home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_063.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  24.3 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #63
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Wednesday, 17 Apr 1991    Volume 4 : Issue 63
  9.  
  10. Today's Topics:
  11.  
  12. F-PROT version 1.15 available (PC)
  13. Stoned and Dark Avenger mutations (PC)
  14. New programs ob BEACH (PC)
  15. Joshi virus fixed! (PC)
  16. Re: AF/91 - John Gantz "joke" in Infoworld
  17. RE: Norton's Antiviral program (PC)
  18. Wasting my time
  19. Malicious Code Responce Policy (ALL)
  20. Re: UNIX & Viruses (UNIX)
  21. Re: HyperCard anti-virus script bad (Mac)
  22. Re: HyperCard anti-virus script bad (Mac)
  23. Documented Cases of Viruses -- NOT on PCs or MACs
  24. Re: Stoned 2 query (PC)
  25. EMPIRE Virus (PC)
  26. Re: Is virus infection by inserting floppy disk possible? (PC) (Mac)
  27. Viraphobia (Re: AF/91 and April Foolism in general)
  28.  
  29. VIRUS-L is a moderated, digested mail forum for discussing computer
  30. virus issues; comp.virus is a non-digested Usenet counterpart.
  31. Discussions are not limited to any one hardware/software platform -
  32. diversity is welcomed.  Contributions should be relevant, concise,
  33. polite, etc.  Please sign submissions with your real name.  Send
  34. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  35. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  36. anti-virus, documentation, and back-issue archives is distributed
  37. periodically on the list.  Administrative mail (comments, suggestions,
  38. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  39.  
  40.    Ken van Wyk
  41.  
  42. ----------------------------------------------------------------------
  43.  
  44. Date:    Mon, 15 Apr 91 23:14:02 +0000
  45. From:    frisk@rhi.hi.is (Fridrik Skulason)
  46. Subject: F-PROT version 1.15 available (PC)
  47.  
  48. Version 1.15 of the F-PROT anti-virus package is now available.  There
  49. are no major changes from version 1.14 - you have to wait for 2.0 to
  50. see all the new features.  I have uploaded the program to
  51. beach.gal.utexas.edu, but several other FTP sites will probably have
  52. the package in a couple of days or so.
  53.  
  54. Version 1.15 added the following features:
  55.  
  56.         Detection, but not disinfection of
  57.  
  58.         Akuku
  59.         Doom2
  60.                 Mardi Bros
  61.                 Microbes
  62.                 MIX2
  63.                 Ontario
  64.                 Spyer
  65.                 Swedish disaster
  66.         USSR-1594
  67.                 X-boot
  68.  
  69.     Detection and removal of
  70.  
  71.                 10 past 3
  72.                 1575
  73.                 1600 (Jerusalem variant)
  74.         403
  75.         4th Black Friday (Jerusalem variant)
  76.                 Aircop
  77.          AntiCAD/Plastique-2576
  78.                 AntiCAD/Plastique-3004 (COBOL)
  79.                 Azusa
  80.                 Burger-382
  81.                 Cascade 1701-YAP
  82.         Christmas Violator
  83.                 Dark Lord (variant of Terror)
  84.                 Deicide
  85.                 Dutch-555
  86.                 Enigma
  87.                 Fichv 2.1
  88.                 Flip/Omicron-2153
  89.         The 4th Black Friday (Jerusalem variant)
  90.                 Frere-2 (Jerusalem variant)
  91.         G-Virus, version 1.3 (731)
  92.                 Gergana
  93.         Grither (Vienna variant)
  94.                 HIV
  95.         Hybryd
  96.         Iraqui Warrior (Vienna variant)
  97.                 Jeff (impossible to disinfect)
  98.                 June 4th (Stoned variant)
  99.                 Klaeren (impossible to disinfect)
  100.         Kylie (Jerusalem variant)
  101.                 Leprosy-A
  102.                 Leszop (Stoned variant)
  103.                 Magnitogorsk
  104.                 Michelangelo (Stoned variant)
  105.                 Micro-128
  106.         Minimal-45
  107.                 Mirror
  108.                 MG-4
  109.                 Monxla-B
  110.         Paris
  111.                 Phantom
  112.                 Plague
  113.                 Rostov (Stoned variant)
  114.                 September 18th-789 (first reported as "805")
  115.                 September 18th-801 (first reported as "817")
  116.                 Sexual revolution (Stoned variant)
  117.         South African-408
  118.                 Spanish Telecom (boot-form)
  119.                 Staf
  120.         SVC 3.1
  121.         Taiwan-C (752 byte variant)
  122.         Taiwan-D (677 byte variant)
  123.         Testvirus B
  124.          Vienna VHP-622 from Bulgaria
  125.                 Vienna 822 from Hungary
  126.                 Wolfman
  127.  
  128.     Removal of the following viruses, which were detected in 1.14
  129.  
  130.         905
  131.         Lovechild
  132.                 Terror
  133.                 Vienna-644
  134.  
  135.     The "405" and "382" viruses have now been reclassified as
  136.     Burger-variants.
  137.  
  138.     The names of some viruses have been changed, in most cases
  139.     because the viruses had only a temporary, numeric name.
  140.  
  141.         1600 --> Happy New Year
  142.         417 --> F-word
  143.         Perfume --> G-Virus
  144.  
  145.     /NOBOOT switch added to F-DRIVER to disable memory check at boot
  146.     time.  Should only be used on computers with Network Boot ROMs,
  147.     where the standard F-DRIVER has caused problems.
  148.  
  149.     /QUICK switch added to F-FCHK.  Using it results in faster
  150.         scanning, but reduces the chances of detecting previously
  151.     unknown variants of "old" viruses.
  152.  
  153.     /DELETE switch added to F-FCHK.  If it is used, infected files
  154.     will be overwritten several times and then deleted.
  155.  
  156.     The F-INOC and F-DIR programs are not included any more,
  157.     as they were practically useless.
  158.  
  159.         F-FCHK will now indicate if a program has been compressed by
  160.         DIET, LZEXE or PKLITE.  The programs will not be scanned - that
  161.     will be added in a later version.
  162.  
  163.         A small program (F-TEST) has been added to determine if F-DRIVER
  164.     is installed and working properly.  See USAGE.TXT for further
  165.         information.
  166.  
  167.     The following bugs/problems have been fixed:
  168.  
  169.         F-DISINF /MULTI did not work under all circumstances.
  170.  
  171.         Conflicts between F-DRIVER and PC-NFS have been
  172.         eliminated.
  173.  
  174.                 Version 1.14 was not able to remove all variants of
  175.         Jerusalem, including some which 1.13 handled successfully.
  176.         This has been fixed.
  177.  
  178. ------------------------------
  179.  
  180. Date:    Mon, 15 Apr 91 22:00:00 -0300
  181. From:    Raul Fernando Weber <WEBER@SBU.UFRGS.ANRS.BR>
  182. Subject: Stoned and Dark Avenger mutations (PC)
  183.  
  184. Three slightly different versions of the Stoned virus were detected
  185. during the last months in Porto Alegre (Southern Brazil).
  186.  
  187. The first version contains the string "Your PC is now Stoned!  <bell>
  188. <cr> <lf> <lf> <null> LEGALISE MARIJUANA!". In the second version this
  189. string now reads "Your PC is now Stoned! <bell> <cr> <lf> <lf> <null>
  190. LEGALISEm disk or d". Curiously, the last part of the modified string
  191. seems to be derived from the original boot sector, where the string
  192. "Non-System disk or disk error" can be found at the same offset. I
  193. wonder if this can happen due to a failure at the propagation routine?
  194.  
  195. The third version is quite different, and was first detected in a city
  196. near Porto Alegre. The string now reads "Collor, um tiro basta! <cr>
  197. <lf> <lf> Call John MacAFee? <space> <cr> <lf>".  The first line is in
  198. Portuguese and means "Collor, one shoot is enough!", a protest against
  199. the economic plan of President Collor. There is another modification,
  200. however, probably to protect this mutation against virus scanners.
  201. Beginning at the offset 63, four bytes were changed from BE 04 00 57
  202. to 57 BE 04 00. With this change, SCAN and CLEAN cannot detect the
  203. virus anymore. The program F-BOOT from the FPROT114 package, however,
  204. is still able to detect and remove the virus (Good work, Frisk!).
  205.  
  206. Another virus that also appeared in the last weeks was Dark Avenger.
  207. The string "Eddie lives...somewhere in time!" can be detected at the
  208. beginning of the virus body, but the final string was modified to
  209. "This virus was created in Singapore (C) Copyright 1990-91 Data
  210. Maniac". Both SCAN/CLEAN and F-FCHK (from FPROT114) are able to detect
  211. and eliminate this virus.
  212.  
  213. Raul F. Weber
  214. Institute of Informatic
  215. Federal University of Rio Grande do Sul
  216. Porto Alegre - RS
  217. Brazil
  218. e-mail: weber@sbu.ufrgs.anrs.br
  219. or      weber%sbu.ufrgs.anrs.br@lbl.gov
  220.  
  221. ------------------------------
  222.  
  223. Date:    Tue, 16 Apr 91 08:45:00 -0500
  224. From:    John Perry KG5RG <PERRY@UTMBEACH.BITNET>
  225. Subject: New programs ob BEACH (PC)
  226.  
  227.         The anonymous FTP server at BEACH.GAL.UTEXAS.EDU has added the
  228. following programs to the [anonymous.pub.virus.pc] directory:
  229.  
  230.         FPROT115.ZIP
  231.         SCANV76C.ZIP
  232.         NETSCN76.ZIP
  233.         VSHLD76C.ZIP
  234.         INAZUSA.ZIP
  235.  
  236.                               John Perry KG5RG
  237.                               University of Texas Medical Branch
  238.                               Galveston, Texas  77550-2772
  239.  
  240. You can send mail to me at any of the following addresses:
  241.  
  242. DECnet   : BEACH::PERRY
  243. THEnet   : BEACH::PERRY
  244. Internet : perry@beach.gal.utexas.edu
  245. Internet : john.perry@f365.n106.z1.fidonet.org
  246. BITNET   : PERRY@UTMBEACH
  247. SPAN     : UTSPAN::UTADNX::BEACH::PERRY
  248. FIDOnet  : 1:106/365.0
  249.  
  250. ------------------------------
  251.  
  252. Date:    16 Apr 91 04:36:52 +0000
  253. From:    awl@extro.ucc.su.oz.au (Tony Locke)
  254. Subject: Joshi virus fixed! (PC)
  255.  
  256. Thanks to all those who replied to me with advice for fixing the Joshi
  257. virus.  I never actually got to see a program eliminate it on my
  258. particlar machine, ever using Clean and Scan, I managed to eliminate
  259. it using a low level format from the BIOS.
  260.  
  261. Thanks for all help
  262.  
  263. Tony Locke
  264.  
  265. ------------------------------
  266.  
  267. Date:    16 Apr 91 15:03:32 +0000
  268. From:    CAH0@gte.com (Chuck Hoffman)
  269. Subject: Re: AF/91 - John Gantz "joke" in Infoworld
  270.  
  271. sharp@mizar.usc.edu (Malcolm Sharp) writes:
  272. > I'm not laughing.
  273.  
  274. No, I guess you're not.  It sounds like you went to a lot of trouble in 
  275. response to it.
  276.  
  277. > I'm searching for the adjectives to describe this irresponsible
  278. > act.
  280. > Anyone else spend time investigating this virus from the 4/1 columns?
  281.  
  282. "Thoughtless," maybe.  "Irresponsible?" I don't think so.  He's not 
  283. responsible for what you do on the basis of one, uncorroborated report.  I 
  284. think I might have checked with this network first before spending a lot 
  285. of time.
  286.  
  287. > I'm *seriously* considering a class action suit for compensatory
  288. > (small $) and punitive (BIG $$$) damages.
  290. > Interested in hearing from others.
  291.  
  292. Maybe you should hear from John Gantz (privately).  You didn't mention
  293. whether or not you called him to discuss this before you put a lot of
  294. effort in.  I've called authors of professional articles and textbooks
  295. several times, and they all have seemed pleased to get the call.
  296. They've all had more to say than was actually in print.  A call might
  297. have helped, here.  Or even a non-public exchange of e-mail, before
  298. launching a difficult virus hunt.
  299.  
  300. I'm sorry that you went to such trouble.  Maybe a little beforehand 
  301. communication with the net or the author will be helpful next time 
  302. something like this comes up, and it might save you a lot of effort.
  303.  
  304. - - Chuck Hoffman, GTE Laboratories, Inc.  |  I'm not sure why we're here,
  305. cah0@bunny.gte.com                       |  but I am sure that while we're
  306. Telephone (U.S.A.) 617-466-2131          |  here, we're supposed to help
  307. GTE VoiceNet: 679-2131                   |  each other.
  308. GTE Telemail: C.HOFFMAN                  |
  309.  
  310. ------------------------------
  311.  
  312. Date:    16 Apr 91 14:40:58 -0400
  313. From:    "John D. Hopkins" <JHOPKINS@cbacc.cba.uga.edu>
  314. Subject: RE: Norton's Antiviral program (PC)
  315.  
  316. > I have heard there was an article in a mag. comparing Norton's
  317. > antiviral to McAfee's scan and that the Norton's program failed to
  318. > identify the Stoned virus.  Can anyone confirm or deny this?
  319.  
  320. I can absolutely guarantee you that this is false!!  The Norton
  321. Anivirus program found the bloody Stoned virus on one of our machines
  322. and sucessfully removed it with no bother.  I had trouble getting the
  323. thing cleaned off a floppy, but McAfee didn't do any better.
  324.  
  325. So far we have no complaints with Norton.
  326.  
  327. +-------------------------------------------------------------------------+
  328. | John D. Hopkins, Operational Support    |Through the darkness of future |
  329. | <jhopkins@cbacc.cba.uga.edu>            |past, The magician longs to see|
  330. | Col. of Business Admin. Computer Center |One chants out between two     |
  331. | University of Georgia        ph. 2-3829 |worlds, Fire... walk with me.  |
  332. +-------------------------------------------------------------------------+
  333.  
  334. ------------------------------
  335.  
  336. Date:    Tue, 16 Apr 91 15:51:00 -0500
  337. From:    R3B@VAX5.CIT.CORNELL.EDU
  338. Subject: Wasting my time
  339.  
  340. I am amusingly considering a classless action against
  341. Malcolm Sharp et al for wasting my time on their hurt
  342. pride.
  343.  
  344. "I'll have my computer get in touch with your computer"
  345. - ----------------------------------------
  346. Richard Howland-Bolton
  347. Manager Publications Computing
  348. Cornell University
  349. Internet: R3B@VAX5.CIT.CORNELL.EDU
  350. Compuserve: 71041,2133
  351. AppleLink: CUGURU
  352. Voice: (607) 255-9455
  353. FAX: (607) 255-5684
  354. Post: Publications, East Hill Plaza
  355.          Ithaca, NY 14850
  356. Etc, etc.
  357. - ----------------------------------------
  358.  
  359. ------------------------------
  360.  
  361. Date:    Tue, 16 Apr 91 14:02:52 -0600
  362. From:    Peter_Johnston@mts.ucs.ualberta.ca
  363. Subject: Malicious Code Responce Policy (ALL)
  364.  
  365. The University of Alberta has recently been hit by a new PC virus
  366. ("Evil Empire"). As often happens in such cases, we were caught less
  367. than fully prepared and have been scrambling (with much help from
  368. various anti-viral experts on the net) to react to this threat. We are
  369. now making progress and hope to soon announce a full recovery.
  370.  
  371. We have also over the past two years started seeing other examples of
  372. malicious code on Macintosh and PC machines, both in our public labs
  373. and on individual student and staff machines.
  374.  
  375. As a result, management here is now more sensitized to the problem and
  376. we are in the process of developing a more formalized campus-wide
  377. "Malicious Code Response Policy" that can be used as a starting point
  378. for future responses. It will address all facets of the problem when
  379. it is done: emergency response, prevention, escalation policies, who
  380. to contact, how to do certain things, etc. I have been asked to
  381. develop it, and have several ideas of my own with with which to start.
  382.  
  383. However, I am sure that other organizations have faced the same
  384. situation and may have such policies already in place.
  385.  
  386. I would appreciated receiving advice, suggestions, or text of already
  387. developed anti-viral policies from members of the net. In return, I
  388. would be pleased to share our policy when developed with members of
  389. the net.
  390.  
  391. If you can help, please forward materials to me either electronically
  392. or by physical mail (machine readable if possible) to one of the
  393. addresses below. The QuickMail address is not (yet!) quite as reliable
  394. as the others.
  395.  
  396. If there are any special conditions that you wish attached to material
  397. submitted (such as confidentiality), please so state and we will abide
  398. by them.  Thanks...
  399.  
  400.  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  401.  Peter Johnston            | Voice    : 403/492-2462
  402.  University Comput Systems | FAX      : 403/492-1729
  403.  352 GenSvcBldg,           | BitNET   : usergold@ualtamts
  404.  The University of Alberta | Internet : usergold@mts.ucs.ualberta.ca
  405.  Edmonton, Alberta         | QuickMail: Peter_Johnston@
  406.  Canada   T6G 2H1          |          : quest.ucs.ualberta.ca
  407.  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  408.  
  409. ------------------------------
  410.  
  411. Date:    Tue, 16 Apr 91 21:00:20 +0100
  412. From:    Paul <pg9065@computing.bradford.ac.uk>
  413. Subject: Re: UNIX & Viruses (UNIX)
  414.  
  415. ethan@thinc.COM (Ethan.Lish@THINC.COM) writes:
  416. >    The simplest form of a *NIX virus is :
  417. >            cp $0 .
  418. >    Now *every* *NIX platform I know of will run this "virus"
  419. > P.S. **NOTE DO NOT RUN THIS VIRUS, SO I DON'T HAVE TO SAY "I TOLD YOU SO"**
  420.  
  421. Ooops, just ran it!
  422.  
  423. It said "No file for $0.".
  424.  
  425. Thats on Sun OS 4.1 running csh.
  426.  
  427. Just how is cp $0 . supposed to be a virus? Even if $0 was defined to
  428. something valid all it would do is copy a file into your current directory.
  429.  
  430. Paul Sutton
  431. Department of Computing, University of Bradford, Bradford, BD7 1DP, UK
  432. p.c.sutton@bradford.ac.uk
  433.  
  434. ------------------------------
  435.  
  436. Date:    Tue, 16 Apr 91 15:47:34 +0800
  437. From:    bcarter@claven.idbsu.edu
  438. Subject: Re: HyperCard anti-virus script bad (Mac)
  439.  
  440. >Unfortunately, Bruce, if the script is going to spread, it has to get
  441. >past the scripts in the HOME card of HC.  Passing the message directly
  442. >to HC does not bypass the HOME scripts.
  443. >
  444. >Mike
  445. >Mac Admin
  446. >WSOM CSG
  447. >CWRU
  448. >mike@pyrite.som.cwru.edu
  449.  
  450. Of course sending to HyperCard bypasses the Home stack scripts, which
  451. you could have easily verified if you had bothered to check.  Here is
  452. a simple example.  There is a handler called "xy" in the stack script
  453. of the Home stacks of both version 1 and 2 of HyperCard.  Execute the
  454. following handler from a button, or execute the statements
  455. individually from the message box.
  456.  
  457. on mouseUp
  458.   xy
  459.   send "xy" to HyperCard
  460. end mouseUp
  461.  
  462. The first xy executes the xy handler in the Home stack (which gives
  463. you an updating mouseLoc in the message box).  Click to exit the xy
  464. handler.  The send executes and you get a "Can't understand xy"
  465. message because HyperCard doesn't know what to do with the "xy"
  466. message.  The handler is in the Home stack and has been bypassed by
  467. the send.  Or here is a more directly related example.  Put the
  468. following in your Home stack.
  469.  
  470. on set
  471.   answer "Tried to use set"
  472. end set
  473.  
  474. This should prevent any set from being executed.  It is easily
  475. bypassed by using the send format.
  476.  
  477. Bruce Carter, Courseware Development Coordinator            Lab: (208) 385-1859
  478. Faculty Development Lab - Room 213                       Office: (208) 385-1250
  479. Simplot/Micron Technology Center                       CompuServe ID: 76666,511
  480. Boise State University                            CREN (BITNET): duscarte@idbsu
  481. 1910 University Drive                        Internet: duscarte@idbsu.idbsu.edu
  482. Boise, ID  83725                        --> Preferred: bcarter@claven.idbsu.edu
  483. ===============================================================================
  484.  
  485. ------------------------------
  486.  
  487. Date:    Tue, 16 Apr 91 14:36:19 -0900
  488. From:    "Jo Knox - UAF Academic Computing" <FXJWK@ALASKA>
  489. Subject: Re: HyperCard anti-virus script bad (Mac)
  490.  
  491. > mike@pyrite.SOM.CWRU.Edu (Michael Kerner)
  492.  
  493. writes:
  494.  
  495. > Unfortunately, Bruce, if the script is going to spread, it has to get
  496. > past the scripts in the HOME card of HC.  Passing the message directly
  497. > to HC does not bypass the HOME scripts.
  498.  
  499. Untrue---sending the command to HyperCard DOES bypass the normal HyperCard
  500. message inheritance path!  (Course, I know nothing about 2.0...)
  501. jo
  502.  
  503. ------------------------------
  504.  
  505. Date:    16 Apr 91 22:38:13 +0000
  506. From:    braunste@sal-sun12.usc.edu (Gil Braunstein)
  507. Subject: Documented Cases of Viruses -- NOT on PCs or MACs
  508.  
  509. I was wondering whether there are documented cases of viruses
  510. infecting mainframes or minis (basically not PCs).  So far all books
  511. about viruses that I read do not document cases of viruses they simply
  512. describe how it can be done.  I'm a CS graduate student at USC and I'm
  513. taking a course in information security (unfortunately not given by
  514. the CS department), my instructor claims that there have not been any
  515. documented cases of viruses infecting mainframes that he knows of.  On
  516. the other hand, another instructor claims to know about some cases but
  517. one of the few sources that he pointed out was Fred Cohen's paper.
  518. The Fred Cohen paper seems to be missing from the school's library so
  519. I was wondering if any of you have access to that paper and can send
  520. me a copy and also about any other documented cases of viruses
  521. infecting non-Pcs.
  522.  
  523. Thanks in advance,
  524. Gil.
  525.  
  526. ------------------------------
  527.  
  528. Date:    16 Apr 91 23:17:18 +0000
  529. From:    sharp@mizar.usc.edu (Malcolm Sharp)
  530. Subject: Re: Stoned 2 query (PC)
  531.  
  532. According to my sources, Stoned 2 is a "shadow" of Stoned...  if you
  533. use the McAfee CLEAN [Stoned], Stoned 2 will go away.
  534.  
  535. ------------------------------
  536.  
  537. Date:    Wed, 17 Apr 91 12:30:00 +1200
  538. From:    "Nick FitzGerald" <CCTR132@csc.canterbury.ac.nz>
  539. Subject: EMPIRE Virus (PC)
  540.  
  541. In VIRUS-L Digest V4 #62 padgett%tccslr.dnet@uvs1.orl.mmc.com
  542. (A. Padgett Peterson) wrote:
  543.  
  544. >    In my previous alert on the EMPIRE virus, I had not yet seen the
  545. >second sector with the transposed text. Since then I have received
  546. >this
  547. >[deletions]
  548. >Text of encrypted message follows:
  549. >
  550. >I'm becoming a little confused as to where the "evil empire" is these
  551. >days.
  552. >[rest of virus message deleted]
  553.  
  554. If it's not too late, I would respectfully suggest that "Evil Empire"
  555. is a better name for this virus as it is more easily identified when
  556. the beasty does trigger and display its message, _AND_ it is a "more
  557. unique" name.
  558.  
  559. Tim also sent me a copy of this virus, and it has an interesting
  560. feature when it infects a HD with a controller that writes to the MBR.
  561.  
  562. A week or so ago, it was mentioned that some XT HD controllers write
  563. up to 17 bytes (yep, 17!) of guff to the MBR immediately before the 64
  564. bytes reserved for the partition table.  Well, my XT at home has just
  565. such a controller and when that machine is infected with the Empire
  566. virus (I'll use this name for now to avoid/prevent confusion) the HD
  567. is rendered unbootable.  This is because the HD controller seems to
  568. always slip its mystery bytes into a write to 0,0,1, including the
  569. viral infection write. As the Empire virus code requires all of the
  570. MBR sector apart from the last 66 bytes, its code is corrupted by
  571. these 17 mystery bytes, and it doesn't execute correctly, hanging the
  572. machine at boot-up.
  573.  
  574. - ---------------------------------------------------------------------------
  575.  Nick FitzGerald, PC Applications Consultant, CSC, Uni of Canterbury, N.Z.
  576.  Internet: n.fitzgerald@csc.canterbury.ac.nz        Phone: (64)(3) 642-337
  577.  
  578. ------------------------------
  579.  
  580. Date:    Tue, 16 Apr 91 22:24:00 -0500
  581. From:    F8DY@VAX5.CIT.CORNELL.EDU
  582. Subject: Re: Is virus infection by inserting floppy disk possible? (PC) (Mac)
  583.  
  584. mike@pyrite.SOM.CWRU.Edu (Michael Kerner) writes: 
  585. > That's what WDEF viruses do on the Macintosh - they transfer from the
  586. > "desktop" file of the infected floppy to the host.  However, they are
  587. > also extremely easy to kill, and don't do any real damage, so they are
  588. > not (yet) seen as a big threat.
  589.  
  590. It may be easy to kill (rebuild your desktop!) but it also spreads
  591. like wildfire.  And it certainly does do "real damage" -- where I
  592. work, people have lost papers because WDEF crashed their system and
  593. corrupted their files.  It causes printing problems, it crashes a Mac
  594. II almost immediately, and God help you if you get it on a server!
  595.  
  596. In reply to the original question, CDEF (Mac) also works like this:
  597. infecting the desktop file, usually on disk insertion.  And since it
  598. was written at Ithaca High School, it is _all_over_ Cornell.  (Lucky
  599. us.)
  600.  
  601.  
  602.               _____________________________________________
  603.     |        /                \           /                \        |
  604.     |       / You can't fight  |         |   Mark Pilgrim   \       |
  605.     |      |  in here -- this  |\_______/|                   |      |
  606.      \_____|  is the WAR ROOM! |//     \\|   f8dy@cornella.  |_____/
  607.            |   (from Doctor   ///       \\\  cit.cornell.edu |
  608.            |    Strangelove) ///         \\\                 |
  609.             \_______________///           \\\_______________/
  610.  
  611.  My thoughts may not be my own, but they're certainly not my employer's.
  612.  
  613. ------------------------------
  614.  
  615. Date:    17 Apr 91 02:27:05 +0000
  616. From:    "Eric C. Pan" <epan@jarthur.Claremont.edu>
  617. Subject: Viraphobia (Re: AF/91 and April Foolism in general)
  618.  
  619.     I am getting tire of all the people whose hair stand on ends
  620. at the mentioning of viruses.  I think April Fool's Day is a nice way
  621. to relax....
  622.     I believe some people are too easily paniced by any mentioning
  623. of virus.  I am beginning to wonder if you will believe me if I claim
  624. that the human acquired immune deficiency syndrome, i.e. the HIV virus
  625. is spreading to computer. Gosh, I am tired of all the people who ask
  626. me to check their disks for viruses everytime they get a system error,
  627. or their drive makes a funny sound.
  628.     Track Record so far? Out of 20 some people I helped, none of
  629. them have ANY VIRAL INFECTION. NONE! And yet everyday, someone would
  630. scream "Computer Virus" because they crashed their system, sometimes
  631. because they pushed their reset button.
  632.     Is there someway we can stop this PARANOIA?  I think sueing
  633. anyone who bring up virus as a joke is definitely not a solution.
  634.  
  635. ------------------------------
  636.  
  637. End of VIRUS-L Digest [Volume 4 Issue 63]
  638. *****************************************
  639.