home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_110.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  24.9 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #110
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Wednesday, 26 Jun 1991    Volume 4 : Issue 110
  9.  
  10. Today's Topics:
  11.  
  12. I'm not official!
  13. McAfee on VSUM accuracy and Microcom (PC)
  14. Re: protecting mac files via locking (Mac)
  15. Self-Modifying SETVER.EXE (PC)
  16. Re: Hypercard Antiviral Script? (Mac)
  17. Re: Hypercard Antiviral Script? (Mac)
  18. FPROT116.ZIP uploaded (PC)
  19. Re: Can such a virus be written .... (PC)
  20. Re: Can such a virus be written .... (PC)
  21. Re: Can such a virus be written .... (PC)
  22. Re: Can such a virus be written .... (PC)
  23. Inside the Whale-Virus (PC)
  24. Announcing McAfee VIRUSCAN Version 80 (PC)
  25. Product Test - - Central Point Anti-Virus (PC)
  26.  
  27. VIRUS-L is a moderated, digested mail forum for discussing computer
  28. virus issues; comp.virus is a non-digested Usenet counterpart.
  29. Discussions are not limited to any one hardware/software platform -
  30. diversity is welcomed.  Contributions should be relevant, concise,
  31. polite, etc.  Please sign submissions with your real name.  Send
  32. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  33. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  34. anti-virus, documentation, and back-issue archives is distributed
  35. periodically on the list.  Administrative mail (comments, suggestions,
  36. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  37.  
  38.    Ken van Wyk
  39.  
  40. ----------------------------------------------------------------------
  41.  
  42. Date:    24 Jun 91 14:55:48 -0400
  43. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  44. Subject: I'm not official!
  45.  
  46. A couple of (excellant) informational posts by Rob Slade recently have
  47. listed me and/or Bill Arnold as contacts for IBM's Anti-Virus Product.
  48. This is just a note to clarify: I'm just a humble researcher, *not* an
  49. official IBM contact of any kind.  You can't buy the product from me,
  50. I'm not an Official Support Person, you shouldn't send me Purchase
  51. Orders, etc.  This applies to Bill as well.  I'm happy to answer
  52. questions about the product that come up on VIRUS-L when I have a
  53. chance, of course.  But to actually buy the product, talk to an IBM
  54. Rep (call your nearest IBM Branch Office; if they don't know about the
  55. product, tell them to "look in the SECURE section of NATBOARD", or
  56. give them my name), or look in the Electronic Software Delivery
  57. section of IBMLINK (if you're an IBMLINK customer).  This all applies
  58. to Bill as well (unless he posts otherwise, hehe).
  59.  
  60. Dave Chess
  61. High Integrity Computing Lab
  62. IBM Watson Research
  63.  
  64. ------------------------------
  65.  
  66. Date:    Tue, 25 Jun 91 10:04:30 -0700
  67. From:    mcafee@netcom.com (McAfee Associates)
  68. Subject: McAfee on VSUM accuracy and Microcom (PC)
  69.  
  70. The following message is forwarded from John McAfee:
  71.  
  72.      I regret that I haven't had much time to keep up with Virus-L
  73. recently, especially since it is one of the more informative sources
  74. of virus information.  Fortunately, Aryeh Goretsky, Morgan Schweers,
  75. Fritz Schneider and others have been kind enough to digest the bulk of
  76. the Virus-L information and forward to me bits and pieces that they
  77. feel my feeble mind can manage.
  78.            A couple of postings made recently by Terry Reeves Ross
  79. Greenburg need a response.  Specifically:
  80.  
  81. >From:   treeves@magnus.acs.ohio-state.edu (Terry N Reeves)
  82. >Vsum still says no utility will remove joshi and that a low level
  83. >format is required.....
  84. >     Is there a utility Ms. Hoffman?  perhaps you just don't want to
  85. >admit it because McAffe's can't?  (i have not tried McAfee but I
  86. assume >she'd say if his did.)
  87.  
  88. The McAfee Clean-Up program has been able to cure the Joshi since the
  89. Joshi first appeared more than ten months ago.  What is curious about
  90. this message is that Terry has not tried our product, yet tacitly
  91. assumes that it cannot perform a given function.  The reason he gives
  92. for this assumption is that the VSUM author doesn't want to admit that
  93. anyone could cure the Joshi because McAfee cannot.  Have we really
  94. reached this level of acrimony within this industry?  Isn't it enough
  95. that most of us are trying our best to thwart a growing number of
  96. virus writers and an escalating infection incidence?  Is there that
  97. much spare energy left to throw stones at people like Patricia
  98. Hoffman?  If Patricia, who works harder at analyzing and reporting
  99. viruses than anyone I know, is now a flame target, then what's left?
  100. I have been aware that VSUM did not report a disinfector for Joshi
  101. (even though Clean-Up had been disinfecting it for 8 releases of VSUM)
  102. but so what?  Out of 500,000 bytes of fine reporting in VSUM, should I
  103. be so insecure that I have to correct Patricia's document so the world
  104. will know that the McAfee products disinfect yet another virus?  Is
  105. there really time and energy for such trivia?
  106.  
  107. And the second posting:
  108.  
  109. >From:  Ross Greenburg
  110. >One of the interesting things:  Microcom, the people who publish and
  111. >market my code, is expressly forbidden from using McAfee products by
  112. >the vendor itself.
  113.  
  114. This is news to the alleged vendor.  Since McAfee Associates is the
  115. only vendor of the McAfee products I assume Ross means us.  We have
  116. never refused to sell our products to anyone, and our policies will
  117. not change.  It's a strange comment considering that 99.9% of all of
  118. our users use our products without telling us or paying us anyway (one
  119. of the side effects of shareware).  How would we ever know?
  120.  
  121. In any case, it's good to exercise my fingers again and communicate
  122. with this growing body of concerned persons.  My best wishes to my
  123. detractors (many), admirers (few) and lethargics (the silent majority)
  124. alike.
  125.  
  126. - - - -
  127. End of forwarded message.
  128.  
  129. While John is not regularly on the Internet, I will forward any replies
  130. to him, however, it would probably be best to contact him directly via
  131. telephone or fax at any of the numbers below.
  132.  
  133. Aryeh Goretsky
  134. McAfee Associates Technical Support
  135.  
  136. ------------------------------
  137.  
  138. Date:    Tue, 25 Jun 91 10:56:52 -0900
  139. From:    "Jo Knox - UAF Academic Computing" <FXJWK@ALASKA.BITNET>
  140. Subject: Re: protecting mac files via locking (Mac)
  141.  
  142. On 21 Jun 91, mike@pyrite.SOM.CWRU.Edu (Michael Kerner) says:
  143.  
  144. > NO!  ABSOLUTELY NOT TRUE IN ANY WAY, SHAPE, OR FORM.  IT IS IMPOSSIBLE TO
  145. > PROTECT A FILE BY LOCKING IT.  PERIOD.  ABSOLUTELY NOT.  IT DOESN'T HAPPEN.
  146.  
  147. Agreed.
  148.  
  149. > The only way to protect a file is to have it on a locked volume.
  150.  
  151. Depends upon how the volume is locked; the only true locking is hardware
  152. write protection, available on floppies and some optical drives (I think).
  153.  
  154. > However, I have an "utility" which will
  155. > overwrite any resource in any file, and that's all the more specific I am
  156. > going to get about it because I don't want some amateur hack reading this
  157. > to get any ideas.  Saying that it can be done is bad enough - it encourages
  158. > the ones that don't know ... yet.  At any rate, file locking AND PROTECTING
  159. > (via some sector editor) do not stop this "utility" from working - no, it's
  160. > not ResEdit, but I haven't tried ResEdit, although I would assume that it
  161. > won't work.
  162.  
  163. I don't think any hacker's going to be surprised at this information;
  164. "File Locked", "File Busy", "File Protect" are just bits in the header
  165. information of the file; there are lots of utilities which can modify
  166. some or all of these file attribute bits---if Finder (just another
  167. program to the Mac) can set these bits, it's evident that other
  168. programs can, too, such as ResEdit, MacTools/ FileEdit, SUM Tools,
  169. Fedit Plus, and DiskTop DA, to name just a few.
  170. jo
  171.  
  172. ------------------------------
  173.  
  174. Date:    Tue, 25 Jun 91 15:11:00 -0400
  175. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
  176. Subject: Self-Modifying SETVER.EXE (PC)
  177.  
  178. >From:    Robert McClenon <76476.337@CompuServe.COM>
  179. >     I just discovered after twenty minutes of unpleasantness that
  180. >SETVER.EXE, a feature of DOS 5.00, is implemented via SELF-MODIFYING
  181. >CODE.
  182.  
  183. Actually, this is much better than earlier (beta) verions in which
  184. SETVER modified other things (even nastier).
  185.  
  186. Since I did not bother to install SETVER, this is not a problem for me
  187. and have not yet run into an application/game/etc that requires its
  188. use.  Though I have heard rumors of such programs.
  189.  
  190. Further, one one teaches SETVER which (shouldn't be many) programs
  191. require DOS to report/act like a different version to work, SETVER
  192. should not be changing unless a new non-conforming program is added.
  193.  
  194. Even so, the rate should not be a problem, & the user should know that
  195. something "legal" was done.
  196.  
  197. For some time, my feeling has been that "intelligent" anti-viral
  198. software should be able to recognize when a program is allowed to
  199. write to itself (SETVER, LIST) or to a limited subset of other
  200. programs (WSCHANGE - WORDSTAR) & notify the user but not make a fuss
  201. about it. Now if SETVER tries to modify LIST, I would be concerned,
  202. but not when it modifies itself when I ask it to.
  203.  
  204. To me, strict checksum coverage of 98% of my files is "good enough"
  205. (quantum economics) that not much safety would be lost if the other 2%
  206. were permitted LIMITED privilege with notification. Heck, the whole
  207. concept of "privilege" receives only lip service (and much
  208. obfustication) from DOS.
  209.  
  210. IMHO, it would seem that MicroSoft had a choice: let SETVER modify
  211. system files (tried & rejected in beta), a separate data file
  212. (possible but must always be able to find it), or itself. Given all
  213. the variables, I think they probably made the most efficient (but not
  214. necessarily the most popular to anti-virus program writers) decision.
  215.  
  216.                         Cooly,
  217.                             Padgett
  218.  
  219. Might be some one else's opinion also but probably not my employer's.
  220.  
  221. ------------------------------
  222.  
  223. Date:    Tue, 25 Jun 91 19:21:10 +0000
  224. From:    EIVERSO@cms.cc.wayne.edu
  225. Subject: Re: Hypercard Antiviral Script? (Mac)
  226.  
  227. From: mike@pyrite.SOM.CWRU.Edu (Michael Kerner)
  228. [stuff deleted]...
  229. >and as long as LockMessages is set, and as long as one checks the
  230. >script of stack xxx before opening it, it's essentially impossible to
  231. >infect yourself by opening a stack - ASSUMING YOU CHECK THE SCRIPT OF
  232. >THE STACK FIRST.
  233.  
  234. >The code to scan a stack is essentially the same as the SearchScript
  235. >code that y'all will find in your HOME stack, only you have to modify
  236. >it to accept a file name (answer file...everyone remember now?...)
  237. >anyway, after you do that, the search string is "set the script of".
  238. >HOWEVER, it is possible that someone has the viri sitting in an XCMD
  239. >or XFCN which they invoke, so you should also check the resources they
  240. >have attached to their stack...so you see, it becomes a pain to simply
  241. >scan the stack script because you also need to scan the resources to
  242. >be effective.
  243.  
  244. Mike, I appreciate what you're about & am not trying to engage in
  245. one-upmanship but....  Don't forget that the script could be in any
  246. object not just the stack script or an XCMD. Maybe SearchScript checks
  247. all objects, I forget.  You won't find the string if it's
  248. cocantenated--i.e.:
  249.  
  250. on openCard
  251.   put "set the scr" & "ipt of ..." into virusVariable --search would miss this
  252.   --other malicious code goes here
  253. end openCard
  254.  
  255. Thanks for the advice about being able to check for a "set" within a
  256. "send" I will really believe it after I test it, though.
  257.  
  258. If you'd like, I could send you the exact script which I believe can
  259. bypass any HC "vaccine". Others need not ask, especially don't contact
  260. my ID directly.
  261.  
  262. - --Eric
  263.  
  264. ------------------------------
  265.  
  266. Date:    Wed, 26 Jun 91 01:01:06 +0000
  267. From:    mike@pyrite.SOM.CWRU.Edu (Michael Kerner)
  268. Subject: Re: Hypercard Antiviral Script? (Mac)
  269.  
  270. I agree that with do's it becomes harder to insure that you catch a
  271. virus, but I also think that it would be relatively easy to spawn out
  272. (e.g. if the virus writer came up with his or her own encryption
  273. method and used the stack script with do's to unencrypt the scripts)
  274. and check fields and so forth for the necessary SETs.  I hadn't
  275. thought about your idea before, but it is clever and does cloud the
  276. issue some more.  What can make it even harder is if the commands to
  277. be DOne are in a file which is also encrypted, and the stack first
  278. unencrypts the files then uses the code in the files and in the fields
  279. to unencrypt the other scripts that must be run.  My biggest concern,
  280. though, is that there will also be a resource lurking in a stack whose
  281. name and type and contents, obviously, can be changed to disguise them
  282. by the virus calling a code resource that it has attached to itself
  283. and thus fooling everyone, including the GateKeeper-like module of
  284. SAM.  Why some virus hack hasn't done this yet is beyond me.  The
  285. virus could be coded to encrypt itself on some date or time parameter
  286. and need the system date or some similar mechanism to untie itself,
  287. thereby making detection pretty difficult at best.  The detection
  288. program would then have to look for the decoding resource, which may
  289. also be obscured by making it look like something else.
  290.  
  291. My head is spinning from all the possibilities.  I'm just glad I don't
  292. have a PC and have to tolerate all their virus problems.  To think
  293. this all started on a Mac.
  294.  
  295. Mike
  296.  
  297. ------------------------------
  298.  
  299. Date:    Sun, 23 Jun 91 23:07:08 -0500
  300. From:    James Ford <JFORD@UA1VM.BITNET>
  301. Subject: FPROT116.ZIP uploaded (PC)
  302.  
  303. The file FPROT116.ZIP has been uploaded to risc.ua.edu (130.160.4.7)
  304. in the directory pub/ibm-antivirus.
  305.  
  306. Please note (once again) that mibsrv.mib.eng.ua.edu will no longer be
  307. available after June 24, 1991.  The archive has moved to RISC.UA.EDU.
  308. Please send all problems/complaints/suggestions to jford@ua1vm.ua.edu
  309. or jford@risc.ua.edu.
  310. - ----------
  311. You cannot antagonize and influence at the same time.
  312. - ----------
  313. James Ford -  jford@ua1vm.ua.edu, jford@risc.ua.edu
  314.               The University of Alabama (in Tuscaloosa, Alabama)
  315.  
  316. ------------------------------
  317.  
  318. Date:    Wed, 26 Jun 91 11:00:42 +0000
  319. From:    frisk@rhi.hi.is (Fridrik Skulason)
  320. Subject: Re: Can such a virus be written .... (PC)
  321.  
  322. It seems I misunderstood a question which was posted here a while ago,
  323. so please disregard my earlier reply....
  324.  
  325. >vanaards@project4.computer-science.manchester.ac.uk (Steven van Aardt) writes:
  326. >  Is it possible to write a PC virus which installs itself whenever
  327. >you place an infected disk in the drive and do a DIR command ?
  328.  
  329. I wrote:
  330.  
  331. >Not only possible - many such viruses already exist.  They are either boot
  332. >sector infectors which intercept INT13 and infect a disk whenever it is read
  333. >from, or file infectors which intercept the FindFirst/FindNext functions -
  334. >the DIR and DIR-2 viruses are a prime example.
  335.  
  336. But, as I said, this was a misunderstanding - I thought the original
  337. poster meant whether a resident virus could infect a diskette simply
  338. when the user issued a 'DIR' command.  However, the question was
  339. whether a virus-infected diskette could infect the system, when the
  340. user issued a 'DIR' command.
  341.  
  342. The answer to that question is a definite NO - on a PC, that is - but
  343. I am not sure if the same applies to the Amiga or the Mac - perhaps
  344. somebody else can clarify that.
  345.  
  346. Sorry about any confusion caused by my earlier reply...
  347.  
  348. - -frisk
  349.  
  350. ------------------------------
  351.  
  352. Date:    Wed, 26 Jun 91 11:19:00 +1200
  353. From:    "Mark Aitchison, U of Canty; Physics" <PHYS169@csc.canterbury.ac.nz>
  354. Subject: Re: Can such a virus be written .... (PC)
  355.  
  356. Kevin_Haney%NIHCR31.BITNET@CU.NIH.GOV writes:
  357. > vanaards@project4.computer-science.manchester.ac.uk (Steven van Aardt)
  358. > writes:
  359. >>
  360. >>   Is it possible to write a PC virus which installs itself whenever
  361. >> you place an infected disk in the drive and do a DIR command ?
  362.  
  363. I wrote...
  364.  
  365. > Yes. But on a PC this requires certain conditions, which mean it
  366. > probably wouldn't spread very far.
  368. > I would like to know just what these conditions are. 
  369.  
  370. I'm not sure if I should broadcast the way in which a virus could do
  371. this, but I suppose I could mention the conditions...
  372.  
  373. (1) Have ANSI.SYS (or similar) loaded,
  374. (2) Possibly make assumptions about what the user will type next,
  375. (3) Assume the user doesn't look too hard at the directory listing.
  376.  
  377. I would expect such a virus, if it can be written, to have a low
  378. chance of spreading far. However, it is important to accept that
  379. *possibly* a virus could spread on PC's this way.
  380.  
  381. Mark Aitchison.
  382.  
  383. ------------------------------
  384.  
  385. Date:    Tue, 25 Jun 91 15:10:24 -0700
  386. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  387. Subject: Re: Can such a virus be written .... (PC)
  388.  
  389. dkrause@miami.acs.uci.edu (Doug Krause) writes:
  390.  
  391. > vanaards@project4.computer-science.manchester.ac.uk (Steven van Aardt) writes
  392. > #
  393. > #  Is it possible to write a PC virus which installs itself whenever
  394. > #you place an infected disk in the drive and do a DIR command ?
  396. > Doesn't STONED act that way?
  397.  
  398. Well, yes and no.
  399.  
  400. (Parenthetically here, let me state that it is hard to state with much
  401. assurance "what 'Stoned' does", since it must be the most widely
  402. "strained" viral program around today.  But anyway ...)
  403.  
  404. The Stoned virus usually will infect any disk that you "read" with a
  405. DIR command.  But, in fact, it will infect just about any disk that it
  406. does access, regardless of how it does it.
  407.  
  408. That said, the various strains show tremendous differences.  I have
  409. one which will only infect disks in the A: drive, and another which
  410. refuses to infect anything unless som{ odd conditions{are satisfied.
  411. (I haven't figured them out compltely, but one sure way to infect a
  412. di{k is to read it with PCTOOLS.)
  413.  
  414. {(Sorry for the line noise today.)
  415.  
  416. =============
  417. Vancouver          p1@arkham.wimsey.bc.ca   | "If you do buy a
  418. Institute for      Robert_Slade@mtsg.sfu.ca |  computer, don't
  419. Research into      (SUZY) INtegrity         |  turn it on."
  420. User               Canada V7K 2G6           | Richards' 2nd Law
  421. Security                                    | of Data Security
  422.  
  423. ------------------------------
  424.  
  425. Date:    Tue, 25 Jun 91 17:17:19 +0000
  426. From:    kenm@maccs.dcss.mcmaster.ca (...Jose)
  427. Subject: Re: Can such a virus be written .... (PC)
  428.  
  429. frisk@rhi.hi.is (Fridrik Skulason) writes:
  430. >>vanaards@project4.computer-science.manchester.ac.uk (Steven van Aardt) writes
  431. :
  432. >>  Is it possible to write a PC virus which installs itself whenever
  433. >>you place an infected disk in the drive and do a DIR command ?
  434. >
  435. >Not only possible - many such viruses already exist.  They are either boot
  436. >sector infectors which intercept INT13 and infect a disk whenever it is read
  437. >from, or file infectors which intercept the FindFirst/FindNext functions -
  438. >the DIR and DIR-2 viruses are a prime example.
  439.  
  440.     I'm not sure that this (very correct) answer actually responds
  441. to the question.  If I'm not mistaken, the question is whether a virus on
  442. a diskette can infect the system/hard drive simply by doing a DIR of the
  443. infected diskette; ie. can simply reading the infected disk cause the virus
  444. to be loaded into memory.  I can't see how.
  445.  
  446.     Mr. Skulason, I think, is referring to a virus already in memory
  447. subverting the DIR command to place itself on a clean diskette.
  448.  
  449.     Have I interpretted everyone's statements correctly?
  450.  
  451.             ....Jose
  452.  
  453. - -----------------------------------------------------------------------------
  454. ".sig quotes are dippy"|Kenneth C. Moyle          kenm@maccs.dcss.mcmaster.ca 
  455.  - Kenneth C. Moyle    |Department of Biochemistry     MOYLEK@MCMASTER.BITNET 
  456.                        |McMaster University       ...!uunet!mnetor!maccs!kenm 
  457.  
  458. ------------------------------
  459.  
  460. Date:    26 Jun 91 14:40:21 -0400
  461. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  462. Subject: Inside the Whale-Virus (PC)
  463.  
  464. No, I don't think anyone's ever found any evidence of any significant
  465. "payload" inside the Whale.  It spent so much (primarily futile)
  466. effort in being hard to analyze that it didn't have room for any
  467. sophisticated payload (or even for correct operation, hehe!).  DC
  468.  
  469. ------------------------------
  470.  
  471. Date:    Tue, 25 Jun 91 18:01:29 -0700
  472. From:    mcafee@netcom.com (McAfee Associates)
  473. Subject: Announcing McAfee VIRUSCAN Version 80 (PC)
  474.  
  475. WHAT'S NEW
  476.  
  477. VIRUSCAN
  478.  
  479.      Versions 78 and 79 of VIRUSCAN were skipped because of two
  480. trojan horse versions that appeared.  Version 80 of SCAN logically
  481. follows V77.
  482.      Version 80 adds several new features to VIRUSCAN:
  483.      The first is that SCAN now checks inside of files compressed
  484. with PKWare's PKLITE program for viruses.  Files infected before
  485. compression will be reported as being infected internally.  Files
  486. infected after compression will be reported as being infected
  487. externally.
  488.      When a subdirectory is scanned, SCAN will check subdirectories
  489. below that subdirectory when the /SUB option is used.
  490.      The extension .SWP has been added to the list of extensions
  491. scanned by default.
  492.      The /REPORT option now displays version number, options used,
  493. date and time, and validation code results.
  494.      Also, the capabilty to detect unknown boot sector viruses by
  495. scanning for virus-like code has been added.  If a boot sector is
  496. found that contains suspicious code, SCAN will report that the disk
  497. contains a Unrecognized Boot Sector Virus.
  498.      51 new viruses have been added.  Ones that were reported at
  499. multiple sites are:
  500.      The Telephonica virus -- a memory-resident multipartite
  501. virus that infects the boot sectors of floppy disks, the hard disk
  502. partition table, and .COM files.  The virus infects .COM files at
  503. about 15 minute intervals, and keeps a counter of the number of
  504. reboots that have occurred.  When 400 reboots have occurred, the
  505. virus displays the message "VIRUS ANTITELEFONICA (BARCELONA)" and
  506. formats the hard disk.  The virus has been reported at multiple
  507. sites in Barcelona, Spain and in England.
  508.      The Loa Duong virus -- a memory-resident floppy disk and hard
  509. disk boot sector infector.  It is named after a Laotian funeral
  510. dirge that it plays after every 128 disk accesses.
  511.      The Michelangelo -- a floppy disk boot sector and hard disk
  512. partition table infector based on the Stoned virus.  On March 6,
  513. Michelangelo's birthdate, it formats the hard disk of infected
  514. PC's.
  515.      The Tequila virus -- sent to us from the United Kingdom but
  516. originates in Switzerland.  It is a memory-resident multipartite
  517. virus uses stealth techniques and attaches to the boot sector of
  518. floppies, partition table of hard disks, and .EXE files.  It
  519. contains messages saying "Welcome to T.TEQUILA's latest
  520. production.", "Loving thoughts to L.I.N.D.A", and "BEER and TEQUILA
  521. forever !"
  522.  
  523.  
  524. CLEAN-UP
  525.  
  526.      The Empire, Form, Loa Duong, Michaelangelo, Nomenclature,
  527. Tequila and V-801 viruses have been added to the list of viruses
  528. that can be successfully removed.
  529.  
  530.  
  531. VSHIELD
  532.  
  533.      Version 80 of VSHIELD adds a command to ignore program loads
  534. off of specified drives.  When the /IGNORE option is activated, the
  535. user can specify from which drives VSHIELD will NOT monitor program
  536. loads.  Also, the capabilty to detect unknown boot sector viruses
  537. by scanning for virus-like code has been added.  If a diskette boot
  538. sector contains suspicious code and a re-boot request is attempted
  539. from the diskette, VSHIELD will disallow the re-boot and will
  540. report that the disk contains a Unrecognized Boot Sector Virus.
  541.  
  542.  
  543. NETSCAN
  544.  
  545.      Version 80 of NETSCAN adds 51 new viruses.
  546.  
  547.  
  548. VCOPY
  549.  
  550.      VCOPY Version 80 hasn't been released yet, but should follow
  551. in a couple of days, as usual.
  552.  
  553.  
  554. THE NUMBER OF VIRUSES
  555.      Version 80 adds 51 computer viruses, bringing the number of
  556. strains to 293, or, counting variants, 714.
  557.  
  558.  
  559. Aryeh Goretsky
  560. McAfee Associates Technical Support
  561.  
  562. ------------------------------
  563.  
  564. Date:    Tue, 25 Jun 91 08:02:40 -0600
  565. From:    Chris McDonald ASQNC-TWS-R-SO <cmcdonal@wsmr-emh03.army.mil>
  566. Subject: Product Test - - Central Point Anti-Virus (PC)
  567.  
  568. *******************************************************************************
  569.                                                                           PT-36
  570.                                        June 1991
  571. *******************************************************************************
  572.  
  573.  
  574. 1.  Product Description:  Central Point Anti-Virus (CPAV) is a product to
  575. detect, disinfect and prevent virus infections as well as protection against
  576. the introduction of "unknown" and/or malicious code.
  577.  
  578. 2.  Product Acquisition:  CPAV is available from Central Point Software, Inc.,
  579. 15220 NEW Greenbrier Pkwy., Suite 200, Beaverton, OR 97006.  A marketing
  580. number, current as of 6 Jun 91, is 1-800-445-4064.  The retail price of the
  581. product is $129.00.  Site licenses are available.
  582.  
  583. 3.  Product Testers:  Don Rhodes, Information Systems Management Specialist,
  584. Information Systems Command, White Sands Missile Range, NM 88002-5506, DSN:
  585. 258-8174, DDN:  drhodes@wsmr-emh04.army.mil; Chris Mc Donald, Computer Systems
  586. Analyst, Information Systems Command, White Sands Missile Range, NM 88002-5506,
  587. DSN:  258-4176, DDN:  cmcdonal@wsmr-emh03.army.mil or cmcdonald@wsmr-simtel20.
  588. army.mil.
  589.  
  590. ------------------------------
  591.  
  592. End of VIRUS-L Digest [Volume 4 Issue 110]
  593. ******************************************
  594.