home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_081.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  24.5 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #81
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Tuesday, 14 May 1991    Volume 4 : Issue 81
  9.  
  10. Today's Topics:
  11.  
  12. Joshi Virus questions (PC)
  13. Into the 1990's
  14. FLIP or OMICRON (PC)
  15. Stealth viruses (PC)
  16. Virii (sic) on Factory Software & Legal Issues
  17. re: The Shape of the World (PC)
  18. Re: TSR Virus Detector (PC)
  19. Gatekeeper 1.2 released (Mac)
  20. Comparing virus scanners (PC)
  21. Trojan version of VIRUSCAN version 78 (PC)
  22. Re: SCAN hangs while checking Window's SOL.EXE file (PC)
  23.  
  24. VIRUS-L is a moderated, digested mail forum for discussing computer
  25. virus issues; comp.virus is a non-digested Usenet counterpart.
  26. Discussions are not limited to any one hardware/software platform -
  27. diversity is welcomed.  Contributions should be relevant, concise,
  28. polite, etc.  Please sign submissions with your real name.  Send
  29. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  30. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  31. anti-virus, documentation, and back-issue archives is distributed
  32. periodically on the list.  Administrative mail (comments, suggestions,
  33. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  34.  
  35.    Ken van Wyk
  36.  
  37. ----------------------------------------------------------------------
  38.  
  39. Date:    13 May 91 14:05:12 +0000
  40. From:    sph0301@utsph.sph.uth.tmc.edu (Kate Wilson)
  41. Subject: Joshi Virus questions (PC)
  42.  
  43. After months of fighting the Stoned virus, we now have had at least one
  44. occurance of Joshi.  There are a couple questions I have about this
  45. virus -
  46.  
  47. First, the infected machine was checked (by me) using McAfee's Scan76 on
  48. Monday.  On Tuesday the PC started having "real time clock errors".  By
  49. Wednesday morning it wouldn't boot - hung up when it hit the first line
  50. of the config.sys file.  After several hours of troubleshooting, we
  51. checked for viruses again, and this time Joshi showed up.  The user
  52. swears she hadn't used ANY floppy disks in the last couple days (not even
  53. her own)...I don't known anything about this virus - what are the typical
  54. symptoms? Is there some time delay before it activates?
  55.  
  56. Second question: according to VIRLIST.TXT included with the McAfee program,
  57. Joshi corrupts data files.  Does this mean that it could reside in a data
  58. file, or just that it could damage them?  I always thought that viruses
  59. only damaged executable files.  If I had scanned the PC using SCAN /A (to
  60. scan all files, not just executables) might I have caught this sooner?
  61.  
  62. Kate Wilson
  63. UT School of Public Health
  64. Houston, TX sph0301@utsph.sph.uth.tmc.edu
  65.  
  66. ------------------------------
  67.  
  68. Date:    Mon, 13 May 91 11:21:18 -0400
  69. From:    Padgett Peterson <padgett.tccslr.dnet@mmc.com>
  70. Subject: Into the 1990's
  71.  
  72. First I would like to offer an apology to Ross Greenberg (Flu-Shot)
  73. and Fridrik Skulasson (F-Prot). You can count on your fingers the
  74. number of people who have made real contributions to the anti-viral
  75. scene and these are two of them. My choice of words ("You get what you
  76. pay for") in the circumstances was unfortunate.
  77.  
  78. At the same time, I constantly deal with more and more users of PCs
  79. who could care less what kind of platform they are dealing with, all
  80. they are interested in is their spreadsheet/publications/
  81. communications capability. These people are not interested in which
  82. strain of the 4096 they have been infected with, their concern is that
  83. the machine is operating properly and without any hidden "extras".
  84.  
  85. Consequently, those techniques that were developed when mere ownership
  86. of a PC qualified one as a "hacker" (in the original sense), are more
  87. suited to the technicians who are paid to understand the architecture.
  88. What the user needs to know is that SOMETHING has happened and that a
  89. technician is needed to interpret WHAT - wheter it be a problem caused
  90. by power supply (I see a lot of these), drive, ICs, or malicious
  91. software.
  92.  
  93. Today, viruses seem to account for on the order of 10-20% of the
  94. trouble calls I get. They are significant enough to warrant avoidance
  95. measures, but not anything to panic about.
  96.  
  97. The fact of the matter is that today EVERY "common" virus allocates
  98. resources to itself, most in obvious manners, and all are detectable
  99. to the user/program that bothers to look. Trojans & logic bombs as
  100. well as simple failures are another matter entirely but protection is
  101. possible (just not as "glamorous").
  102.  
  103. Since the PC (and MAC) have only rudimentary integrity checking built
  104. in, the first order of business should be to add-on some additional
  105. measures to ensure the validity of the machine. Because problems
  106. (including malicious software) can begin at the BIOS level, so must
  107. integrity checking.
  108.  
  109. The real point I have been trying to make for some time is that such
  110. checking IS NOT DIFFICULT, orders of magnitude less than what it takes
  111. to write a good word processor, it just has not been done yet.
  112.  
  113. There are some guidelines and dead ends to be avoided: for example
  114. McAfee's SCAN /AV adds ten bytes of authentication to each program
  115. that can be retrieved by the resident VSHIELD program. Enigma-Logic's
  116. Virus-Safe stores the checksums in a single separate data file. Either
  117. is to be preferred to Norton's Anti-Virus method which reportedly
  118. creates a 77 byte file for each executable since given a disk like
  119. mine with 1100 executables and 2k clusters, this would take up over 2
  120. Mb for those 77 byte files. With an 8k cluster size such as I have
  121. seen on many machines, we would be talking almost 9 Mb (each file
  122. takes up at least one cluster). Few users could afford this.
  123.  
  124. Consequently, IMHO the first priority should be given to a resident
  125. integrity checking package designed for the single user system that
  126. uses authenticated data paths to each peripheral, and adds the program
  127. validation and permission process that exists on mainframes. The major
  128. difference would be that instead of user privileges we would have a
  129. set of program privileges on record.
  130.  
  131. In this way, if a program were permitted to go resident, this
  132. attribute would be recorded and the location, hooked vectors, size,
  133. and memory checksum would be kept on file. Similarly, a self modifying
  134. program such as WordPerfect would be permitted to do so, but only to
  135. its own executables.
  136.  
  137. I also believe that in the near future, signature scanning programs
  138. will be limited to the technicians, researchers, and hobbyists who
  139. need such sophisticated tools, and will not be in general use by the
  140. average user.
  141.                     Comments welcome,
  142.                                                          Padgett
  143.  
  144. ------------------------------
  145.  
  146. Date:    13 May 91 11:32:00 +0200
  147. From:    storck@yogi.vmsmail.unibas.ch
  148. Subject: FLIP or OMICRON (PC)
  149.  
  150. Hello everybody
  151.  
  152. I have an IBM Clone 386/25 and suddenly I detected a virus with the
  153. following outlook.It converted EXE-,COM- and BAT-Files to files with
  154. the name of the little greek letter GAMMA and the attributes
  155. Read-Only,System,Archive and Hidden, though the files couldn't be
  156. deleted. After having detected it with two different programs
  157. (VIRScan, TNTVirus) I had two different names of the virus: FLIP ,
  158. OMICRON.
  159.  
  160. Now my questions:
  161.  1) Is 'FLIP' another name for 'OMICRON' ?
  162.  2) Infected files can be desinfected by TNTVirus 7.02. Are these
  163.     files after desinfection 100% executable ?
  164.  
  165. Many thanks in advance to everybody who can send me an answer !
  166.  
  167. Pascal
  168.  
  169. ------------------------------
  170.  
  171. Date:    Mon, 13 May 91 11:19:24 +0000
  172. From:    frisk@rhi.hi.is (Fridrik Skulason)
  173. Subject: Stealth viruses (PC)
  174.  
  175. I am working on an article on "stealth" viruses, and was wondering if I had
  176. missed any of them - here is my list:
  177.  
  178. Boot sector stealth viruses: Azusa, Brain, EDV, Evil Empire, Joshi and
  179.     Spanish Telecom (boot)
  180.  
  181. Program stealth viruses: Fish6, Frodo, INT13, Number of the Beast, Whale
  182.     ZeroHunt (Minnow)
  183.  
  184. Note that I do not consider any of the following program viruses to
  185. belong to the "stealth" category, as they only fulfill one of the two
  186. necessary conditions (hiding increase in length), but make no attempt
  187. to hide the virus code, when an infected file is read.
  188.  
  189. 3445, Diamond, Dir, Eddie-2000, Eddie-2100, Eddie-2, MG, PcVrsDs,
  190. Spanish Telecom (file), SVC 4.0 and Zero Bug.
  191.  
  192. Did I overlook something ?
  193.  
  194. - -frisk
  195.  
  196. Fridrik Skulason                 Technical Editor of the Virus Bulletin (UK)
  197. (author of F-PROT)               E-Mail: frisk@rhi.hi.is    Fax: 354-1-28801
  198.  
  199. ------------------------------
  200.  
  201. Date:    Mon, 13 May 91 13:56:58 -0400
  202. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
  203. Subject: Virii (sic) on Factory Software & Legal Issues
  204.  
  205. >From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  206. >Padgett:  We must sue the vendors!
  207.  
  208. Well, this isn't quite what I said, however what we have here is a
  209. simple lesson in perception and economics. Quality assurance, which
  210. includes sampling and integrity validation (what we are shipping is
  211. what we said we would ship), has a cost.
  212.  
  213. Traditionally, the most difficult cost centers to justify are security
  214. and quality assurance since anything they find can keep the product
  215. from going out the door. In the case of security, the risk is
  216. apparent, but quality assurance is usually the result of contractual
  217. clauses that specify it.
  218.  
  219. Most electrical appliances carry the Underwriters Laboratories seal of
  220. approval because vendors have discovered that the seal works both
  221. ways, protecting both the consumer and the vendor.
  222.  
  223. The problem is that with software, there is no such seal, nor is there
  224. any demand for one. To the vendors, QA is not a justifiable expense at
  225. the disk level since there is no requirement for it. Similarly, if a
  226. problem is discovered, most vendors will try to sweep it under the rug
  227. since to admit that a problem exists would open them to liability and
  228. lost sales. Since at present there is no risk in doing so, it is the
  229. exceptional company that will "go public" with a problem.
  230.  
  231. The only way this is going to change is if the risks of not "going
  232. public" becomes greater than the risks from "going public". Hopefully,
  233. the cost of either will also make effective QA cost effective. Hence
  234. my comment "bring in the lawyers", not necessarily to sue, but to
  235. explain such concepts as "culpable negligence" in such a way that
  236. no-one can plead ignorance & the corporate managers can go to their
  237. bosses for QA funding with some hope of success.
  238.  
  239. Unfortunately, as with the SPA, it is probably going to take a few
  240. publicised civil actions before the vendors are going to do the "right
  241. thing", I was surprised a year ago that it had not already happened.
  242. Of course a full recall of all such software is a bitter and expensive
  243. pill for a company to swallow (and why most automotive recalls, while
  244. always publicised as "for our customer's safety" by the manufacturers,
  245. are often the result of a tooth & nail fight with NHTSA (did I get the
  246. letters right ?) before they become official.
  247.  
  248. At the moment there is no computer industry "NHTSA" (and few qualified
  249. people who would be willing to serve on it).
  250.  
  251. Having been in the corporate world since leaving the unfriendly skies
  252. of SouthEast Asia. I KNOW that there must be good people at companies
  253. like Packard-Bell who are being forced to follow a "party line"
  254. against their better judgement (incidently, from what I have seen, the
  255. equipment is pretty good and reasonably priced).
  256.  
  257. However, this does not help the customer with their third largest
  258. investment (?) who finds their PC useless shortly after arriving home,
  259. something that is going ultimately to hurt the entire industry for
  260. some time to come (see below).
  261.  
  262. >From:    Peter Jones <MAINT@UQAM.BITNET>
  263. >Subject: Re: Packard-Bell (PC)
  264.  
  265. >Perhaps the recent sightings are due to diskettes remaining in
  266. >storage for 6 months or so.
  267.  
  268. Quite likely, though the reports of the Azusa are new. However,
  269. considering how these units are sold (department stores, mail order),
  270. that inventory is liable to be around for quite some time to come. You
  271. would think that the manufacturer could at least identify which lots
  272. and models are liable to have infected disks, certainly the two
  273. viruses involved (MusicBug & Azusa) are easy to identify & the
  274. distribution disks reported to be infected (COMBASE, TVGA, & SVGA) are
  275. limited.
  276.  
  277. In short, while I am sure that Ken will be glad to see an end to this
  278. issue, to me it is a vital one that we can either learn from and
  279. insist on safeguards from those best able to provide them, or have the
  280. interesting experience of repeating it again in another six months or
  281. so.
  282.  
  283.                                         Warmly,
  284.                                                  Padgett
  285.  
  286. ------------------------------
  287.  
  288. Date:    13 May 91 09:50:26 -0400
  289. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  290. Subject: re: The Shape of the World (PC)
  291.  
  292. >From:    microsoft!c-rossgr@uunet.uu.net
  293. >
  294. >This loud cry for protection against research-only viruses is quite
  295. >quite bothersome -- the numbers game we have to play (as a vendor) in
  296. >order to counter "my scanner can beat up your scanner" type of games
  297. >is sorta foolish -- yet we must play the game.
  298.  
  299. Must we?  Or rather, given that we must at the moment, must we always?
  300. Is there any hope that the anti-virus community might band together
  301. (for a moment, at least!) and decide that the numbers game shall be
  302. played ONLY with viruses that have appeared in reliably-confirmed
  303. real-world incidents?  I'm not sure; the hope that we might is part of
  304. why I asked those questions.  It would mean restraining ourselves in
  305. advertising and in talking to the press, getting publications like the
  306. Virus Bulletin (and others less respectable) to stop using 300+
  307. viruses, including losers like the Anti-Pascals, in their evaluations,
  308. and so on.
  309.  
  310. It might be marketingly impossible, of course.  On the other hand, is
  311. it possible that eventually people making buying decisions will get
  312. tired of "We Detect 100 More Viruses Than Our Competitors!!!" sorts of
  313. claims, and be more impressed by "We Detect Every Virus Known To Have
  314. Caused A Real Infection, and We're <faster, cheaper, easier to use,
  315. etc>"?
  316.  
  317. DC
  318.  
  319. ------------------------------
  320.  
  321. Date:    12 May 91 09:25:06 +0000
  322. From:    frisk@rhi.hi.is (Fridrik Skulason)
  323. Subject: Re: TSR Virus Detector (PC)
  324.  
  325. esaholm@utu.fi (Esa Holmberg) writes:
  326. >RADAI@HUJIVMS.BITNET (Y. Radai) writes:
  327. >
  328. >>  The programs which I compared were F-LOCK, FSP, SECURE, TSAFE, and
  329. >
  330. >    I'm afraid you have tested a wrong program; F-DRIVER
  331. >    would be the actual resident virus tester of the F-PROT
  332. >    package, and not F-LOCK. I wonder, what the results
  333. >    would look like with F-DRIVER instead of F-LOCK ?
  334.  
  335. Well, no - Y. Radai tested the correct program - the important
  336. question was not how effective the programs were against KNOWN
  337. viruses, but rather how effective they were against the methods used,
  338. and how effective they would be against new viruses using those
  339. methods.
  340.  
  341. I had a version of F-LOCK which was able to stop all the viruses from
  342. accessing the system directly, but I removed that feature in version
  343. 1.08, (I think) as it conflicted with some programs, including my
  344. cache program.
  345.  
  346. Besides - I don't currently put much emphasis on the F-LOCK part of my
  347. package, for two reasons - it does not work with Windows (F-DRIVER
  348. will), and it is being rewritten for version 2.0
  349.  
  350. Regarding version 2.0, which was originally scheduled to be released
  351. two months ago - I have been seriously considering to change the name
  352. of the product.  The most likely new name is taken from the Greek
  353. mythology, 'Argus' - the name of the hundred-eye all-seeing giant.
  354.  
  355. Any suggestions ?
  356.  
  357. - -frisk
  358.  
  359. Fridrik Skulason                 Technical Editor of the Virus Bulletin (UK)  
  360. (author of F-PROT)               E-Mail: frisk@rhi.hi.is    Fax: 354-1-28801
  361.  
  362. ------------------------------
  363.  
  364. Date:    13 May 91 15:40:21 +0000
  365. From:    rstewart@ccwf.cc.utexas.edu (Robert Stewart)
  366. Subject: Gatekeeper 1.2 released (Mac)
  367.  
  368.         Machine Name            IP Number
  369.         ------------            ---------
  370.         ix1.cc.utexas.edu       128.83.1.21
  371.         ix2.cc.utexas.edu       128.83.1.29
  372.         bongo.cc.utexas.edu     128.83.186.13
  373.     sumex-aim.stanford.edu    36.44.0.6
  374.  
  375.  
  376. I can vouch for its existence at bongo, having retrieved it from there
  377. this morning. In addition to this list of features in the announcement
  378. on comp.sys.mac.announce (very similar to the list I posted a week or
  379. so ago), the new versions do some self-validation checks in an attempt
  380. to determine whether they have been corrupted, and they also provide
  381. more informative error messages.
  382.  
  383. Robert Stewart
  384. rstewart@ccwf.cc.utexas.edu
  385.  
  386. ------------------------------
  387.  
  388. Date:    Mon, 13 May 91 19:05:53 +0000
  389. From:    frisk@rhi.hi.is (Fridrik Skulason)
  390. Subject: Comparing virus scanners (PC)
  391.  
  392. What follows is a table comparing several virus scanners.  I am
  393. obviously not unbiased, being the author of one of the programs, but
  394. the table was not compiled by me, but rather Franz Swoboda in Austria.
  395.  
  396. He does not list all anti-virus programs known today - only those on
  397. the market in Austria.
  398.  
  399. Also, he is testing the programs against his personal collection,
  400. which may not represent accurately the world's virus scene.
  401.  
  402. The table lists the programs, the "hit rate" and the time required for
  403. scanning.
  404.  
  405. Findviru 2.0 (S&S)       97%    75 sec
  406. F-FCHK 1.14A             93%   259 sec
  407. Virusdet 3.00 (Puls)     85%   223 sec
  408. Watchdog 4.16 (KDT)      82%   512 sec
  409. Scanv75 (McAfee)         80%   260 sec
  410. Unvirus 3.08 (Elia Shim) 73%    65 sec
  411. Stopvir 2.31             73%    96 sec
  412. Virutest 1.0 (JP Landen) 66%   518 sec
  413. Pro-scan 2.1             65%   184 sec
  414. Norton 1.00              62%   130 sec
  415. VU-Advanced 1.03         61%   479 sec
  416. Viru-Spy 4.0             58%   178 sec
  417. AVsearch 2.23            57%   750 sec
  418. TBscan 1.7               46%   105 sec
  419. TNTvirus 7.00A (Carmel)  45%   190 sec
  420. Virscan 1.45             38%   200 sec
  421.  
  422. Note that in many cases the products compared are not the latest
  423. versions, but according to Swoboda, they were the latest available in
  424. Austria.
  425.  
  426. - -frisk
  427.  
  428. Fridrik Skulason                 Technical Editor of the Virus Bulletin (UK)
  429. (author of F-PROT)               E-Mail: frisk@rhi.hi.is    Fax: 354-1-28801
  430.  
  431. ------------------------------
  432.  
  433. Date:    Mon, 13 May 91 14:50:16 -0700
  434. From:    Aryeh Goretsky <aryehg%darkside.com@apple.com>
  435. Subject: Trojan version of VIRUSCAN version 78 (PC)
  436.  
  437. TROJAN VERSION OF VIRUSCAN VERSION 78
  438.  
  439. We have received a trojan horse version of VIRUSCAN.  The hacked SCAN
  440. has apparently been uploaded to BBSes in Michigan, USA under the
  441. filename SCANV78.ZIP.  Running PKZIP -V on the file reveals:
  442.  
  443.  .PKUNZIP (R)    FAST!    Extract Utility    Version 1.1    03-15-90
  444.  .Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKUNZIP/h for help
  445.  .PKUNZIP Reg. U.S. Pat. and Tm. Off.
  446.  .
  447.  .Searching ZIP: SCANV78.ZIP - Fantasia BBS (313)/788-0882
  448.  .
  449.  . Length  Method   Size  Ratio   Date    Time   CRC-32  Attr  Name
  450.  . ------  ------   ----- -----   ----    ----   ------  ----  ----
  451.  .  12816  Implode   5255  59%  04-08-91  14:28  08a87ed8 --w  AGENTS.TXT
  452.  .   9406  Stored    9406   0%  02-03-91  17:04  42cf9931 --w  REGISTER.DOC
  453.  .  23008  Implode  12550  46%  05-06-91  18:15  f9735dd5 --w  SCAN.EXE
  454.  .   6495  Implode   1895  71%  10-31-89  16:16  0449b09d --w  VALIDATE.COM
  455.  .   3626  Implode   1802  51%  11-29-90  01:59  ab76470f --w  README.1ST
  456.  .  21257  Implode   5767  73%  05-06-91  19:35  a0728a17 --w  VIRLIST.TXT
  457.  .   2844  Implode   1406  51%  02-14-91  14:25  aa330b57 --w  VALIDATE.DOC
  458.  .  24515  Implode   9188  63%  05-06-91  19:34  172a967f --w  SCAN78.DOC
  459.  . ------          ------  ---                                 -------
  460.  . 103967           47269  55%                                       8
  461.  
  462. The number listed for the Fantasia BBS is NOT a BBS number and has no
  463. connection with the trojan horse.  I have called the phone number and
  464. asked the party at the other end to contact me.
  465.  
  466. Running PKUNZIP on the file reveals the following:
  467.  
  468.  .PKUNZIP (R)    FAST!    Extract Utility    Version 1.1    03-15-90
  469.  .Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKUNZIP/h for help
  470.  .PKUNZIP Reg. U.S. Pat. and Tm. Off.
  471.  .
  472.  .Searching ZIP: SCANV78.ZIP - Fantasia BBS (313)/788-0882
  473.  .  Exploding: AGENTS.TXT    -AV
  474.  . Extracting: REGISTER.DOC  -AV
  475.  .  Exploding: SCAN.EXE      -AV
  476.  .  Exploding: VALIDATE.COM  -AV
  477.  .  Exploding: README.1ST    -AV
  478.  .  Exploding: VIRLIST.TXT   -AV
  479.  .  Exploding: VALIDATE.DOC  -AV
  480.  .  Exploding: SCAN78.DOC    -AV
  481.  .
  482.  . Authentic files Verified!   # TJB859   Zip Source: McAFEE ASSOCIATES
  483.  
  484. While the Authentic Files Verified Message appears, the Serial Number is
  485. NOT correct.  McAfee Associate's Serial Number is NWM405.
  486.  
  487. Examination of the AGENTS.TXT, README.1ST, VALIDATE.*, and VIRLIST.TXT
  488. files revealed that these are straight from VIRUSCAN Version 77--the
  489. version number in the VIRLIST.TXT file was still V77.
  490.  
  491. The SCAN78.DOC file had been modified so that all occurrences of V77
  492. were switched to V78.  Additionally, the following text was added for
  493. the validation data:
  494.  
  495.  .     The validation results for Version 77 should be:
  496.  .
  497.  .              FILE NAME: SCAN.EXE
  498.  .                   SIZE: 23,008
  499.  .                   DATE: 05-06-1991
  500.  .    FILE AUTHENTICATION
  501.  .         Check Method 1: 2C21
  502.  .         Check Method 2: 022E
  503.  .
  504.  
  505. For the What's New section, the following text was added:
  506.  
  507.  . WHAT'S NEW
  508.  .         Version 78 of SCAN removes a few small bugs and continues
  509.  . to optimize the procedures SCAN uses to find viruses, as in Version 77,
  510.  . as well as adding a few more to the list of known viruses. SCAN is now much
  511.  . more compressed than was previously thought possible, so please enjoy the
  512.  . shortened file size, it should still work just fine.
  513.  .    Refer to the enclosed VIRLIST.TXT file for a schematic
  514.  . description of the new viruses.  For a complete description, please
  515.  . refer to Patricia Hoffman's VSUM document.
  516.  .
  517.  
  518. Examination of the SCAN.EXE file has show that it contains the help
  519. message that VIRUSCAN displays as well as the program information
  520. message.  However, the program does not contain any of the other
  521. messages that VIRUSCAN has in it.
  522.  
  523. The REGISTER.DOC file distributed with the trojan version of VIRUSCAN is
  524. not a text file, but rather another .ZIP file containing a file named
  525. TB1.COM:
  526.  
  527.  . PKUNZIP (R)    FAST!    Extract Utility    Version 1.1    03-15-90
  528.  . Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKUNZIP/h for help
  529.  . PKUNZIP Reg. U.S. Pat. and Tm. Off.
  530.  .
  531.  . Searching ZIP: REGISTER.DOC
  532.  .  Extracting: TB1.COM       -AV
  533.  .
  534.  . Authentic files Verified!   # TJB859   Zip Source: McAFEE ASSOCIATES
  535.  .
  536.  
  537. When unZIPped, the REGISTER.DOC file displays the same Authentic Files
  538. Verified Message as the SCANV78.ZIP file did.  Examination of the of the
  539. TB1.COM file revealed that it contains the Whale virus.
  540.  
  541. This is all I currently know about the SCANV78.ZIP trojan.  If you see
  542. any copies of this file, please ask the system administrator or sysop to
  543. remove it and ask them to contact the uploader to warn them that it
  544. contains a virus.
  545.  
  546. Aryeh Goretsky
  547. McAfee Associates Technical Support
  548. - - - -
  549. aryehg@tacom-emh1.army.mil
  550.  
  551. ------------------------------
  552.  
  553. Date:    14 May 91 11:31:24 +0000
  554. From:    icking@gmdzi.uucp (Werner Icking)
  555. Subject: Re: SCAN hangs while checking Window's SOL.EXE file (PC)
  556.  
  557. SSIRCAR@ecs.umass.edu (Sant.) writes:
  558.  
  559. >Has anyone had problems with SCANV77?  When I scan my hard drive, the
  560. >program hangs on one particular file, SOL.EXE, Window's solitaire
  561. >program.  I don't have problems with running the game and SCAN doesn't
  562. >have problems with any other file.  In order to continue, I have to
  563. >press 'F' to accept the failure.  Does anyone know why this is
  564. >happening?
  565.  
  566. As far as I have seen, the problem does not depend on the version of SCAN. 
  567. It depends on running SCAN under Windows in conjunction with SHARE.
  568. It seems to me that Windows opens a lot of files and the error occurs if
  569. SCAN attempts to open one of these files, too.
  570.  
  571. The problem disappeared on my PC since I replaced loading SHARE by using
  572. NOSHARE (Simtel or mirror-sites: <MSDOS.SYSUTL>NOSHARE.ZIP)
  573. - -- 
  574. Werner Icking          icking@gmdzi.gmd.de          (+49 2241) 14-2443
  575. Gesellschaft fuer Mathematik und Datenverarbeitung mbH (GMD)
  576. Schloss Birlinghoven, P.O.Box 1240, D-5205 Sankt Augustin 1, FRGermany
  577.                                   "Der Dativ ist dem Genitiv sein Tod."
  578.  
  579. ------------------------------
  580.  
  581. End of VIRUS-L Digest [Volume 4 Issue 81]
  582. *****************************************
  583.