of students here (50,000+) to clean up their disks!
  611.  
  612. - -- 
  613.  _____________________________________________________________________________
  614. |                   That's my story, and I'm sticking to it!                  |
  615. |_____________________________________________________________________________|
  616. | Microcomputer software support,     |  treeves@magnus.IRCC.OHIO-STATE.EDU   |
  617.  
  618. ------------------------------
  619.  
  620. End of VIRUS-L Digest [Volume 4 Issue 29]
  621. *****************************************
  622.