home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_048.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  19.7 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #48
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Wednesday, 27 Mar 1991    Volume 4 : Issue 48
  9.  
  10. Today's Topics:
  11.  
  12. USSR BBSList
  13. Request for general virus info
  14. Re: DPMA Talk - "A NEW STRATEGY FOR COMPUTER VIRUSES"
  15. Need information about VIRUS BUSTER
  16. unknown virus (PC)
  17. Virus vs. hardware failures
  18. PC Emulator on an ST (PC)
  19. Layers of Help for Institutions
  20. New Innoc (PC)
  21. Whale virus, can anybody find it? (PC)
  22. virii of the unknown dimention (Amiga)
  23. H.C.S virus?????? (Amiga)
  24. Translation please...
  25. Kamasya virus
  26. Mutation (or not) of Stoned (PC)
  27.  
  28. VIRUS-L is a moderated, digested mail forum for discussing computer
  29. virus issues; comp.virus is a non-digested Usenet counterpart.
  30. Discussions are not limited to any one hardware/software platform -
  31. diversity is welcomed.  Contributions should be relevant, concise,
  32. polite, etc.  Please sign submissions with your real name.  Send
  33. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  34. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  35. anti-virus, documentation, and back-issue archives is distributed
  36. periodically on the list.  Administrative mail (comments, suggestions,
  37. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  38.  
  39.    Ken van Wyk
  40.  
  41. ---------------------------------------------------------------------------
  42.  
  43. Date:    23 Mar 91 09:05:00 -0500
  44. From:    "Selden E. Ball, Jr." <seb@lns61.tn.cornell.edu>
  45. Subject: USSR BBSList
  46.  
  47. Gentle folk,
  48.  
  49. Many people are doubtless already aware of this, but it came as a bit
  50. of a surprise to me.
  51.  
  52. It is now possible to direct-dial computer bulletin boards in the USSR
  53. and eastern European countries. Many of them are already on FidoNet.
  54. The following list of BBSs was recently posted to a widely read
  55. news group.
  56.  
  57. The potential transmission speed for computer viruses is
  58. increasing faster than your favorite comparison.
  59. sigh.
  60.  
  61. Selden Ball
  62. seb@lns61.tn.cornell.edu
  63.  
  64. Original-Date: 15 Mar 91 23:01:15 EST
  65. Original-From: Frank Topping <76537.1713@CompuServe.COM>
  66. Original-Subject: USSR BBSList
  67.  
  68. I thought some teachers might be interested in this - they're growing
  69. like wildfire & connectivity opportunities abound!
  70.  
  71. - -frank
  72.                    Known USSR Bulletin Board Systems
  73.                         Version 10c of 3/13/91
  74.                  Compilation  (C) 1991 Serge Terekhov
  75.  
  76.  BBS name                     ! Data phone     ! Modem    ! FIDO addr
  77.  -----------------------------!----------------!----------!------------
  78.  PsychodeliQ Hacker Club BBS    +7-351-237-3700  2400      2:5010/2
  79.  Kaunas #7 BBS                  +7-012-720-0274  ?         -
  80.  Villa Metamorph BBS            +7-012-720-0228  ?         -
  81.  WolfBox                        +7-012-773-0134  1200      2:49/10
  82.  Spark System Designs           +7-057-233-9344  1200      2:489/1
  83.  Post Square BBS                +7-044-417-5700  2400      -
  84.  Ozz Land                       +7-017-277-8327  2400      -
  85.  Alan BBS                       +7-095-532-2943  2400/MNP  2:5020/11
  86.  Angel Station BBS              +7-095-939-5977  2400      2:5020/10
  87.  Bargain                        +7-095-383-9171  2400      2:5020/7
  88.  Bowhill                        +7-095-939-0274  2400/MNP  2:5020/9
  89.  JV Dialogue 1st                +7-095-329-2192  2400/MNP  2:5020/6
  90.  Kremlin                        +7-095-205-3554  2400      2:480/100
  91.  Moscow Fair                    +7-095-366-5209  9600/MNP  2:5020/0
  92.  Nightmare                      +7-095-128-4661  2400/MNP  2:5020/1
  93.  MoSTNet 2nd                    +7-095-193-4761  2400/MNP  2:5020/4
  94.  Wild Moon                      +7-095-366-5175  9600/MNP  2:5020/2
  95.  Hall of Guild                  +7-383-235-4457  2400/MNP  2:5000/0
  96.  The Court of Crimson King      +7-383-235-6722  2400/MNP  2:50/0
  97.  Sine Lex BBS                   +7-383-235-4811  19200/PEP 2:5000/30
  98.  The Communication Tube         +7-812-315-1158  2400/MNP  2:50/200
  99.  KREIT BBS                      +7-812-164-5396  2400      2:50/201
  100.  Petersburg's Future            +7-812-310-4864  2400      -
  101.  Eesti #1                       +7-014-242-2583  9600/MNP  -
  102.  Flying Disks BBS               +7-014-268-4911  2400/MNP  2:490/40.401
  103.  Goodwin BBS                    +7-014-269-1872  2400/MNP  2:490/20
  104.  Great White of Kopli           +7-014-247-3943  2400      2:490/90
  105.  Hacker's Night System #1       +7-014-244-2143  9600/HST  2:490/1
  106.  Lion's Cave                    +7-014-253-6246  9600/HST  2:490/70
  107.  Mailbox for citizens of galaxy +7-014-253-2350  1200      2:490/30
  108.  MamBox                         +7-014-244-3360  19200/PEP 2:490/40
  109.  New Age System                 +7-014-260-6319  2400      2:490/12
  110.  Space Island                   +7-014-245-1611  2400      -
  111.  XBase System                   +7-014-249-3091  2400/MNP  2:490/40.403
  112.  LUCIFER                        +7-014-347-7218  2400      2:490/11
  113.  MESO                           +7-014-343-3434  2400/MNP  2:490/60
  114.  PaPer                          +7-014-343-3351  1200      2:490/70
  115.  -----------------------------!----------------!----------!------------
  116.  
  117. |--- Maximus-CBCS v1.02
  118. | * Origin: The Court of the Crimson King (2:50/0)
  119.  
  120. ..................................................
  121.  
  122. Frank Topping, sysop
  123. Sacramento Peace Child - NorCal K-12Net Feed (916)451-0225 (1:203/454)
  124.  
  125. ------------------------------
  126.  
  127. Date:    Sat, 23 Mar 91 10:45:00 -0400
  128. From:    Al Woodhull <AWOODHULL%HAMPVMS.BITNET@YALEVM.YCC.Yale.Edu>
  129. Subject: Request for general virus info
  130.  
  131. Dear VIRUS-L readers,
  132.         I can't claim to be a virus expert, but I am trying to learn
  133. as much as possible about virus action and prevention. As the only
  134. faculty member at Hampshire College who teaches assembly language
  135. programming and computer architecture I am the best candidate to
  136. become a local semi-expert.
  137.         I am currently planning a presentation for faculty, staff, and
  138. students on the virus problem. I will concentrate on techniques to
  139. prevent virus infection and to recognize and to recover if prevention
  140. fails, but I will also, as time allows, say a little about the history
  141. of the problem and the mechanisms of PC viruses with which I am
  142. familiar.
  143.         In the interest of avoiding duplication of effort I would be
  144. grateful if any readers of VIRUS-L could send me any materials they
  145. may have prepared for similar presentations, or pointers to available
  146. documents that they feel should be collected for a local reference
  147. collection on the subject.
  148.         I will prepare some materials myself to hand out to those
  149. present, and I will be happy to share these, and anything I receive
  150. from others, with any VIRUS-L readers who want them.
  151.  
  152. Thank you,
  153. Albert S. Woodhull      awoodhull@hampvms.bitnet
  154.  
  155. ------------------------------
  156.  
  157. Date:    Sun, 24 Mar 91 01:54:28 +0000
  158. From:    mike@pyrite.SOM.CWRU.Edu (Michael Kerner)
  159. Subject: Re: DPMA Talk - "A NEW STRATEGY FOR COMPUTER VIRUSES"
  160.  
  161. Umm, excuse me, I'm just a dumb Mac Admin, but I was under the
  162. impression that this "new strategy" was the current strategy.  At
  163. least on Macs, where this whole thing started, the strategy is to zing
  164. the bugger.  The PC anti-viral programs we've installed on our
  165. machines (all 100-200), essentially block spreads by watching what's
  166. going on and looking for virus-like code, then killing it (unless I
  167. have no concept of the way PC virus killers work)
  168.  
  169. Mikey
  170. Mac Admin
  171. WSOM
  172. CWRU
  173. mike@pyrite.som.cwru.edu
  174.  
  175. P.S. If I'm ignorant, please tell me and then explain why
  176.  
  177. ------------------------------
  178.  
  179. Date:    Sun, 24 Mar 91 20:55:08 +0000
  180. From:    R.Grapes@massey.ac.nz (Robert Grapes)
  181. Subject: Need information about VIRUS BUSTER
  182.  
  183. Hi,
  184.  
  185. I am trying to obtain as much information as possible about a product
  186. called VIRUS BUSTER. The only information I have about it is that it
  187. appears to be an Australian product. Any help would be greatly
  188. appreciated.
  189.  
  190. Thanks.
  191.  
  192. ************************************************************************
  193. Robert Grapes,  Systems Programmer,  Computer Centre,  Massey University
  194. Voice: +64 63 69099 ext 7615                Email: R.Grapes@massey.ac.nz
  195. ************************************************************************
  196.  
  197. ------------------------------
  198.  
  199. Date:    Mon, 25 Mar 91 14:20:53 +0100
  200. From:    zrash01@convex.zdv.uni-tuebingen.de (H.P. Schill)
  201. Subject: unknown virus (PC)
  202.  
  203. I've got a program (pkunzip) that seems to be infected by a virus. It
  204. is said that SCAN doesn't a virus. Also FPROT doesn't find anything.
  205. Running the infected program will load the virus into memory. When
  206. another program is executed, this program will become infected,
  207. increasing the size by 982 (or so) bytes. No other effects are known
  208. to me.
  209.  
  210. Has anyone seen it before?
  211.  
  212. Peter Schill
  213. Universitaet Tuebingen
  214. zrash01@convex.zdv.uni-tuebingen.de
  215.  
  216. ------------------------------
  217.  
  218. Date:    Mon, 25 Mar 91 10:10:58 -0800
  219. From:    "Info Security 3-9797" <GB.SEC@Forsythe.Stanford.EDU>
  220. Subject: Virus vs. hardware failures
  221.  
  222. Eldar A. Musaev writes:
  223.  
  224. > I am very often disturbed by users who takes hardware failures for
  225. > a virus....  What could we do to help users to distinct viruses
  226. > and failures?
  227.  
  228. It has been my experience that it takes far less time to use your
  229. favorite anti-virus software to first check if a virus is present.  If
  230. there is no indication of a virus, then check for hardware and other
  231. software kinds of problems.
  232.  
  233. Bill Bauriedel
  234. Info. Security Office
  235. Stanford Univ.
  236.  
  237. ------------------------------
  238.  
  239. Date:    Mon, 25 Mar 91 16:59:37 +0000
  240. From:    Andrew McLean <PHR050@ibm.southampton.ac.uk>
  241. Subject: PC Emulator on an ST (PC)
  242.  
  243. I (sometimes) have access to an Atari ST with an software PC editor
  244. (PC-ditto).  It occurs to me that if the emulator works well then it
  245. "should" be able to spread a virus just like a real PC.  It also
  246. occurs to me that not all computers have hardware write protect on
  247. their floppy disks.  The big question is can I safely put a write
  248. protected floppy into the ST drive while running a PC emulator (or
  249. otherwise) or am I in danger of aquiring a virus.  What I particularly
  250. have in mind is my "trusted" DOS boot disks and disks containing virus
  251. scanners which are permanantly write protected (the write protect tabs
  252. are glued open or removed).
  253.  
  254. Andrew McLean         |       Janet : PHR050@UK.AC.SOTON.IBM
  255. Department of Physics | Earn/Bitnet : PHR050@IBM.SOTON.AC.UK
  256. The University        |          or : PHR050%UK.AC.SOTON.IBM@UKACRL
  257. Highfield             |    INTERNET : PHR050@IBM.SOTON.AC.UK
  258. Southampton SO9 5NH   |        uucp : PHR050%UK.AC.SOTON.IBM@ukc.uucp
  259. tel. 0703 593084
  260.  
  261. ------------------------------
  262.  
  263. Date:    Mon, 25 Mar 91 12:24:26 -0500
  264. From:    Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
  265. Subject: Layers of Help for Institutions
  266.  
  267. >From:    eldar@lomi.spb.su (Eldar A. Musaev)
  268.  
  269. >Subject: Re: Standardized virus signatures (PC)
  270. >The scanners have an unpleasant feature. If someone changes the
  271. >signature of the virus, it (virus) becames unfamiliar to scanner.
  272.  
  273. >Subject: Hardware failures & viruses (PC)
  274. >I am very often disturbed by users who takes hardware failures for a virus.
  275.  
  276.     These and several recent postings from institutional users
  277. really have the same solution. Like the PC model I have been
  278. discussing lately, it is a layered solution:
  279.  
  280. First, divide the institution into three elements: Users, Technicians,
  281. and Gurus (for want of a better term). The great bulk of the
  282. population are the Users. The are concerned with completion of tasks
  283. and require tools that are able to help them. Users should be
  284. concerned only with a binary question - Is the machine working
  285. properly ? Yes/No. In order to do this the user must be trained to be
  286. able to determine this. For a bare PC, this requires considerable
  287. sophistication but with layered in integrity checking such as we have
  288. discussed, all that may be necessary is to respond to a screen. The
  289. real message that is taught is that "If an exception occurs, call a
  290. technician".
  291.  
  292. Second, the technician must be equipped with the tools of his/her
  293. trade.  In the case of the PC, these will include viral scanning
  294. devices and programs.  The technician's responsibility is again
  295. binary: Can I repair the machine ?  Yes/No. To be able to do this, the
  296. technician is trained not only as a user (though this is necessary),
  297. but also in the repair and structure of the machine.  Here the message
  298. is "Repair the machine if you understand the problem, call a Guru if
  299. not".
  300.  
  301. Third is the "Guru" who may or may not be an employee but who is on
  302. call and is capable of determining any problem: hardware, software,
  303. mistake, or virus.  Generally, this role will be handled by not more
  304. than one or two people in an organization who will also design
  305. "seamless" training.
  306.  
  307. From this structure, levels of responsibility will also emerge. The
  308. User is required only to report malfunctions. The technician to repair
  309. those problems that are understood, and the Guru to direct training
  310. and handle all else. The dicotomy of the Guru is necessary since this
  311. is where evaluations must be made to determine when to add functions,
  312. directions, and training to the lower levels.
  313.  
  314. Unfortunately, in many organizations, the third level is left off and
  315. results in the problems that Mr. Musaev refers to. It would appear
  316. that in his organization that he is "informally" filling the "Guru"
  317. function without the auhorization to determine where the functional
  318. divisions are and what training each shall receive.
  319.  
  320. With this three layer model, the division of labor becomes natural,
  321. provides natural filters at each level, and allows personnel to rise
  322. according to their ability. With proper training and internal
  323. integrity checking, the users can correct the bulk of their problems
  324. themselves or with a telephone call. Of the remainder, most can be
  325. corrected by the technicians, leaving the "Guru" to handle the few
  326. really difficult ones.
  327.  
  328. Scanners, by their nature are a very valuable tool for the second
  329. level (technicians) since proper use and disinfection procedures
  330. require knowlege and training to determine how disinfection can be
  331. done with minimum impact (low level formatting is never necessary). At
  332. this point 90+% efficiency is sufficient so long as limitations are
  333. understood. They are also valuable tools for the "Guru" as an aid.
  334. Good Scanners state up front that only known malicious software can be
  335. found. And the technician must have a means to handle something he/she
  336. does not know how to handle.
  337.  
  338. For this reason, the users must have a tool (whether they know it or
  339. not) that will detect change to a system, if it includes Scanning,
  340. fine but scanning alone is insufficient a "complete" answer.
  341.  
  342. In my experience, the ratio of users/platforms to technicians is
  343. usually about 200:1 and it is unusual for any organization to have
  344. more than one or two "Gurus".
  345.  
  346.                     Enough,
  347.                         Padgett
  348.  
  349. ------------------------------
  350.  
  351. Date:    Mon, 25 Mar 91 04:06:38 -0400
  352. From:    MMCCUNE@sctnve.BITNET
  353. Subject: New Innoc (PC)
  354.  
  355. INNOC has been updated to add two new viruses. It now inoculates
  356. against the Azusa and Joshi viruses. In addition to theses, INNOC
  357. already inoculates against the Ashar, Brain, Ping-Pong and Stoned
  358. viruses. INNOC will also remove all boot infectors already on the
  359. diskette. Anybody needing an inoculation program against a specific
  360. virus can read me at MMCCUNE@SCT.NVE (BITNET) or
  361. MMCCUNE@SCTNVE.PEACHNET.EDU (INTERNET)...<MM>.
  362.  
  363. ------------------------------
  364.  
  365. Date:    25 Mar 91 23:02:07 +0000
  366. From:    csw76@seq1.keele.ac.uk (J.C. Kohler)
  367. Subject: Whale virus, can anybody find it? (PC)
  368.  
  369. I have a computer which is infected by the Whale virus, but none of
  370. the virus-scanners I use can find it. I found the virus on the
  371. computer about a week ago, using McAffee's scan. I removed the
  372. infected files, but it keeps coming up.
  373.  
  374. I have tried to find it with scan, f-prot and AVS. Is this because it
  375. is a stealth virus???
  376.  
  377. I think I'm going to do a low-level format on the disk now, to prevent
  378. any trouble in the fututre.
  379.  
  380. But could anybody tell me why it is impossible to find it.
  381.  
  382. Many thanks in advance,
  383.  
  384. Christian Kohler
  385. University of Keele, United Kingdom
  386.  
  387. csw76@uk.ac.kl
  388.  
  389. ------------------------------
  390.  
  391. Date:    25 Mar 91 23:51:06 +0000
  392. From:    bsercomb@gara.une.oz.au (ATOMIC PLAYBOY)
  393. Subject: virii of the unknown dimention (Amiga)
  394.  
  395. DOES anyone know about the BSG-29 virus on the amiga?? you know, the
  396. one which prints up something like xxxxxxx is a transgression, piracy
  397. is a crime, this is the cure: BSG-29 sonderkommando. [I am not German]
  398.  
  399. I would really like to know:
  400.  
  401. 1. if it does anything painful to files/disk access etc. etc.
  402. 2. how the hell to kill it dead....
  403.  
  404. ATOMIC PLAYBOY 
  405.  
  406. thanx in advance........
  407.  
  408. ------------------------------
  409.  
  410. Date:    Tue, 26 Mar 91 04:15:09 +0000
  411. From:    set@phobos.cis.ksu.edu (Steve E Tietze )
  412. Subject: H.C.S virus?????? (Amiga)
  413.  
  414. I just found a virus calling its self the H.C.S virus and H.C.S virus
  415. II Help what do they do?  I have a Amiga computer...
  416.  
  417. Please Email me with suggestions of help.
  418.  
  419. Email set@phobos.cis.ksu.edu
  420.  
  421. ------------------------------
  422.  
  423. Date:    Tue, 26 Mar 91 13:16:55 +0000
  424. From:    frisk@rhi.hi.is (Fridrik Skulason)
  425. Subject: Translation please...
  426.  
  427. The following text is found inside the Kamasya virus - which happens
  428. to be virus #500 in my own list.  Does it mean anything, and if so,
  429. which language is it ?
  430.  
  431. I would guess it was a language related to Hindi, but I am not sure....
  432.  
  433.         Kamasya nendriya pritir
  434.         labho jiveta yavata
  435.         jivasya tattva jijnasa
  436.         nartho yas ceha karmabhih
  437. - -frisk
  438.  
  439. [Ed. See follow-up below...]
  440.  
  441. ------------------------------
  442.  
  443. Date:    Wed, 27 Mar 91 09:12:38 +0000
  444. From:    frisk@rhi.hi.is (Fridrik Skulason)
  445. Subject: Kamasya virus
  446.  
  447. I have been flooded with replies to my question about the text found
  448. inside the Kamasya virus
  449.  
  450.         Kamasya nendriya pritir
  451.         labho jiveta yavata
  452.         jivasya tattva jijnasa
  453.         nartho yas ceha karmabhih
  454.  
  455. I would like to thank all those providing a part translation or a part
  456. of it, in particular Rajesh Gupta, Sibabrata Ray, Anupam Joshi, Ajit
  457. Sanzgiri, A. Satish Pai, Girish Chandram,
  458.  
  459. Everybody agreed it was difficult to translate this text in Sanskrit
  460. into English, but the meaning is something like:
  461.  
  462.   "As long as you live, sex and pleasing of the senses is useless.
  463.    The essence of life is the desire to know, not money or fame."
  464.  
  465. This text is surely the most curious I have found inside any of the 400+
  466. viruses I have examined...
  467.  
  468. - -frisk
  469.  
  470. ------------------------------
  471.  
  472. Date:    26 Mar 91 11:17:37 -0500
  473. From:    Pat Ralston <IPBR400@INDYCMS.BITNET>
  474. Subject: Mutation (or not) of Stoned (PC)
  475.  
  476. In the March 4th issue 34 VIRUS-L Digest we (IUPUI) reported what
  477. might be a mutation of Stoned or Stoned II.  In that posting we said
  478. "McAfee's VIRUSCAN version 74B reports Stoned, but ONLY on FLOPPY
  479. disks".  We have had many responses -- Thanks to all. Some of those
  480. responding felt that we are seeing old -- vanilla -- Stoned. One of
  481. the most heard responses was "have you tried version 75?".
  482.  
  483. Yes, when version 75 was available to us we used it; with the same
  484. results.  Stoned can be found on floppy disks but not the hard disk.
  485. We have sent a specimen to only one or two people who asked for it --
  486. most major (familiar) names on this list.
  487.  
  488. It is still an unsettling thought that this Stoned -- whether
  489. vanilla/common version or new hacked version -- can be found on floppy
  490. disks only.
  491.  
  492. Pat Ralston  IUPUI
  493. Indiana University - Purdue University at Indianapolis
  494.  
  495. ------------------------------
  496.  
  497. End of VIRUS-L Digest [Volume 4 Issue 48]
  498. *****************************************
  499.