home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_100.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  13.2 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #100
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Tuesday, 11 Jun 1991    Volume 4 : Issue 100
  9.  
  10. Today's Topics:
  11.  
  12. Re: denzuko and semlohe viruses (PC)
  13. Man Catches Computer Virus (light reading for comp.virus)
  14. Re: Checksumming (was: Interesting advert) (PC)
  15. Re: Hoffman Summary & FPROT (PC)
  16. Re: Hong Kong on MircoTough dist. disks (PC)
  17. MIBSRV Updates (PC)
  18. Advice requested (PC)
  19. Help to remove Joshi from partion table (PC)
  20. Re: Scanning infected files (PC)
  21. Is there a 1024 virus? (PC)
  22. RE: Frisk's comment in V4 #99 on 'The Bulgarian Menace'
  23.  
  24. VIRUS-L is a moderated, digested mail forum for discussing computer
  25. virus issues; comp.virus is a non-digested Usenet counterpart.
  26. Discussions are not limited to any one hardware/software platform -
  27. diversity is welcomed.  Contributions should be relevant, concise,
  28. polite, etc.  Please sign submissions with your real name.  Send
  29. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  30. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  31. anti-virus, documentation, and back-issue archives is distributed
  32. periodically on the list.  Administrative mail (comments, suggestions,
  33. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  34.  
  35.    Ken van Wyk
  36.  
  37. ----------------------------------------------------------------------
  38.  
  39. Date:    08 Jun 91 13:26:09 +0000
  40. From:    frisk@rhi.hi.is (Fridrik Skulason)
  41. Subject: Re: denzuko and semlohe viruses (PC)
  42.  
  43. p1@arkham.wimsey.bc.ca (Rob Slade) writes:
  44. >... two alternative translations for "Den Zuk" were "The Sweet" (or "The
  45. >Suger") and "The Knife".  
  46.  
  47. Ah - this is not correct.  I have contacted the author of the virus,
  48. and got the whole story from him - quite interesting story, in fact.
  49. Anyhow, "Denzuko" is just his nickname.
  50.  
  51. - -frisk
  52.  
  53. ------------------------------
  54.  
  55. Date:    Sat, 08 Jun 91 19:31:07 +0000
  56. From:    richards@cse.uta.edu (David Richardson)
  57. Subject: Man Catches Computer Virus (light reading for comp.virus)
  58.  
  59. Disclaimer:
  60. Reproduced WITHOUT permission.  These quotations are intended to inform
  61. the network reader of the public-media usage of the term "virus" as it
  62. relates to computer virii.  Persons who wish to read the entire article
  63. are encouraged to do so.
  64.  
  65. From _WEEKLY WORLK NEWS_ 6/18/91 (on newsstands 6/3/91) page 29:
  66.  
  67. "MAN CATCHES COMPUTER VIRUS!"
  68. by Michael Todd, special correspondent.
  69.  
  70.   John Stevens has a lot in common with his home computer:  Both think
  71. logically, both like numbers and both are sick with a virus - the same
  72. virus!
  73.   Stevens, a computer programmer who works out of his home in a
  74. Philadelphia suburb, is convinced his lingering and debilitating illness
  75. is something he got from his sick computer.  And the victims's doctor
  76. agrees.
  77.  
  78. [rest of article not posted]
  79.  
  80. By the way, the WEEKLY WORLD NEWS can be found in major supermarkets
  81. near the National Enquierer, the SUN, and similar tabloid newspapers.
  82.  
  83. We now return you to your regularly scheduled newsgroup.
  84.  
  85. - -- 
  86. David Richardson   U. Texas at Arlington  +1 817 856 6637  PO Box 192053
  87. Usually hailing from: b645zax@utarlg.uta.edu         Arlington, TX 76019
  88. b645zax@utarlg.bitnet, SPAN: UTSPAN::UTADNX::UTARLG::B645ZAX   -2053 USA
  89. The Lord is my shepherd, I shall not want.
  90.  
  91. ------------------------------
  92.  
  93. Date:    08 Jun 91 15:40:46 +0000
  94. From:    ccml@hippo.ru.ac.za (Mike Lawrie)
  95. Subject: Re: Checksumming (was: Interesting advert) (PC)
  96.  
  97. RADAI@HUJIVMS.BITNET (Y. Radai) writes:
  98.  
  99. >  Mike Lawrie writes:
  100. >>They [checksum programs] don't cater for this scenario:-
  101. >>
  102. >>1. Somehow infect the RAM of your PC with a COM/EXE targetting
  103. >>   virus, such as Plastique (eg run an infected program from a
  104. >>   floppy, or from a network).
  105. >>2. Run SCAN on your hard disk - this does a DOS open on all COM/EXE
  106. >>   files on your hard disk, and thus infects each and every such
  107. >>   file _after_ SCAN has pronounced them virus-free
  108. >>..
  109.  
  110. >First of all, Step 2 of this scenario is certainly not characteristic
  111. >of COM/EXE infectors in general, as you seem to imply.  (E.g., it
  112. >won't happen with the Jerusalem virus.)  It has to be a very special
  113. >virus to do this.
  114.  
  115. We were hit with Plastique. Having inspected it, there seemed to be
  116. reason for me to believe that other viruses might use a similar method
  117. to trigger the infection algorithm.
  118.  
  119. >  Secondly, what you have described shouldn't happen with SCAN, since
  120. >before scanning it checks for the presence in RAM of viruses which act
  121. >in this way, and that includes Plastique, unless you're using an old
  122. >version of SCAN.  (If this really did happen to you with a *recent*
  123. >version, contact McAfee.)
  124.  
  125. Indeed, McAfee contacted me (good Company, they were concerned). We
  126. had an old SCAN at the time, but sooner or later this scenario will
  127. re-occur, as you will get hit with a similar type of virus that McAfee
  128. has not yet catered for, even if you have their very latest version.
  129. You then end up with your RAM infected, but you are living in
  130. Disneyland (like we did) believing otherwise, and you then proceed to
  131. zap your hard disk.
  132.  
  133. Sure, theory says that it won't happen. hahaha.
  134.  
  135. >  Finally and most important, suppose we have a virus in memory which
  136. >SCAN or some other program does not recognize, and the above scenario
  137. >does occur.  What does this have to do with checksumming programs??
  138.  
  139. We have a checksumming program as well - the original article to which
  140. I tried to reply asked for comments on such a thing.  The checksumming
  141. program indeed may let you know that you _have_ been infected - big
  142. deal, in my opinion, if any advert lulls you into a sense of security
  143. because you have a checksummer in place. A checksummer gives you no
  144. security whatsoever, because it does not prevent a viral infection.
  145. Not that much else does either, for that matter, but that is not the
  146. point, the advert needs to be taken with a hefty pinch of salt.
  147.  
  148. Just that our experience that I wished to share was that with a
  149. checksummer in place and use of SCAN, you can end up with every last
  150. EXE/COM file on you hard disk looking very sick indeed.
  151.  
  152. Mike
  153. - --
  154. Mike Lawrie
  155. Director Computing Services, Rhodes University, South Africa
  156. ....................<ccml@hippo.ru.ac.za>..........................
  157. Rhodes University condemns racism and racial segregation 
  158.  
  159. ------------------------------
  160.  
  161. Date:    10 Jun 91 03:57:56 +0000
  162. From:    Ray.Mann@ofa123.fidonet.org (Ray Mann)
  163. Subject: Re: Hoffman Summary & FPROT (PC)
  164.  
  165. Richard Travsky was asking how come Patricia Hoffman's Virus Summaries
  166. keep making reference to only a very old and outdated version of
  167. F-PROT (v1.07), where the current version is v1.15, going for 1.16 and
  168. into v2.0 very soon:
  169.      
  170. > Any reason why such an old version is used? 
  171.         
  172. My suspicion is that this is probably a result of some antagonism
  173. between Grisk and McAfee, whom Patricia Hoffman follows so closely.
  174. Frisk is a competitor...
  175.  
  176. - --- Opus-CBCS 1.14
  177.  * Origin: Universal Electronics, Inc. [714 939-1041] (1:103/208.0)
  178. - --  
  179. Ray Mann
  180. Internet: Ray.Mann@ofa123.fidonet.org
  181. Compuserve: >internet:Ray.Mann@ofa123.fidonet.org
  182.  
  183. ------------------------------
  184.  
  185. Date:    Mon, 10 Jun 91 17:21:19 +0000
  186. From:    dwe29248@uxa.cso.uiuc.edu (Derek William Ebdon)
  187. Subject: Re: Hong Kong on MircoTough dist. disks (PC)
  188.  
  189. One thing that Mr. Doss forgot to mention is that although Central
  190. Point Anti-Virus v1.0 can easily romove the Asuza virus from a floppy,
  191. it cannot remove the virus from a hard drive.  The only way to
  192. disinfect a hard drive is to redo the low level format because the
  193. virus infects the boot sector and the dos partition.  A high level
  194. format will not remove the virus, nor will simply removing the dos
  195. partition with the fdisk program.
  196.  
  197. Derek Ebdon
  198.  
  199. ------------------------------
  200.  
  201. Date:    Mon, 10 Jun 91 12:16:29 -0500
  202. From:    James Ford <JFORD@UA1VM.BITNET>
  203. Subject: MIBSRV Updates (PC)
  204.  
  205. By Tuesday, June 11 the file VSUM9105.ZIP and VSUM9105.TXT will be
  206. placed on mibsrv.  Sorry for the delay.  Various other files have also
  207. been updated (thanks for the info, Keith!).  A complete listing will
  208. be sent out tomorrow (June 11).
  209.  
  210. Other notes: The IBM RT system on which the mibsrv files reside will
  211. be gone by June 28.  The new system administrator for the College of
  212. Eng. has informed me that I will be allowed to transfer all of the
  213. archives from 130.160.20.80 to a new RISC 6000 machine.....however,
  214. the IP address is unknown at this time.
  215.  
  216. Mibsrv will stay up at least until the 28th of June.  As soon as I
  217. know the IP address of the new machine and get the files transfer
  218. over, I'll let you know.  I have enjoyed keeping mibsrv stocked with
  219. ibm-antiviral files and will try to make the transfer as painless as
  220. possible (famous last words).
  221.  
  222. - ----------
  223. It has yet to be proven that intelligence has any survival value.
  224. - ----------
  225. James Ford -  JFORD@UA1VM.UA.EDU, JFORD@mib333.mib.eng.ua.edu
  226.               The University of Alabama (in Tuscaloosa, Alabama)
  227.  
  228. ------------------------------
  229.  
  230. Date:    10 Jun 91 23:02:33 +0000
  231. From:    gregm@sail.labs.tek.com (Greg Montgomery)
  232. Subject: Advice requested (PC)
  233.  
  234. I am a SW Eng. for a 500 company, and I got volunteered to come up
  235. with some software to check out the PC's in our area.  Is there a
  236. software package that can be LEGALLY swaped between multiple PC
  237. computers, and is not necessarily a resident program.  I have been
  238. looking at Nortan, Central Point, and Virex; however, I would be
  239. interested in a list of a few more programs that are tailored for
  240. multiple PC inspection.
  241.  
  242. Thanks in advance,
  243. Greg
  244.  
  245. ------------------------------
  246.  
  247. Date:    11 Jun 91 07:37:36 -0700
  248. From:    CCA3607@SAKAAU03.BITNET
  249. Subject: Help to remove Joshi from partion table (PC)
  250.  
  251. I try to use clean77 to remove , i get the virus removed i run the
  252. computer from new dos after i put the power off when i started ifined
  253. it again any help appreciation
  254.  
  255.  Terry  jawberh
  256. cca3605@sakaau03.bitnet
  257.  
  258. ------------------------------
  259.  
  260. Date:    Tue, 11 Jun 91 17:11:00 +1200
  261. From:    "Mark Aitchison, U of Canty; Physics" <PHYS169@csc.canterbury.ac.nz>
  262. Subject: Re: Scanning infected files (PC)
  263.  
  264. ACDFINN@vm.uoguelph.ca (Finnegan Southey) writes:
  265. >       In regards to the problem of anti-viral programs infecting files
  266. > they scan when a memory-resident virus is present: Wouldn't it be
  267. > possible to read disks sector by sector instead of opening files
  268. > through DOS calls? 
  269.  
  270. Yes, you can do that, and there could be other advantages too:
  271. (a) potentially faster execution (if you are doing a whole diskette, you can
  272.     organise things to reduce head movement), and
  273. (b) bypass some viruses, which intercept int 21 or int 13.
  274.  
  275. There are some limitations, basically involving incompatibility with
  276. some network software, RAM drives, etc, but quite a good idea for most
  277. purposes.  The latest version of my CHECKOUT program uses this;
  278. earlier versions didn't check files - just the boot sector - but used
  279. int 40 instead of int 13 for similar reasons.
  280.  
  281. Ultimately, anti-virus software is going to directly access the disk
  282. controller (or possibly do far calls to the BIOS), to be certain of
  283. avoiding smart viruses, and relying on DOS will be unthinkable (as it
  284. *should* be now).
  285.  
  286. This leads me to a thought... suppose a virus-removal program gets rid
  287. of the virus from disk, but the infected sectors still exist in (say)
  288. an Extended memory cache system. Has anyone guarded against this?
  289.  
  290. Mark Aitchison, Physics, University of Canterbury, New Zealand.
  291.  
  292. ------------------------------
  293.  
  294. Date:    Mon, 10 Jun 91 19:50:52 -0700
  295. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  296. Subject: Is there a 1024 virus? (PC)
  297.  
  298. sorrell@triton.unm.edu (Stan Orrell) writes:
  299.  
  300. > Can anyone suggest an explanation of our observation on several
  301. > computers (various IBM pc types) of a result from chkdsk of 654336
  302. > bytes of total memory?
  303.  
  304. A number of viral programs would fit this bill, the most obvious being 
  305. the ubiquitous "Stoned".  Check the boot sectors of your boot disks with 
  306. your Norton utilities.
  307.  
  308. =============
  309. Vancouver          p1@arkham.wimsey.bc.ca   | "If you do buy a
  310. Institute for      Robert_Slade@mtsg.sfu.ca |  computer, don't
  311. Research into      (SUZY) INtegrity         |  turn it on."
  312. User               Canada V7K 2G6           | Richards' 2nd Law
  313. Security                                    | of Data Security
  314.  
  315. ------------------------------
  316.  
  317. Date:    11 Jun 91 13:11:00 +0200
  318. From:    J|rgen Olsen <masjol@dou.dk>
  319. Subject: RE: Frisk's comment in V4 #99 on 'The Bulgarian Menace'
  320.  
  321. How about making the thing political?  If 'certain countries' expect
  322. 'other countries' - e.g. (ours) to financially bail them out of up to
  323. 74 years of infrastructural mismanagement we could at least demand
  324. that the kill of their virus factories before we open our purses!!
  325.  
  326. Maybe we should all tell our respectiv governments - the EEC - te
  327. World Bank etc about this ??
  328.  
  329. A topic for the comming Virus-conference ??
  330.  
  331. J Olsen
  332. University of Odense
  333. Denmark
  334.  
  335. ------------------------------
  336.  
  337. End of VIRUS-L Digest [Volume 4 Issue 100]
  338. ******************************************
  339.