home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_071.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  22.6 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #71
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Monday, 29 Apr 1991    Volume 4 : Issue 71
  9.  
  10. Today's Topics:
  11.  
  12. Info wanted on Plastique (PC)
  13. Viruses and Database Systems
  14. Help! Casper/1260 virus (PC)
  15. IBM Scanner Updates (was: TSR Virus Detector (PC))
  16. AIRCOP alert (PC)
  17. Stoned Again (PC)
  18. Disabling the floppy-drives. (PC)
  19. Re: PREVENTION of Drive A: boots - Suggestions Please (PC)
  20. Version 1.15A of F-PROT (PC)
  21. HyperCard virus --should I wait to script? (Mac)
  22. F-PROT 1.15A anti-virus package uploaded to SIMTEL20 (PC)
  23. Yankee Doodle virus (PC)
  24. Malicious Program Definitions
  25. Re: Virucide query (PC)
  26. can we trust diskette write-protection? (PC)
  27. F-FCHK 1.15 & Casper Virus (PC)
  28.  
  29. VIRUS-L is a moderated, digested mail forum for discussing computer
  30. virus issues; comp.virus is a non-digested Usenet counterpart.
  31. Discussions are not limited to any one hardware/software platform -
  32. diversity is welcomed.  Contributions should be relevant, concise,
  33. polite, etc.  Please sign submissions with your real name.  Send
  34. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  35. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  36. anti-virus, documentation, and back-issue archives is distributed
  37. periodically on the list.  Administrative mail (comments, suggestions,
  38. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  39.  
  40.    Ken van Wyk
  41.  
  42. ----------------------------------------------------------------------
  43.  
  44. Date:    26 Apr 91 10:20:29 +0000
  45. From:    cctb@hippo.ru.ac.za (Tim Bouwer)
  46. Subject: Info wanted on Plastique (PC)
  47.  
  48. Hi
  49.  
  50. We have been infected with the Plastique virus and the Jerusalem virus
  51. as reported by McAfee's SCAN program (Ver74).
  52.  
  53. The virus infected files on our Novell 386 server and was inhibited in
  54. it's spread by a program we use which prohibits users from running
  55. files that have been modified in any way.
  56.  
  57. We have some people working on disassembling the code, but have become
  58. concerned that we are in for more trouble from it before this is
  59. complete.
  60.  
  61. Could any kind soul send us some more info on this - an anonymous FTP
  62. site, or some live info that you may have gathered.
  63.  
  64. Thanks
  65.  
  66. Tim
  67.  
  68. - --
  69. | Tim Bouwer   Computing Centre          Tel: 27 [0]461 22023 ext 288 |
  70. | Rhodes University Grahamstown          FAX: 27 [0]461 25049         |
  71. |      6140  South Africa                Internet: cctb@hippo.ru.ac.za|
  72. - -----------------------------------------------------------------------
  73.  
  74. ------------------------------
  75.  
  76. Date:    26 Apr 91 16:15:07 +0000
  77. From:    plains!haraty@uunet.UU.NET (Ramzi A. Haraty)
  78. Subject: Viruses and Database Systems
  79.  
  80. Greetings,
  81.     Does anybody know how to handle viruses in a database system?
  82. In a database environment there would certainly be a lot of updates
  83. and I was wondering how could one limit the infection of viruses into
  84. data items. In other words, how do we guarantee that untrusted users
  85. or processes won't infect our database with viruses?
  86.  
  87. P.S. I am talking at the system level here.
  88.  
  89. Thanks is advance 
  90.  
  91. Ramzi Haraty
  92. email: haraty@plains.nodak.edu
  93.  
  94. ------------------------------
  95.  
  96. Date:    26 Apr 91 16:33:31 +0000
  97. From:    wdh2866@zeus.tamu.edu (HAWKINS, WILLIAM DARYL)
  98. Subject: Help! Casper/1260 virus (PC)
  99.  
  100.    I have just recently scanned my harddrive with F-PROT115.  During
  101. the scan, it returned the message - possible virus found: casper/1260.
  102. The file which it says is infected is vaxlink.exe.  As the name
  103. implies, I use it to upload and download files to and from the vax.
  104. When I tried to disinfect the file, F-FCHK still reported a possible
  105. infection, but would not... or could not disinfect the file.  I have
  106. also scanned the same file with McAfee's SCANV76C, and it does not
  107. report an infection.  The question: Do I have an infection?  (or is
  108. F-FCHK interpreting a piece of code in the vaxlink program as the
  109. signature of the casper/1260 virus...) If I do have an infection, why
  110. won't F-PROT disinfect the file?
  111.  
  112.  Any help would be greatly appreciated......  Thanks in advance.
  113.  
  114. ------------------------------
  115.  
  116. Date:    26 Apr 91 13:29:09 -0400
  117. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  118. Subject: IBM Scanner Updates (was: TSR Virus Detector (PC))
  119.  
  120. John Councill <JXA5@MARISTB.BITNET>:
  121. > it would be a GOOD THING if someone from IBM who reads this, and is
  122. > affiliated with VIRSCAN, could announce new releases of this program
  123. > on VIRUS-L.
  124.  
  125. Mea probably Culpa.  I certainly agree it would be good if we (I) did
  126. this regularly.  We did it informally for the first couple, and only
  127. after-the-fact for 2.00.01; my only excuse is that I (HICL's official
  128. Network Junkie) was out of town when it was released, and we don't
  129. have it down anywhere as an official Thing To Do.  We'll correct that!
  130.  
  131. Dave Chess
  132. High Integrity Computing Lab
  133. IBM Watson Research
  134.  
  135. ------------------------------
  136.  
  137. Date:    Fri, 26 Apr 91 15:23:33 -0400
  138. From:    padgett%tccslr.dnet@uvs1.orl.mmc.com (A. Padgett Peterson)
  139. Subject: AIRCOP alert (PC)
  140.  
  141. Recently, one of our users brought a laptop in for screening. The
  142. AIRCOP boot sector infector was found on two of the 3 1/2 utility
  143. disks furnished with the machine & we have reason to believe that
  144. the virus was on the disk prior to the utility files.
  145.  
  146. The disks are professionally labeled MS-DOS V4.01 utility/diag printed
  147. by CAF Computer Corp. under license from MircroSoft Corp.
  148.  
  149. The virus appears to conform to published reports and contains the
  150. "RED STATE" message in encrypted form. The virus also appears to
  151. expect 360k floppies since the location the original boot sector is
  152. stored in would be in the middle of any larger capacity disk.
  153.  
  154. Since the disk conforms to most Microsoft boot sector specifications,
  155. automatic routines may not pick it up however SCAN v66 and later will
  156. detect it as should any routine looking for memory size information
  157. manipulation.
  158.  
  159. The virus when active does not employ any stealth and will take 1k
  160. bytes from the top of memory. Infected disks may be identified by the
  161. lack of the normal error messages in the boot sector except for the
  162. ASCII "NON-SYSTEM" found at the end of the boot sector just prior to
  163. the MS signature.
  164.  
  165. ------------------------------
  166.  
  167. Date: Fri, 26 Apr 91 15:23:33 -0400
  168. From: padgett%tccslr.dnet@uvs1.orl.mmc.com (A. Padgett Peterson)
  169. Subject: Stoned Again (PC)
  170.  
  171. >From:    "Chris Wagner" <STCW@NMUMUS.BITNET>
  172. >Subject: Initial Virus Protection (PC)
  173. >Right now, cost is a real factor due to a limited budget.
  174. >I get the impression that the only way to be sure we don't have a
  175. >virus is to periodically scan our disks with the latest scanning
  176. >software we can find.
  177.  
  178. >From:    John Councill <JXA5@MARISTB.BITNET>
  179. >Subject: TSR Virus Detector (PC)
  180. >Can anyone reading this recommend a reliable program that will sit in
  181. >memory and warn against writes to .EXE and .COM files, as well as
  182. >other suspicious virus-like activity without degrading performance of
  183. >the machine too much?
  184.  
  185. On the PC, a virus must be executed to have any effect & there are
  186. three ways for this to occur: cold boot from floppy, warm boot from
  187. floppy, user request. The last two can be controlled by software (e.g.
  188. McAfee V-Shield), the first only with hardware (but can be detected
  189. immediately by software).  Full system scanning is only necessary if
  190. an infection is suspected and the extent is to be determined.
  191.  
  192. Once malicious software is present on a system, it can hide in many
  193. ways, the key is to detect such activity before it becomes resident.
  194.  
  195. I am constantly surprised that, considering the simplicity of the PC
  196. architecture, more schools have not developed their own protection
  197. software rather than relying on outsiders, certainly it is more
  198. difficult to write a functional operating system, something most CS
  199. schools require.
  200.  
  201. How about an annual intermural anti-virus competition - anyone
  202. interested ?
  203.  
  204. ------------------------------
  205.  
  206. Date: Fri, 26 Apr 91 15:23:33 -0400
  207. From: padgett%tccslr.dnet@uvs1.orl.mmc.com (A. Padgett Peterson)
  208. Subject: Disabling the floppy-drives. (PC)
  209.  
  210. >From:    "Pete Lucas" <PJML@ibma.nerc-wallingford.ac.uk>
  211. >A far easier way is what i have done; you can buy floppy-drive locks
  212. >that simply fit into the drive slot and prevents anyone putting any
  213. >diskettes in the slot.
  214.  
  215. If you can make the users use the keylock that is - most BSI
  216. infections occur from "accidental" floppy boots, not intruders. A more
  217. effective way is to simply unplug the floppy drive. A keylock just
  218. keeps unauthorized people out but someone must administrate it.
  219.  
  220. ------------------------------
  221.  
  222. Date: Fri, 26 Apr 91 15:23:33 -0400
  223. From: padgett%tccslr.dnet@uvs1.orl.mmc.com (A. Padgett Peterson)
  224. Subject: Re: PREVENTION of Drive A: boots - Suggestions Please (PC)
  225.  
  226. >From:    davidsen@crdos1.crd.ge.COM (Wm E Davidsen Jr)
  227. >  All you need is a switch the BIOS can read to disable trying the
  228. >boot on A:.
  229.  
  230. First you need a BIOS that will read the switch (hardware again - best
  231. but most expensive answer). The programming is trivial but production
  232. is the hard part (ps a ROM extention is easy & uses the stock BIOS,
  233. for maintenance/resale, just remove it & you have a "normal" PC.
  234.  
  235.                                    Warmly, Padgett
  236.  
  237. ------------------------------
  238.  
  239. Date:    Fri, 26 Apr 91 19:21:04 +0000
  240. From:    frisk@rhi.hi.is (Fridrik Skulason)
  241. Subject: Version 1.15A of F-PROT (PC)
  242.  
  243. I have just finished version 1.15A of F-PROT, where some "bugs" in
  244. 1.15 are corrected.  The bugs were:
  245.  
  246.     Occasional false alarms reporting "10 past 3", "Kamikaze" and
  247.     "1260/Casper" infections.
  248.  
  249.     F-DRIVER would (incorrectly) report a "Yankee" infection in
  250.     the anti-virus programs from Central Point.
  251.  
  252.     F-DISINF was unable to detect and disinfect one common variant
  253.     of "Stoned", and would only report..
  254.  
  255.         "...this diskette is infected with an unknown virus."
  256.  
  257. The name of the new file is FP-115A.ZIP, and it should be available on
  258. SIMTEL-20 and beach.gal.utexas.edu shortly.
  259.  
  260. - -frisk
  261.  
  262. ------------------------------
  263.  
  264. Date:    26 Apr 91 14:07:19 -0500
  265. From:    Pat Ralston <IPBR400@INDYCMS.BITNET>
  266. Subject: HyperCard virus --should I wait to script? (Mac)
  267.  
  268. I use HyperCard frequently and am not happy to see that there is a
  269. HyperCard viurs on the loose.
  270.  
  271. Since there have been several comments on the HyperCard anti-virus
  272. script recently which say in general ..."this won't/may not work", I
  273. am not confident that I want to enter this script in my Home Stack.
  274. In fact I have more than one Home Stack because I have customized
  275. several Home Stacks for the specific uses I make of my stacks.
  276.  
  277. I have found John Norstad to be very responsive in the past when new
  278. Mac viruses developed.  John, are you working on this one too?  Or
  279. does anyone else know if the Disinfectant virus checking software is
  280. being updated to include the HyperCard virus?
  281.  
  282. If that is the case I'll wait rather than script something into my
  283. Home Stack that I may not really want there.
  284.  
  285. I do appreciate the work that Mike went to in trying to give us all a
  286. script to defend against the virus.  And I am sure that many Mac users
  287. are grateful for the work that has been done to give us Disinfectant.
  288.  
  289. Pat Ralston
  290. IUPUI   Indiana University - Purdue University at Indianapolis
  291.  
  292. ------------------------------
  293.  
  294. Date:    Fri, 26 Apr 91 19:15:14 +0000
  295. From:    frisk@rhi.hi.is (Fridrik Skulason)
  296. Subject: F-PROT 1.15A anti-virus package uploaded to SIMTEL20 (PC)
  297.  
  298. I uploaded version 1.15A of my F-PROT anti-virus package to SIMTEL20:
  299.  
  300. pd1:<msdos.trojan-pro>
  301. FP-115A.ZIP     Virus detection/removal/prevention/information
  302.  
  303. - -frisk
  304. - - -
  305. Fridrik Skulason
  306. frisk@rhi.hi.is
  307.  
  308. ------------------------------
  309.  
  310. Date:    27 Apr 91 10:59:00 -0600
  311. From:    "William Walker C60223 x4570" <walker@AEDC-VAX.AF.MIL>
  312. Subject: Yankee Doodle virus (PC)
  313.  
  314. Hello, people.  Glad to be part of this discussion.
  315.  
  316. Jim Schank (JIMS@SERVAX.BITNET) write:
  317. > Does anyone out there have information on the Yankee Doodle virus?
  318.  
  319. A little bit: Yankee Doodle is a variant of a virus called Vacsina,
  320. both of which, along with Yankee Doodle-B, belong to the "TP" family
  321. of about 48 viruses (last time I checked).  The second to the last
  322. byte of an infected file is believed to be the "version number" of the
  323. virus.  In the most common Yankee Doodle virus, this number is 2C hex,
  324. or 44 decimal, therefore the name "TP-44."  The viruses from about 25
  325. (19 hex) earlier are called Vacsina, while the later ones are called
  326. Yankee Doodle.
  327.  
  328. I'm not 100% sure when the infection takes place, but I believe that
  329. it occurs when a .COM or .EXE file is run.  As for playing "Yankee
  330. Doodle" on the speaker, TP-44 does indeed play it.  I know because
  331. I've just removed that version from a machine here.  However, when you
  332. test it, don't set the clock exactly at 5:00, set it for 4:59, because
  333. it starts a few seconds early.  Also, be sure that the time is 4:59 PM
  334. (not AM), or 16:59.
  335.  
  336. For additional information, the best source (besides this forum) is
  337. the VIRUSSUM document by Patricia M. Hoffman, which is available on
  338. many BBSs and FTP servers which have anti-virus software.  Oh, by the
  339. way, some versions of Yankee Doodle hunt down other some other
  340. viruses, such as Ping and Cascade.  Who knows, with this kind of
  341. in-fighting, maybe they'll wipe each other out completely!  ;-)
  342.  
  343. Bill Walker
  344. OAO Corporation
  345. Arnold Engineering Development Center
  346. M.S. 100
  347. Arnold Air Force Base, TN  37389-9998
  348.  
  349. ------------------------------
  350.  
  351. Date:    27 Apr 91 18:44:00 -0600
  352. From:    "William Walker C60223 x4570" <walker@AEDC-VAX.AF.MIL>
  353. Subject: Malicious Program Definitions
  354.  
  355. There's enough confusion in the anti-virus community already, without
  356. the confusion resulting from the differences in terminology.  I'm sure
  357. there's nothing new in that statement.  Eldar A. Musaev has a good
  358. start at eliminating the confusion in the terminology, and he's going
  359. about it in a good way: defining differences in function and
  360. classifying by function.  However, his using "Christmas Tree" (I
  361. assume the BITNET CHRISTMAS EXEC) as an example of a Network Worm
  362. doesn't seem quite right to me.  Even if he didn't mean the CHRISTMAS
  363. EXEC, it still doesn't fit neatly into his classifications (see
  364. Virus-L V4 I60).
  365.  
  366. The CHRISTMAS EXEC on BITNET would, in my opinion, be a Trojan Horse
  367. rather than a Worm.  The definitions of a Trojan Horse that I have
  368. seen state that a Trojan Horse is a [standalone] program which
  369. purports to do one thing (and may in fact do it), but covertly does
  370. another, malicious thing.  CHRISTMAS fits this description; however,
  371. CHRISTMAS also replicates.  So, where's the distinction?
  372.  
  373. Perhaps the function of replication could be divided into independent
  374. and dependent.  Independent replication would be that, once started,
  375. the replication process would continue without outside assistance.
  376. Dependent replication would be that the replication process would
  377. occur only while the parent/host/whatever program is running.  In this
  378. way, CHRISTMAS EXEC could be separated from, say, the Internet worm:
  379. CHRISTMAS is a dependent replicator, while the Internet worm is an
  380. independent replicator.
  381.  
  382. However, with this addition, a new problem arises.  How does one
  383. classify NON-resident malicious programs such as Amstrad, Vienna, or
  384. 405?  They're dependent replicators as well.  Would they be separated
  385. from resident malicious programs such as Stoned, Jerusalem, or Yankee
  386. Doodle?
  387.  
  388. Another distinction which should be made is the difference between a
  389. standalone program, an overwriting program, and a parasitic program.
  390. Eldar Musaev separates parasitic by saying it attaches itself to
  391. another file, but he lumps the other two under "non-parasitic."  I
  392. believe that they should be kept separate.  A standalone program is
  393. just that, and requires no other program to help it run and/or spread.
  394. An overwriting program, though it doesn't attach itself to a file and
  395. is itself a complete program, requires that a host/"victim" file be
  396. present for it to replace.  Similarly, a "spawning" program requires
  397. that a host/victim file be present for it to spawn to.  A boot-sector
  398. virus could be classified similarly, depending on how it treats the
  399. original boot sector.
  400.  
  401. Using these further separations, the functional criteria could now become:
  402. I.   Replication
  403.      1.  Non-replicator
  404.      2.  Dependent Replicator
  405.      3.  Independent Replicator
  406.  
  407. II.  Host Basis
  408.      1.  Standalone (non-host-based)
  409.      2.  Host-based
  410.          a.  Spawning
  411.          b.  Overwriting
  412.          c.  Parasitic
  413.  
  414. If the term "bacterium" (plural "bacteria") is used for host-based
  415. dependent replicators, and "virus" ("virii") is used for host-based
  416. independent replicators ( for lack of better terms to separate the two
  417. ), the resulting classifications could now become:
  418.  
  419. I.   Standalone Non-replicators
  420.        Trojan Horses            Example:  ARC 5.13
  421. II.  Spawning Non-replicators
  422.        Spawning Trojans
  423. III. Overwriting Non-replicators
  424.        Overwriting Trojans      Example:  Twelve Tricks
  425. IV.  Parasitic Non-Replicators
  426.        Parasitic Trojans
  427.  
  428. V.   Standalone Dependent Replicators
  429.        Replicating Trojans      Example:  CHRISTMAS EXEC
  430. VI.  Standalone Independent Replicators
  431.        Worms                    Example:  Internet Worm
  432.  
  433. VII. Spawning Dependent Replicators
  434.        Spawning Bacteria        Example:  Aids II
  435. VIII.Overwriting Dependent Replicators
  436.        Overwriting Bacteria     Example:  382 Recovery
  437. IX.  Parasitic Dependent Replicators
  438.        Bacteria                 Example:  Vienna
  439.  
  440. X.   Spawning Independent Replicators
  441.        Spawning Virii
  442. XI.  Overwriting Independent Replicators
  443.        Overwriting Virii
  444. XII. Parasitic Independent Replicators
  445.        Virii                    Example:  Jerusalem
  446.  
  447. Some of the resulting combinations don't have examples at this time,
  448. and some of those (such as a parasitic non-replicator) are not likely.
  449. Also, some people may say that the Lehigh virus is an overwriting
  450. virus.  I would call it parasitic, since it is not a complete program
  451. by itself, but attaches itself to COMMAND.COM, even though it
  452. overwrites the stack space.
  453.  
  454. Well, that's my two cents worth.  I hope it can be of some help.  The
  455. names given for the different combinations are just suggestions; they
  456. don't have to be used ( For that matter, NONE of this HAS to be used
  457. :-) ).  In fact, I'm sure that someone could come up with better names
  458. for some of these.
  459.  
  460. Bill Walker                           |
  461. OAO Corporation                       |
  462. Arnold Engineering Development Center | "I'd like to solve the puzzle, Pat"
  463. M.S. 120                              |
  464. Arnold Air Force Base, TN  37389-9998 |
  465.  
  466. ------------------------------
  467.  
  468. Date:    Sun, 28 Apr 91 06:48:54 +0000
  469. From:    sunset@leland.stanford.edu (Igor Grebert)
  470. Subject: Re: Virucide query (PC)
  471.  
  472. AL380382@VMTECCHI.BITNET (Ramon Bartschat) writes:
  473. >Hi there....
  474. >
  475. >  I have the following question:
  476. >
  477. >      A friend of mine was using the VIRUCIDE program, so I copied it
  478. >to try it out, but when I got home and scanned it with SCAN V67 the
  479. >program told me that VIRUCIDE was compressed with LZEXE and that it
  480. >was infected internally with the Kennedy Virus and with the 12 Tricks
  481. >Troyan Horse. I could never find out any unusual behaviour in
  482. >VIRUCIDE. So what's wrong with VIRUCIDE ????  Right now I got a
  483. >secured copy of VIRUCIDE, in case it's really infected with Kennedy &
  484. >12 Tricks.
  485.  
  486. This problem only appears on the very first version of VIRUCIDE, when
  487. checked with SCAN. It was a false alarm generated by SCAN. The problem
  488. has been solved, and the version you have works perfectly, even though
  489. it is a little outdated: Parson's Technology upgrades VIRUCIDE quite
  490. often, every two to three month, I believe. The current version number
  491. is 2.10, and a next release is due soon.
  492.  
  493. Igor Grebert.
  494.  
  495. ------------------------------
  496.  
  497. Date:    Sun, 28 Apr 91 19:20:07 +0000
  498. From:    jim@cavebear.berkeley.edu (Jim Bradley)
  499. Subject: can we trust diskette write-protection? (PC)
  500.  
  501. I am completely baffled by the following experience.
  502.  
  503. Someone sent me eight (green) 360K 5.25-inch floppy diskettes containing
  504. pkzip archive files.
  505.  
  506. I write-protected each with a silver sticker from another box of diskettes.
  507.  
  508. I subsequently discovered that I could *freely* write or erase files from 
  509. any of these "write-protected" diskettes in the 1.2M half-height floppy drive
  510. of an AT-clone or in the retro-fit 360K half-height floppy drive of an IBM XT.
  511.  
  512. Both machines are located in a computer lab I manage.
  513. (I have not tested other machines,  since I am so spooked by this experience.)
  514.  
  515. When I performed the same test with the same silver stickers with the same
  516. floppy drives,  but this time using diskettes from my own collection,
  517. the write-protection worked correctly.
  518.  
  519. Two issues:
  520.  
  521. 1) My experience (whatever the cause) suggests that write-protecting cannot
  522.    be assumed to provide protection against virus infection if you stick
  523.    Brand-Y diskette into Brand-X machine.
  524.  
  525. 2) What is going on here?  How is it possible for a diskette drive
  526.    to write on one brand of protected diskette, and not on another brand.
  527.    The mind boggles.
  528.  
  529. Jim Bradley, CNR Computer Facility, UC Berkeley
  530. jim@cavebear.berkeley.edu
  531.  
  532. ------------------------------
  533.  
  534. Date:    29 Apr 91 05:16:22 +0000
  535. From:    gbj@melb.bull.oz.au (Graham Jose)
  536. Subject: F-FCHK 1.15 & Casper Virus (PC)
  537.  
  538. I have just started using the latest version (1.15) of F-FCHK and it
  539. has started reporting the possibility of infection by the Casper/1260
  540. virus in a number of data files on my system, and others around the
  541. company, most notably the keyboard.sys file. The previous version of
  542. F-FCHK I have been using (1.13) did not report this warning. Could
  543. someone (FRISK?) please explain whether I actually have an infection
  544. or whether the checking introduced with 1.15 is simply more sensitive.
  545.  
  546. Thanks,
  547. Graham Jose
  548.  
  549.  ---------------------------------------------------------------------------
  550. | Graham Jose, Snr Software Engineer (EFTPOS,Comms) |   Phone: 61 3 4200450 |
  551. | Melbourne Development Centre                        |   Fax:   61 3 4200445 |
  552. | Bull HN Information Systems Australia Pty Ltd     |-----------------------|
  553. | ACSnet  : gbj@bull.oz                             |  Who wants my opinion |
  554. | Internet: gbj@melb.bull.oz.au                     |  anyway?              |
  555.  ---------------------------------------------------------------------------
  556.  
  557. ------------------------------
  558.  
  559. End of VIRUS-L Digest [Volume 4 Issue 71]
  560. *****************************************
  561.