home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_066.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  16.0 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #66
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Friday, 19 Apr 1991    Volume 4 : Issue 66
  9.  
  10. Today's Topics:
  11.  
  12. F-Prot (PC)
  13. Re: Is virus infection by inserting floppy disk possible? (PC) (Mac)
  14. Trying find a good anti-viral software (PC)
  15. 3Com Attack? (PC)
  16. F-PROT 1.15 - Can't find Stoned (PC)
  17. Manual CASCADE-removal? (PC)
  18. Re: Do any viruses affect Novell? (PC)
  19. Re: HyperCard anti-virus script bad (Mac)
  20. FORM virus (PC)
  21. Re: AF/91 and April Foolism in general
  22. Re: Viraphobia (Re: AF/91 and April Foolism in general)
  23. Error in F-PROT 1.15 (PC)
  24. LANs vs. viruses
  25.  
  26. VIRUS-L is a moderated, digested mail forum for discussing computer
  27. virus issues; comp.virus is a non-digested Usenet counterpart.
  28. Discussions are not limited to any one hardware/software platform -
  29. diversity is welcomed.  Contributions should be relevant, concise,
  30. polite, etc.  Please sign submissions with your real name.  Send
  31. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  32. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  33. anti-virus, documentation, and back-issue archives is distributed
  34. periodically on the list.  Administrative mail (comments, suggestions,
  35. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  36.  
  37.    Ken van Wyk
  38.  
  39. ----------------------------------------------------------------------
  40.  
  41. Date:    Thu, 18 Apr 91 11:57:25
  42. From:    <smith_s@gc.bitnet> (Steven W. Smith)
  43. Subject: F-Prot (PC)
  44.  
  45.   I just received FPROT115.ZIP and installed it.  I found a very minor
  46. glitch: I ran the f-test program, and it reports "F-DRIVER is not
  47. installed or not working!".  I tested it against Cascade, and it is in
  48. fact working.
  49.   I am using DR DOS 5.0 on a Rycom "3060" 80386 with 4 meg RAM;
  50. F-driver is installed with:
  51.  
  52. device=c:\qemm\loadhi.sys /h/s c:\f-prot\f-driver.sys
  53.  
  54.   _,_/|
  55.   \o.O;   Steven W. Smith, Programmer/Analyst
  56.  =(___)=  Glendale Community College, Glendale Az. USA
  57.     U     SMITH_S@GC.BITNET
  58. *poof* My opinions are now your opinions, so you'd better get used to it!
  59.  
  60. ------------------------------
  61.  
  62. Date:    Thu, 18 Apr 91 11:56:18 -0700
  63. From:    ntg!slandrum@apple.com (Stephen Landrum)
  64. Subject: Re: Is virus infection by inserting floppy disk possible? (PC) (Mac)
  65.  
  66. CAH0@gte.com (Chuck Hoffman) writes:
  67. > [ ... ]  WDEF is
  68. >benign, and is easily deleted, [ ... ]
  69.  
  70. The Hitchiker's Guide to Computer Virii entry for the WDEF virus is
  71. "Benign".  Ford Prefect and I would like to change the entry to
  72. "Mostly Benign".  :-)
  73.  
  74. We have a lot of Mac IIci's at work, and there is a bug in WDEF (yea,
  75. a bug in a virus :-) ) that causes it to crash the IIci when a disk
  76. with WDEF on it is inserted in the floppy drive.  Fortunately, this
  77. flaw means it never gets installed on the IIci, but it can be
  78. frustrating if you don't have some INIT installed that catches WDEF
  79. and removes it before it crashes the machine.
  80.  
  81. - --
  82. Stephen H. Landrum                                        VOICE: (415) 813-8909
  83.                     UUCP: ...apple!ntg!slandrum
  84.  USNAIL: New Technologies Group Inc. 2468 Embarcardero Way, Palo Alto CA 94303
  85.  
  86. ------------------------------
  87.  
  88. Date:    Thu, 18 Apr 91 15:45:00 -0500
  89. From:    "Sant." <SSIRCAR@ecs.umass.edu>
  90. Subject: Trying find a good anti-viral software (PC)
  91.  
  92. Can someone please help with the following problem?  I would like to
  93. know which of the following virus protection programs are the most
  94. reliable:
  95.     McAfee's SCAN/VSHIELD/CLEAN
  96.     Norton's Anti-Viral program
  97.     Virex-PC
  98. Since I do download quite a bit from ftp sites, I need to protect my
  99. system from viruses.  Currently, I have been using McAfee's VSHIELD &
  100. SCAN programs.  Before I register the programs, I want to know if
  101. Norton's programs are just as good or better?  Registering for the
  102. three McAfee's programs would be more expensive than buying Norton's
  103. program.  I recently missed a sale pricing Norton at $50.  If Norton
  104. is not as good, then I'd rather pay more for the better protection.
  105. So, can someone tell me what is the most reliable software to get?  I
  106. should state that I do use Window over half the time.
  107.  
  108. Is there something similar to MAC's SAM?  I like how the program
  109. automatically checks any removable disks which has been inserted into
  110. the drive.  Is there a PC version of this software which does the same
  111. thing?
  112.  
  113. +------------------------------------------------------------------------------
  114. +
  115. | Santanu Sircar                               BITNET:   ssircar@umaecs.bitnet 
  116. |
  117. | University of Massachusetts/Amherst          INTERNET: ssircar@ecs.umass.edu 
  118. |
  119. +------------------------------------------------------------------------------
  120. +
  121.  
  122. ------------------------------
  123.  
  124. Date:    Thu, 18 Apr 91 15:58:33 -0600
  125. From:    rtravsky@CORRAL.UWyo.Edu (Richard W Travsky)
  126. Subject: 3Com Attack? (PC)
  127.  
  128. The current issue of Network World (April 15th) has a front page item
  129. on 3Com's campus net being hit by a virus (a 5,000 node network).
  130. Interesting article, but nowhere can I find what virus was involved.
  131. Any one have any 'inside' information?
  132.  
  133. Richard Travsky
  134. Division of Information Technology     Internet: RTRAVSKY @ CORRAL.UWYO.EDU
  135. University of Wyoming                  (307) 766 - 3663 / 3668
  136.  
  137. ------------------------------
  138.  
  139. Date:    Thu, 18 Apr 91 16:35:00 +0000
  140. From:    Jim Schenk <JIMS@SERVAX.BITNET>
  141. Subject: F-PROT 1.15 - Can't find Stoned (PC)
  142.  
  143. Hello,
  144.  
  145. I just downloaded the latest version of F-PROT, version 1.15, from
  146. beach.gal.utexas.edu.  Before upgrading my old 1.14, I decided to test
  147. the new version.  It was able to detect and disinfect
  148. Israeli/Jerusalem, as well as Yankee (TP-44); however, when I ran
  149. F-DISINF on a known "Stoned" -infected floppy, I got the message:
  150. "This boot sector is infected with a new virus."
  151.  
  152. I then ran F-DISINF from version 1.14, which gave me the expected
  153. "This boot sector is infected with the Stoned virus.  Disinfect?"
  154. message.  Scratching my head, I took a peek at the sign.txt files for
  155. both versions.  F-PROT 1.14's sign.txt had an entry:
  156.  
  157. Stoned      yMAoWM85aMkPEkvm8p8WVs7NW5H5hk70JqdKUh4YVYCslmfA
  158.  
  159. While version 1.15's sign.txt had the entries:
  160.  
  161. Stoned-379  PmAcC5wma5utNjB5R7QqEV2ew8ErtdMmF3wRDKb5o3umMKyY7jVz0mKUakrP
  162. Stoned-fam  PM8oCju535LdT555sd5Km5I40NVsjajLns0Np58WedJu
  163.  
  164. I added the 1.14 signature into 1.15's sign.txt file, ran F-DISINF
  165. again, and sure enough, it was able to find and disinfect Stoned.
  166.  
  167. Has anyone had any similar experiences with 1.15?
  168.  
  169. By the way, I've been using F-PROT on campus here since version 1.10,
  170. and it is by far the best anti-virus program I've tested.
  171.  
  172. Jim Schenk
  173. University Computer Services
  174. Florida International University
  175.  
  176. Bitnet:         jims@servax
  177. Internet:       jims@servax.fiu.edu
  178.  
  179. ------------------------------
  180.  
  181. Date:    Thu, 18 Apr 91 18:31:03 +0200
  182. From:    SI0_AB90038@DEBET.NHH.NO
  183. Subject: Manual CASCADE-removal? (PC)
  184.  
  185. I had for some time a few programmes that were not backup-ed. During
  186. this period, my PC was infected by the CASCADE-1701 *COM-virus. I have
  187. planned just destroying the files; they are not worth as much as the
  188. price of a disinfector; but hope that someone here can assist me in
  189. manually removing this virus.
  190.  
  191. If this implies a lot of work, I'd rather destroy the files, but if
  192. anybody can help me, I'd be grateful. If you find out that the
  193. workload will be to heavy, please mail me anyway so I can start
  194. deleting...
  195.  
  196. TNX in advance from
  197.  
  198. Audun Bringsvor
  199. Norwegian School of Economics
  200.  
  201. si0_ab90038@debet.nhh.no
  202.  
  203. ------------------------------
  204.  
  205. Date:    Thu, 18 Apr 91 17:32:17 -0700
  206. From:    jesse%altos86.Altos.COM@vicom.com (Acer - Jesse Chisholm)
  207. Subject: Re: Do any viruses affect Novell? (PC)
  208.  
  209. |dweissman@amarna.gsfc.nasa.gov (WiseGuy) writes:
  210. |> What viruses (if any) affect Novell local area networks?  Any DOS
  211. |> virus?  Over a broadband/ethernet LAN?
  212.  
  213. About 1.5 years ago, our NOVELL network was infected with Jerusalem-B.
  214. What happened was MicroSoft-Word needs to be writable because it can
  215. reconfigure itself for some user options.  What we think happened is
  216. the supervisor ran MSW from a workstation that was infected.  From MSW
  217. the whole company was soon infected.  Since MSW remained writable to
  218. itself, it infected itself 70 someodd times.  The infection was not
  219. detected until a TSR that was being developed in the R&D department
  220. started showing eratic behavior.  It worked fine the first time it was
  221. compiled and run, but never again.
  222.  
  223. Because of this, and the three weeks it took to clean house, our MIS
  224. department purchased a battery of protection programs and scanning
  225. programs.  We have had no network infections since.
  226.  
  227. We have been infected by Stoned, Jerusalem-B, Disk-Killer at various
  228. times since then, but only on a limited number of workstations before
  229. it was detected and cleaned.  We have a problem trying to keep suspect
  230. floppies out of our system, since the Taiwan office is always sending
  231. floppies to us and not everyone knows about viral protection.
  232.  
  233. Its an uphill battle, but so far we are winning.
  234.  
  235. - -- 
  236. Jesse Chisholm          | "I've UNDERSTOOD IT!  Well, that is, ...,
  237. jesse@Altos86.Altos.COM |  I'm not exactly sure WHAT I've understood,
  238. Tel 1-408-432-6200x4810 |  but I have the impression I've understood
  239. Fax 1-408-434-0273      |  SOMETHING." -- Anselm Lanturlu
  240.  
  241. ------------------------------
  242.  
  243. Date:    Fri, 19 Apr 91 00:02:59 +0000
  244. From:    mike@pyrite.SOM.CWRU.Edu (Michael Kerner)
  245. Subject: Re: HyperCard anti-virus script bad (Mac)
  246.  
  247. You know, I've been doubting my own infallibility for the past few
  248. days since Bruce posted the "sorry, but it won't work", so I tried to
  249. send set and the params directly to HC, only it isn't happening, guys.
  250. Now I really would like to put this whole thing to rest, so try it:
  251. Try to send the set command directly to HC and change the script of a
  252. stack.  I have yet to be able to do it.  In other words, the theory
  253. is, of course correct, but it ain't working in practice, and I'm out
  254. of ideas, so please, all ye doubters, try it and then send me your
  255. scripts because all I'm getting are error messages with no results.
  256. Don't send me your ideas, I want working, syntactically correct
  257. scripts.  If they work for me I'll withdraw my previous comments.
  258. Until then, please prove me wrong.
  259.  
  260. Mikey.
  261. Mac Admin
  262. WSOM CSG
  263. CWRU
  264. mike@pyrite.som.cwru.edu
  265.  
  266. ------------------------------
  267.  
  268. Date:    Fri, 19 Apr 91 03:10:41 +0000
  269. From:    woodd@spot.Colorado.EDU (WOOD DEREK H)
  270. Subject: FORM virus (PC)
  271.  
  272. A local Community College I work at was just dropped dead by the FORM
  273. virus (as detected by Norton Anti-virus).  Any help you can throw at
  274. me as soon as possible would be appreciated.  We are entering the
  275. Finals week next week, and students need the units in order to finish
  276. projects.  Either here or e-mail would be greatly appreciated.  We
  277. have identified about 150 machines that are infected, and hope to find
  278. a fix.  We are fairly much novices when it comes to dealing with
  279. viruses, so any info from the simple to the technical will be
  280. appreicated.
  281.  
  282. THX!
  283.  
  284. Derek Wood
  285.  
  286. ------------------------------
  287.  
  288. Date:    Wed, 17 Apr 91 22:29:27 +0000
  289. From:    jkp@cs.HUT.FI (Jyrki Kuoppala)
  290. Subject: Re: AF/91 and April Foolism in general
  291.  
  292. [ someone writes lots of babbling about lawsuits and such for an april
  293. fools joke ]
  294.  
  295. If people lack knowledge about the things they're reading and in
  296. general take everything they read from newspapers as the Truth without
  297. checking it first with someone competent enough to know what's it all
  298. about, in my opinion they deserve all what they get.
  299.  
  300. You're in much more trouble than some lost time if you blindly believe
  301. anything you happen to read in a publication.
  302.  
  303. It seems to me that especially in the computer virus field the lack of
  304. knowledge about computer security in general is often exploited by
  305. various venturers.  Sure, there's nothing inherently wrong with
  306. wasting your money spending it on various virus detection programs,
  307. populist books and such.
  308.  
  309. Computer viruses in themselves are not a big problem.  The big problem
  310. is persons with no knowledge of the risks involved and no proper
  311. training and/or usage policies using computer systems with nil (or
  312. worse, security-by-obscurity ones) operating system and application
  313. program access controls, with the programs often written by persons
  314. with equal lack of knowlegde.  Add to that the lack of source code and
  315. then even if the users were competent enough they couldn't find or fix
  316. the holes and lacks of controls.
  317.  
  318. //Jyrki
  319.  
  320. ------------------------------
  321.  
  322. Date:    Fri, 19 Apr 91 10:08:00 +0000
  323. From:    "A.M.MAIR" <CHGS02@vaxb.strath.ac.uk>
  324. Subject: Re: Viraphobia (Re: AF/91 and April Foolism in general)
  325.  
  326. epan@jarthur.Claremont.edu (Eric C. Pan) writes:
  327. >     I am getting tire of all the people whose hair stand on ends
  328. > at the mentioning of viruses.  I think April Fool's Day is a nice way
  329. > to relax....
  330. >     I believe some people are too easily paniced by any mentioning
  331. > of virus.  I am beginning to wonder if you will believe me if I claim
  332. > that the human acquired immune deficiency syndrome, i.e. the HIV virus
  333. > is spreading to computer. Gosh, I am tired of all the people who ask
  334. > me to check their disks for viruses everytime they get a system error,
  335. > or their drive makes a funny sound.
  336. >     Track Record so far? Out of 20 some people I helped, none of
  337. > them have ANY VIRAL INFECTION. NONE! And yet everyday, someone would
  338. > scream "Computer Virus" because they crashed their system, sometimes
  339. > because they pushed their reset button.
  340. >     Is there someway we can stop this PARANOIA?  I think sueing
  341. > anyone who bring up virus as a joke is definitely not a solution.
  342.  
  343. Consider yourself lucky not to be dealing with virus.  We now *have*
  344. to scan publically used machines daily at this university.
  345. Personally, I find "ping" or "stoned" (now being reported as
  346. "stoned/swedish") being brought in on students' floppies.
  347.  
  348. Ann
  349.  
  350. ------------------------------
  351.  
  352. Date:    Fri, 19 Apr 91 10:13:39 +0000
  353. From:    frisk@rhi.hi.is (Fridrik Skulason)
  354. Subject: Error in F-PROT 1.15 (PC)
  355.  
  356. An error was discovered in version 1.15 of F-PROT.
  357.  
  358. Symptoms: F-TEST would report that F-DRIVER was not installed or not
  359.       working, when in fact it was.
  360.  
  361. Reason:   F-TEST was locked by F-XLOCK, but it should not have been.
  362.  
  363. Fix:      Either just give the command
  364.  
  365.         F-UNLOCK F-TEST.COM
  366.  
  367.       or replace the F-TEST.COM with the following program.
  368.  
  369. begin 755 f-test.com
  370. hY70u1U4o0QoVi+-AnG349IFGGJN3IW-dQm-iPrEUOKtnR43gP4JY64xm64tj
  371. BR0-rPr7fOKtb6Eo87034
  372. +
  373. end
  374.  
  375. - -frisk
  376.  
  377. ------------------------------
  378.  
  379. Date:    Fri, 19 Apr 91 09:58:26 -0400
  380. From:    Kenneth R. van Wyk <krvw@cert.sei.cmu.edu>
  381. Subject: LANs vs. viruses
  382.  
  383. There has been some renewed talk recently about viruses infecting
  384. LANs.  I would just like to toss in the following observation.
  385.  
  386. LANs (specifically LAN file servers) are, in essence, multi-user
  387. systems.  As with other multi-user systems (e.g., UNIX), there are
  388. many administrative issues involved with virus protection in addition
  389. to the basic integrity of the LAN operating system.  Most importantly,
  390. file and directory protections become critical.  A single
  391. world-writable and publicly available file can quickly become a vector
  392. for a virus without the virus having ANY knowledge that it is indeed
  393. infecting a LAN; most LAN interfaces are, after all, designed to look
  394. just like DOS to the average application program and to the user.
  395.  
  396. Also, privileged users can bypass file protections.  If a privileged
  397. user executes an infected file, the LAN may become infected - again
  398. without the virus having any knowledge that it is infecting a LAN.
  399.  
  400. These issues are CRITICAL!  Before we jump to conclusions about any
  401. LAN being susceptible to a virus, we must very carefully examine all
  402. of the possibilities.
  403.  
  404. Cheers,
  405.  
  406. Ken van Wyk
  407.  
  408. ------------------------------
  409.  
  410. End of VIRUS-L Digest [Volume 4 Issue 66]
  411. *****************************************
  412.