home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_082.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  25.5 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #82
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Tuesday, 14 May 1991    Volume 4 : Issue 82
  9.  
  10. Today's Topics:
  11.  
  12. Bloody! (PC)
  13. Information on Joshi Virus (PC)
  14. Address; Eddie; "Virii;" 12 Tricks (PC)
  15. Re: Odd 77-byte files (PC)
  16. Re: TSR Virus Detector (PC)
  17. Re: What's so bad about self-extracting archives?
  18. re: Comparing virus scanners (PC)
  19. re: Into the 1990's
  20. re: Stealth viruses (PC)
  21. Re: F-PROT & FluShot+ (1.81) problems 3 . . . (PC)
  22. Re: Fw: Trojan version of VIRUSCAN version 78 (PC)
  23. Revised Product Test - - VIREX-PC, version 1.20 (PC)
  24. Revision to Product Test, F-PROT Version 1.15A (PC)
  25.  
  26. VIRUS-L is a moderated, digested mail forum for discussing computer
  27. virus issues; comp.virus is a non-digested Usenet counterpart.
  28. Discussions are not limited to any one hardware/software platform -
  29. diversity is welcomed.  Contributions should be relevant, concise,
  30. polite, etc.  Please sign submissions with your real name.  Send
  31. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  32. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  33. anti-virus, documentation, and back-issue archives is distributed
  34. periodically on the list.  Administrative mail (comments, suggestions,
  35. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  36.  
  37.    Ken van Wyk
  38.  
  39. ----------------------------------------------------------------------
  40.  
  41. Date:    Tue, 14 May 91 09:22:05 -0230
  42. From:    Patrick Ryan <sauron@garfield.cs.mun.ca>
  43. Subject: Bloody! (PC)
  44.  
  45. I recently found one of my floppy disks to be corrupted.  When I
  46. scanned the diskette with Scan v. 77, I was told it was infected with
  47. the Bloody! virus.  I ran Clean-Up v. 77, and it was successfully
  48. removed.  However, I have since scanned *all* the software I used in
  49. the previous week or two, and found no trace of it.  Does anybody have
  50. an explanation for this?  Is it possible that a corrupt file header
  51. could be misconstrued as a virus?  Or is the "gestation" period of the
  52. Bloody! virus longer than a week or two?  Help!
  53.  
  54. - -- 
  55. +----------------------+-------------------------------+----------------------+
  56. |D. Patrick Ryan       |"As the people here grow colder| Support freedom of   |
  57. |Faculty of Engineering| I turn to my computer         | expression!  Protest |
  58. |Memorial University   | And spend my evenings with it | the censorship of    |
  59.  
  60. ------------------------------
  61.  
  62. Date:    14 May 91 17:41:28 +0000
  63. From:    n054gi@tamuts.tamu.edu (Apurva Shah)
  64. Subject: Information on Joshi Virus (PC)
  65.  
  66. This is in relation to the couple of questions that were raised about
  67. the Joshi virus. I am a student from India and while there I had done
  68. some work on virus detection and cure.
  69.  
  70. Coming to the point. Joshi is a partition table virus (much like
  71. Stone). According to popular belief it originated in Pune (a city very
  72. close to Bombay). The reason why the virus got its name is that on the
  73. 5th of Jan, if one is to boot the machine with the virus active, a
  74. message appears wishing Mr. Joshi a very happy birthday. In fact one
  75. is asked to type this very message out in order to proceed further.
  76. This is a general description of the virus behaviour.
  77.  
  78. Now, for the more interesting part on how the virus works. When the
  79. user boots with a infected desk. The virus copies itself to the
  80. partition table (first physical sector on disk). The original
  81. partition table is moved to sector 7 (or is it 11? Can' remember
  82. exactly.) This is necessary cause once the machine is normally booted
  83. and the virus is activated control needs to be passed ot the original
  84. partition table.
  85.  
  86. Here we have a catch. If the machine is once again booted with the
  87. virused disk. Joshi has a hard time figuring out if it is already on
  88. the first sector. So what it does in such a situation is to paste a
  89. copy of itself on the 7th sector and once again copying itself on the
  90. 1st sector. The result ofcourse is disastorous, since no signs of the
  91. original partition table remain and the machine will refuse to boot.
  92. This explains the apparent time delay in the viruse being activated.
  93. About the real time clock err orm I have never faced such a problem.
  94.  
  95. Finally, at least to my knowledege, the Joshi virus does not deal with
  96. files. One has to keep in mind that it is a partition table virus and
  97. enters the picture before DOS loads, namely when there is no concept
  98. of files. However, if the version of the virus running around in the
  99. U.S. is a modification of the original virus that might explain it.
  100.  
  101. What is the solution to this problem? I have a program with me which
  102. recreates the partition table. In fact, I have a interesting little
  103. set of programs which do some simple yet effective things. That apart
  104. thet are all written in C including the TSRs. Actually that is not
  105. completely correct, there is a bit of assembly embedded in there. I
  106. would like to post this programs including the source at some ftp site
  107. after having them verified by some virus 'guru'. Any volunteers?
  108.  
  109. Regards
  110. Apurva Shah
  111. (ashah@cs.tamu.edu)
  112.  
  113. ------------------------------
  114.  
  115. Date:    14 May 91 12:14:00 -0600
  116. From:    "William Walker C60223 x4570" <walker@aedc-vax.af.mil>
  117. Subject: Address; Eddie; "Virii;" 12 Tricks (PC)
  118.  
  119. Four things:
  120.  
  121. First, Greg Broiles ( greg@agora.rain.com ) writes:
  122. > > Bill Walker ( WALKER@AEDC-VAX.AF.MIL )
  123. > old signature - address bad!
  124.  
  125. That is my current address -- the VIRUS-L server sends the VIRUS-L
  126. issues to it successfully.  Perhaps your name server didn't recognize
  127. it -- try using 26.14.0.41 instead of AEDC-VAX.AF.MIL.
  128.  
  129. Second, Rob Slade ( p1@arkham.wimsey.bc.ca ) writes:
  130. > Question 5:  Who is "Eddie"?  (10 points)
  131. > You would have a great time going through the old issues researching
  132. > this one.  I think the Heavy Metal crew have one the day on this one.
  133.  
  134. I have read back.  My comment about "Eddie and the Cruisers" was just
  135. my two cents worth, and an alternative to the "Iron Maiden" idea.
  136.  
  137. Third, A. Padgett Peterson ( padgett%tccslr.dnet@mmc.com ) writes:
  138. > Subject: re: Virii (sic) in Factory Software
  139.  
  140. You're right, I'm wrong.  I looked it up.  The correct plural of
  141. "virus" is "viri," with one "i," not "virii" like I've been spelling
  142. it.  That's what I get for believing what people tell me. :-)
  143.  
  144. Fourth, I have uploaded a file, 12TRICKS.TXT, to CERT.SEI.CMU.EDU
  145. (128.237.253.5).  Ken has made it available in /pub/virus-l/docs.  It
  146. contains an in-depth analysis of the Twelve Tricks Trojan Horse by Dr.
  147. Alan Solomon of S&S Anti Virus Group and Christoph Fischer of
  148. Micro-BIT Virus Centre, University of Karlsruhe.
  149.  
  150. Bill Walker ( WALKER@AEDC-VAX.AF.MIL ) |
  151. OAO Corporation                        |  "I think, therefore I am.
  152. Arnold Engineering Development Center  |      Nah, I think not."
  153. M.S. 120                               |           *POOF*
  154. Arnold Air Force Base, TN  37389-9998  |
  155.  
  156. ------------------------------
  157.  
  158. Date:    12 May 91 23:13:35 +0000
  159. From:    n054gi@tamuts.tamu.edu (Apurva Shah)
  160. Subject: Re: Odd 77-byte files (PC)
  161.  
  162. It is very likely that the files that were created having the _xe and
  163. _om extensions contained the headers of the respective EXE and COM
  164. files.
  165.  
  166. This files are then used by some virus detection program to look for
  167. changes in the header of the original files. The assumption of course
  168. being that the infecting virus would have to change the header of the
  169. original file.
  170.  
  171. To sum up these files are absolutely harmless! and erasing them also
  172. is no cause for concern.
  173.  
  174. Since this is the first time I am posting in this news group, let me
  175. introduce my self. My name is Apurva Shah and I am a student from
  176. India. At present I am doing my Masters in Computer Science at the
  177. Texas A&M University. I have been working with PC based viruses for
  178. about two years. I was heading the anti-virus cell for V.M.C.I., which
  179. is a computer class in Bombay and have also authored the first public
  180. domain Indian anti-virus software called the NASSCOM Vaccine set.
  181.  
  182. The NASSCOM vaccine set is a bunch of generic vaccines and anti-virus
  183. programs. I have a copy of the set with me, but would like to know how
  184. I may put it up on some intrested bulliten board so that others may
  185. use this software. Any help in this direction would be appreciated.
  186.  
  187. Regards 
  188. Apurva Shah
  189.  
  190. ------------------------------
  191.  
  192. Date:    Mon, 13 May 91 13:15:00 +0300
  193. From:    Y. Radai <RADAI@HUJIVMS.BITNET>
  194. Subject: Re: TSR Virus Detector (PC)
  195.  
  196.   In connection with my comparison of F-LOCK, FSP, SECURE, TSAFE, and
  197. VTAC, Esa Holmberg writes:
  198. >       I'm afraid you have tested a wrong program; F-DRIVER
  199. >       would be the actual resident virus tester of the F-PROT
  200. >       package, and not F-LOCK.
  201.  
  202.   No, that's incorrect.  I don't know if your mistake is in not
  203. knowing how F-DRIVER works or in confusing two different types of
  204. resident anti-viral programs:
  205. (I)  Those which search for *specific strings* (or patterns), each
  206.      characteristic of a particular *known* virus, within program
  207.      files which are about to be executed, and (usually) also in boot
  208.      records when the anti-viral program is loaded.  Such programs
  209.      must be updated continually to catch new viruses.
  210. (II) Those which warn of suspicious activity by intercepting attempts
  211.      to modify executable files, to stay resident, to format disks,
  212.      etc., regardless of the source of this activity.  (It might be a
  213.      virus, a Trojan, or some perfectly innocuous program; and if a
  214.      virus, it may be a known one or an unknown one.)  Such programs
  215.      do not ordinarily require updating.
  216.  
  217.   Now John Councill's question certainly resembled Type II more than
  218. Type I, so I referred to the five programs of this type which I had
  219. compared, and that includes F-LOCK.  F-DRIVER, on the other hand, is
  220. of Type I, and therefore was not an appropriate program for my compa-
  221. rison.  (When I say that a program is of Type I, it may include a few
  222. Type-II features as well, but certainly F-DRIVER and V-Shield are
  223. basically of Type I.)
  224.  
  225.   Perhaps my posting would have been clearer if, instead of calling
  226. Type-II programs simply "monitoring" programs, I had called them
  227. *generic* monitoring programs.  F-LOCK is generic; F-DRIVER is not.
  228.  
  229.   (Btw, there are also generic *disinfection* programs, i.e. programs
  230. which in the great majority of cases can restore a file to its original
  231. state regardless of the virus which infected it.)
  232.  
  233.                                      Y. Radai
  234.                                      Hebrew Univ. of Jerusalem, Israel
  235.                                      RADAI@HUJIVMS.BITNET
  236.                                      RADAI@VMS.HUJI.AC.IL
  237.  
  238. ------------------------------
  239.  
  240. Date:    Tue, 14 May 91 08:51:00
  241. From:    Murray_RJ@cc.curtin.edu.au
  242. Subject: Re: What's so bad about self-extracting archives?
  243.  
  244. groot@idca.tds.philips.nl (Henk de Groot) writes:
  245. > Murray_RJ@cc.curtin.edu.au writes:
  247. >>magnus%thep.lu.se@Urd.lth.se (Magnus Olsson) writes:
  248. >>> Can't you just first run the archive file through your favourite virus
  249. >>> checker, and if it passes the test extract it, and then test the
  250. >>> individual files that were inside it? Or have I missed something?
  252. >>   Well, yes, I suppose you could, but it involves an extra step which
  253. >>is unnecessary. The other objection I have with self-extracting
  254. >>archives is that you're stuck with extracting the whole lot, even if
  255. >>you only want to find out what the !@#$%^&*() thing does.
  257. > Most of the popular archiveing programs (ZIP, LHA, ARJ) are able to
  258. > extract files from their SFX files. If you insist on using a shell on
  259. > it just rename the .EXE file to a file with the proper extension. You
  260. > can avoid virus problems this way.
  261.  
  262.    Very, very good. Ten points out of ten. See me after class.
  263.    Only one problem: How do I find out what format the thing was
  264. archived in in the first place, when all I'm confronted with is a .EXE
  265. file? If there was only one standardised archive format then there
  266. wouldn't be any problem, but that was apparently too simple.
  267.    My contention is that self-extracting archives are one of those
  268. things that became technically possible, and were implemented before
  269. it was found that they were a complete waste of time.
  270.    Perhaps we should move this discussion elsewhere: it's getting less
  271. and less to do with viruses (virii?)
  272. .....Ron
  273.  
  274. ===============================================================================
  275.  Internet: Murray_RJ@cc.curtin.edu.au                | "A pipe gives a wise man
  276.  Bitnet: Murray_RJ%cc.curtin.edu.au@cunyvm.bitnet    | time to think, and a
  277.  UUCP  : uunet!munnari.oz!cc.curtin.edu.au!Murray_RJ | fool something to stick
  278. Amateur Packet Radio: VK6ZJM@VK6BBS.#WA.AUS.OC       | in his mouth"
  279.                TCP/IP: 44.136.204.14, 44.136.204.19  |    -- Murphy's Law I
  280. ===============================================================================
  281.  
  282. ------------------------------
  283.  
  284. Date:    14 May 91 11:00:54 -0400
  285. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  286. Subject: re: Comparing virus scanners (PC)
  287.  
  288. > From:    frisk@rhi.hi.is (Fridrik Skulason)
  289. >
  290. > ...
  291. > Virscan 1.45             [very bad numbers]
  292. > ...
  293.  
  294. I hope that's not IBM's VIRSCAN?  If it is, it's a version from *last
  295. June* (and an internal, not a product, version at that).  If that's
  296. "available" in Austria, it shouldn't be.  On the other hand, there are
  297. a few different products in the world called "Virscan", so perhaps
  298. this line is about something else.  It might be helpful if the
  299. manufacturer were listed for all the programs named in lists like
  300. this.  (It's also in general not a good idea to do timing-tests on
  301. infected files; IBM's scanner, for instance, stops for a good
  302. half-second to "beep" when it finds an infected file, which will add
  303. greatly to the timings if infected files are used for tests!  Real
  304. users, of course, probably don't care how long it takes to scan
  305. infected files, just clean (normal) ones.)
  306.  
  307. DC
  308.  
  309. ------------------------------
  310.  
  311. Date:    Tue, 14 May 91 14:15:53
  312. From:    microsoft!c-rossgr@uunet.uu.net
  313. Subject: re: Into the 1990's
  314.  
  315. >From:    Padgett Peterson <padgett.tccslr.dnet@mmc.com>
  316. >
  317. >First I would like to offer an apology to Ross Greenberg (Flu-Shot)
  318. >and Fridrik Skulasson (F-Prot).
  319.  
  320. Most happily accepted, Padgett.  Sometimes we sorta forget there are
  321. real people on either end of these silly tubes before us.  Sorry I was
  322. a bit hasty in my response to you originally.
  323.  
  324. >communications capability. These people [end users]are not interested in which
  325. >strain of the 4096 they have been infected with, their concern is that
  326. >the machine is operating properly and without any hidden "extras".
  327.  
  328. Stop for a moment and consider what we're dealing with here: a
  329. modified 4096 that was not released into the wild.  It was a "lab"
  330. virus and scanners and monitors that are tuned to Version A might not
  331. find/detect/stop some Version B until they, themselves, have been
  332. modified.  One of the big problems we, as anti-virus vendors and
  333. researchers, have is in getting these "lab" viruses to add to our
  334. product/knowledge-base. (See below in my response to Dave Chess why
  335. this is still important).
  336.  
  337. This does not mean, however, that you're wrong.
  338.  
  339. >What the user needs to know is that SOMETHING has happened and that a
  340. >technician is needed to interpret WHAT - wheter it be a problem caused
  341. >by power supply (I see a lot of these), drive, ICs, or malicious
  342. >software.
  343.  
  344. Yes, just as most people do not work on their own cars when the
  345. problem is serious enough, but you're not really expected to call in
  346. AAA when you have a flat tire -- you should fix it yourself.
  347.  
  348. I think the virus problem is growing.  I think the anti-virus
  349. solutions are still in their infancy.  Code such as my FLU_SHOT+ was
  350. initially designed to help out the more techie among us: the interface
  351. is, certainly, not user friendly.  Newer code, such as my Virex-PC
  352. (and, giving credit where credit is due, my worthy competitors from
  353. Symantec and Central Point) is being constantly tweaked to make it not
  354. only better anti-virus software, but easier to use anti-virus
  355. software: the simple "Abort, Retry, Ignore" message is no longer
  356. acceptable in a product.  Instead lots of time is spent in making the
  357. product user friendly enough that the number of tech support calls
  358. goes down to virtually zero.  There is considerable incentive in
  359. making the product easy for *everyone* to use: the techie and
  360. non-techie alike.
  361.  
  362. I don't see that a technician is going to be required for the more
  363. "popular" problems: they must be dealt with eventually if for no other
  364. reason than that tech support calls are very expensive.
  365.  
  366. A new and hidden strain of a virus hasn't reached that category yet,
  367. obviously.
  368.  
  369. >Today, viruses seem to account for on the order of 10-20% of the
  370. >trouble calls I get. They are significant enough to warrant avoidance
  371. >measures, but not anything to panic about.
  372.  
  373. *This* is what the news media should be reporting.  It's not something
  374. to panic over, true, but that's an *amazing* percentage of trouble
  375. calls due to viruses.  Think of the cost to business today when their
  376. copy of a program doesn't work and they call up tech support because
  377. of the problem!
  378.  
  379. >The real point I have been trying to make for some time is that such
  380. >[integrity]checking IS NOT DIFFICULT, orders of magnitude less
  381. > than what it takes to write a good word processor, it just has not
  382. > been done yet.
  383.  
  384. You mentioned a few products and their methods, so its obvious that
  385. this integrity checking *IS* being done (FLU_SHOT+ has had integrity
  386. checking on program run for about three years, I guess).  Now, is this
  387. integrity checking being done *properly*?  Interesting question and
  388. one that only the marketplace can answer by what they select for their
  389. purchase (or freeware usage).  Something like the example you gave of
  390. Norton's potential 9Mb overhead is ridiculous (not the example, but
  391. the instance!).  That showsd a considerable lack of understanding
  392. about the market. Wanna bet that the next release of the code does
  393. things differently?  If not, it'll probably be a dead product.
  394.  
  395. Your subsequent points (not quoted herein) are good ones.  Resident
  396. integrity checking, and access control, is a worthy goal of any of the
  397. anti-virus products. However, remember that it can and *will* be
  398. circumvented the first time somebody boots off a floppy.  Signature
  399. checking, integrity checking, whatever: none of them can slap the
  400. wrist of somebody who boots off an infected disk with stealthing
  401. viruses on it, combined with people who really think that extra five
  402. seconds (or whatever) on a memory scan is too much "wasted" time.
  403.  
  404. That's why the anti-virus code out there has to do more than simple
  405. integrity checking.
  406.  
  407. >                    Comments welcome,
  408. >                                                         Padgett
  409.  
  410. Okey doke: who do I send them to? :-)
  411.  
  412. Ross M. Greenberg
  413.  Author, Virex-PC & FLU_SHOT+
  414.  
  415. ------------------------------
  416.  
  417. Date:    Tue, 14 May 91 14:18:19
  418. From:    microsoft!c-rossgr@uunet.uu.net
  419. Subject: re: Stealth viruses (PC)
  420.  
  421. >From:    frisk@rhi.hi.is (Fridrik Skulason)
  422. >
  423. >I am working on an article on "stealth" viruses, and was wondering if I had
  424. >missed any of them - here is my list:
  425. >Did I overlook something ?
  426.  
  427. Perhaps the Tequila virus?  Seems to be gaining in "popularity".
  428.  
  429. Ross
  430.  
  431. ------------------------------
  432.  
  433. Date:    14 May 91 19:09:55 +0000
  434. From:    frisk@rhi.hi.is (Fridrik Skulason)
  435. Subject: Re: F-PROT & FluShot+ (1.81) problems 3 . . . (PC)
  436.  
  437. I wrote:
  438. >*So - with the current generation of scanners, this problem cannot be
  439. >*avoided.
  440.  
  441. umbc3!umbc3.umbc.edu!cs106132@uunet.UU.NET (cs106132) replied:
  442.  
  443. >    Not at all.  I have seen at least one beta-test version of a
  444. >new product that does not suffer from the mentioned problems. 
  445.  
  446. Please read wnat I wrote - "current generation of scanners".  It is
  447. possible to write anti-virus procucts which can handle some of the
  448. "unsolved" problems of today, such as...
  449.  
  450.     ...stopping interrupt "stripping" viruses.
  451.  
  452.     ...stopping viruses which jump directly into ROM.
  453.  
  454.     ...detecting all "stealth" viruses, even if they are active
  455.        (the problem i refered to).
  456.  
  457. and so on.  The point is that such software does not exist today, but
  458. many anti-virus companies are working on this - and we can expect
  459. those features soon.
  460.  
  461. However, those products are the "next generation" of anti-virus
  462. software.
  463.  
  464. - -frisk
  465.  
  466. ------------------------------
  467.  
  468. Date:    Tue, 14 May 91 14:06:54 -0500
  469. From:    mbaker@logdis1.hq.aflc.af.mil (Michael Baker;LMSC/SXSC)
  470. Subject: Re: Fw: Trojan version of VIRUSCAN version 78 (PC)
  471.  
  472. > TROJAN VERSION OF VIRUSCAN VERSION 78
  473.  
  474.  Aryeh,
  475.  
  476.      MSgt Michael Baker here from Wright-Patterson AFB, Oh.  There is
  477. also another version of McAfee's virus scan program called vscan82.
  478. This version surfaced in the Dayton Oh area a few months back and
  479. McAfee was notified.  He seemed really upset, which I can understand,
  480. cause the someone who is doing this is out to ruin McAfee.  One of the
  481. local BBS sysops here is on a first name basis with McAfee.  I think
  482. his bbs alone has had about 10 virus infected programs uploaded to
  483. him.
  484.  
  485.      In our organization here we had 8 cpu's infected with the 4096
  486. virus.  We think that it came from a game, but with it infecting just
  487. about all files, it is hard to narrow it down.
  488.  
  489.      Now there is a scare out on the "STONED" virus.  Have not seen it
  490. as yet, but the way things go, I am sure it won't be long.
  491.  
  492.      If you find any other info on the virus scare, let me know if you
  493. would, please.  I operate a bbs for the HQ AFLC called the Info Center
  494. BBS, (513)257-7416, and pass along information like this out to the
  495. gov't users.
  496.  
  497.      Later
  498.      Michael Baker
  499.  
  500. ------------------------------
  501.  
  502. Date:    Mon, 13 May 91 12:03:44 -0600
  503. From:    Chris McDonald ASQNC-TWS-R-SO <cmcdonal@wsmr-emh03.army.mil>
  504. Subject: Revised Product Test - - VIREX-PC, version 1.20 (PC)
  505.  
  506. *******************************************************************************
  507.                                                                           PT-23
  508.                                       March 1991
  509.                                    Revised May 1991
  510. *******************************************************************************
  511.  
  512.  
  513. 1.  Product Description:  Virex-PC is a software package to detect, disinfect
  514. and prevent computer viruses and malicious programs for the MS-DOS environment.
  515.  
  516. 2.  Product Acquisition:  Virex-PC is available from Microcom Software
  517. Division, P.O. Box 51816, Durham, NC 27717.  The telephone number is 919-490-
  518. 1277.  The price is $99.00.  There are several third party vendors who sell
  519. single copies at a significantly reduced cost.
  520.  
  521. 3.  Product Testers:  Chris Mc Donald, Computer Systems Analyst, Information
  522. Systems Command, White Sands Missile Range, NM 88002-5506, DSN:  258-4176, DDN:
  523. cmcdonal@wsmr-emh03.army.mil or cmcdonald@wsmr-simtel20.army.mil.
  524.  
  525. 4.  Product Test:
  526.  
  527.     a.  I acquired Version 1.0 in December 1990 for $70.00 from Telemart in
  528. Phoenix, Arizona.  After I completed and mailed the registration card, Microcom
  529. shipped me Version 1.1a.  I thought this was a good marketing strategy on their
  530. part, even though they were under no obligation to do so.  In May 1991 I
  531. received Version 1.20 directly from Microcom.  This was a surprise since I
  532. expected to have to pay for any upgrade and because I had not subscribed to
  533. their annual update service.  A telephone conversation with a Microcom
  534. represented confirmed that the vendor had chosen to send out the upgrade to all
  535. registered users free of charge.  I have no idea how long this will continue.
  536.  
  537. [Ed. The remainder of this revised product review is available for
  538. anonymous FTP on cert.sei.cmu.edu in pub/virus-l/docs/reviews.]
  539.  
  540. ------------------------------
  541.  
  542. Date:    Tue, 14 May 91 08:38:28 -0600
  543. From:    Chris McDonald ASQNC-TWS-R-SO <cmcdonal@wsmr-emh03.army.mil>
  544. Subject: Revision to Product Test, F-PROT Version 1.15A (PC)
  545.  
  546. ******************************************************************************
  547.                                                                           PT-17
  548.                                            August 1990
  549.                                         Revised May 1991
  550. ******************************************************************************
  551.  
  552.  
  553. 1.  Product Description:  F-PROT is a complete package of programs designed to
  554. provide viral detection, disinfection, and protection.  The individual user has
  555. the discretion to activate specific programs in the package.
  556.  
  557. 2.  Product Acquisition:  F-PROT is a shareware program distributed by
  558. Fridrik Skulason, Box 7180, IS-127 Reykjavik, Iceland.  His E-mail address, as
  559. of April 1991, is frisk@rhi.hi.is.  Mr. Skulason has posted F-PROT on a number
  560. of Internet sites.  The program is on the USAISC-White Sands host simtel20.
  561. With version 1.14 the program is free if a user utilizes it on his or her
  562. personally-owned computer.  There is a registration fee for commercial and
  563. government users.  Site licenses are available as well as discounts for
  564. multiple copy registrations.  This revision addresses version 1.15a, available
  565. in the simtel20 path:  pd1:<msdos.trojan-pro>fp-115a.zip.
  566.  
  567. 3.  Product Tester:  Chris Mc Donald, Computer Systems Analyst, Information
  568. Systems Command, White Sands Missile Range, NM 88002-5506, DSN 258-4176, DDN:
  569. cmcdonal@wsmr-emh03.army.mil or cmcdonald@wsmr-simtel20.army.mil.
  570.  
  571. [Ed. The remainder of this revised product review is available for
  572. anonymous FTP on cert.sei.cmu.edu in pub/virus-l/docs/reviews.]
  573.  
  574. ------------------------------
  575.  
  576. End of VIRUS-L Digest [Volume 4 Issue 82]
  577. *****************************************
  578.