home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_115.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  23.0 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #115
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Tuesday,  2 Jul 1991    Volume 4 : Issue 115
  9.  
  10. Today's Topics:
  11.  
  12. Rumors
  13. Recalciterant infection with Frodo (PC)
  14. $MUSTAFA, new virus? (PC)
  15. Retrospect Remote vs. Gatekeeper (Mac)
  16. Disk Boot Failure?! (PC)
  17. Re: Can such a virus be written .... (PC)
  18. GUARD - prevents h.d. infection via floppy boot (PC)
  19. Re: Virus protection: what to use
  20. New files on MIBSRV (PC)
  21. Disinfectant 2.5? (Mac)
  22. Re: Two versions of SCANV80.ZIP? (PC)
  23. re: Words
  24.  
  25. VIRUS-L is a moderated, digested mail forum for discussing computer
  26. virus issues; comp.virus is a non-digested Usenet counterpart.
  27. Discussions are not limited to any one hardware/software platform -
  28. diversity is welcomed.  Contributions should be relevant, concise,
  29. polite, etc.  Please sign submissions with your real name.  Send
  30. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  31. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  32. anti-virus, documentation, and back-issue archives is distributed
  33. periodically on the list.  Administrative mail (comments, suggestions,
  34. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  35.  
  36.    Ken van Wyk
  37.  
  38. ----------------------------------------------------------------------
  39.  
  40. Date:    Sat, 29 Jun 91 02:05:00 +0000
  41. From:    William Hugh Murray <0003158580@mcimail.com>
  42. Subject: Rumors
  43.  
  44. > I just received word of a virus that was encountered during a Mac
  45. > System 7 installation.  Both the keyboard and mouse DIED on three
  46. > machines that just had System 7 installed on them.  The customer
  47. > then attached a voltage meter to the ADB port of a fourth machine
  48. > only to find a unusually high reading.  It appears the virus
  49. > destroys chips on the mouse and keyboard.
  50.  
  51. I am glad I do not have his job.  I  know that Ken is very careful
  52. about what he posts.  I am reluctant to second guess him.   However,
  53. in the case of this posting, I must.
  54.  
  55. The posting is potentially more damaging than the damage that it seeks
  56. to avert.
  57.  
  58. First, it is hearsay.  The author does not cite his source, and claims
  59. no first-hand knowledge of the events that he reports.
  60.  
  61. Second, it appeals to fear of permanent and irreversible damage from a
  62. program.  Such appeals to fear can never be justified except by carefully
  63. tested conclusions.
  64.  
  65. Third, it speculates on hardware damage from indirect evidence.  I can
  66. think of far more likely causes for keyboards and mouses not to work
  67. than destruction of chips, particularly, if as the reporter speculates,
  68. the cause is somehow related to the installation of software.
  69.  
  70. Fourth, while second-hand, it reports something so unlikely as to make
  71. any responsible reporter question his sources and hold his water.  That
  72. is, it reports that programmable behavior of a computer caused permanent
  73. damage to the computer hardware.  The only evidence that any damage that
  74. may have occurred was software related was that the same code had just
  75. been installed on all of them.  Sorry, that is not sufficient evidence
  76. that any damage was software related.
  77.  
  78. A report of an "unusually high (output voltage) reading" is used to
  79. support the conclusion that the damage was caused by software, when in
  80. fact, that should lead one to the far more likely conclusion that any
  81. damage was related to an abnormally high input voltage.
  82.  
  83. Rumors of viruses are almost as damaging to public trust as viruses
  84. themselves.   One should not attribute damage to viruses without cause.
  85. One may not justify premature reports on the basis that the virus is
  86. very damaging.  The greater the power attributed to the virus, the
  87. greater, not the lesser, the responsibility to report only what one
  88. knows with a very high level of confidence and authority.  "I just
  89. received word" will not cut it.
  90.  
  91. I will be very surprised if these events are at all related to software.
  92. If the cause was software, I will be extremely surprised if the symptoms
  93. reported were caused by destruction of chips.  I will not be surprised
  94. to learn that they did not happen as reported, did not happen at all, or
  95. are pure fantasy.  Even if they happened exactly as reported, the report
  96. is still premature and irresponsible.
  97. ____________________________________________________________________
  98. William Hugh Murray                     203-966-4769
  99. Information System Security             203-326-1833 (CELLULAR)
  100. Consultant to Deloitte & Touche         203-761-3088
  101. Wilton, Connecticut                     email: 315-8580@MCIMAIL.COM
  102.                                         WHMurray@DOCKMASTER.NCSC.MIL
  103.                                         MCI-Mail: 315-8580
  104.                                         TELEX: 6503158580
  105.                                         FAX: 203-966-8612
  106.                                         Compu-Serve: 75126,1722
  107. 21 Locust Avenue, Suite 2D              DASnet: [DCM1WM]WMURRAY
  108. New Canaan, Connecticut 06840           PRODIGY: DXBM57A
  109.  
  110. [Ed. The moderator's response: VIRUS-L/comp.virus receives a great
  111. number of messages which appeal to fear and/or are purely hearsay.
  112. Long time subscribers will no doubt recognize past examples such as
  113. discussions of disk drives writing to write-protected disks, viruses
  114. destroying monitors, etc.  I generally send a response to the author
  115. requesting that he/she cite some reference and/or provide complete
  116. technical details of any testing and so forth; I have yet to get a
  117. response to such a request...  Occasionally, however, one of two
  118. things can happen.  The first is that I accidentally overlook and
  119. accept the posting.  Mistakes can happen, but I try my best to avoid
  120. them and I try even harder to learn from my mistakes.  The second is
  121. that I decide to pass the message on under the assumption that the
  122. vast pool of technical expertise that we have out on the list will
  123. quickly and decisively dispell the poster's claims.
  124.  
  125. I also would like add the comment that VIRUS-L, like all/most _public_
  126. discussion forums, cannot guarantee the technical authenticity of its
  127. contents.  The contents of the list are up to the individual
  128. subscribers.  As such, I would strongly recommend treating all
  129. (outlandish) claims with a grain of salt until they can be
  130. independently verified.]
  131.  
  132. ------------------------------
  133.  
  134. Date:    Sun, 30 Jun 91 20:31:32 +0700
  135. From:    Aviel Roy-Shapira <AVIR@BGUVM.BITNET>
  136. Subject: Recalciterant infection with Frodo (PC)
  137.  
  138. Help please!  I have a recalciterant infection by Frodo or 4096.  I am
  139. not sure about the source of the infection, but somehow it got into my
  140. system.  Clean (V. 77) cleaned the disk alright, but the infection
  141. keeps poping up.  It has become even wierder.  Both Clean, Virus Scan,
  142. and F-Fchk (115) report that all the files on my hard disk are free
  143. from the virus.  But, if I boot from the hard disk, and I run
  144. F-SYSCHK, it says the virus is lurking in memory.  I don't get this
  145. warning if I boot from a floppy.
  146.  
  147. My config.sys file contains Device=DMDrvr.bin, Device=f-driver.sys,
  148. files=40 and buffers=20.  I don't run any programs or TSR from my
  149. autoexec, which simply states the path and sets a couple of
  150. environment variable.  DMDrvr.bin appears to be clean, as its length
  151. is 8000 bytes or so and it didnot change.
  152.  
  153. I thought that Frodo was only a COM and EXE file infector, yet it
  154. somehow entered my system and refuses to leave. Any ideas?
  155. Aviel
  156.  
  157. ------------------------------
  158.  
  159. Date:    Mon, 01 Jul 91 17:52:00 +1200
  160. From:    "John, Registry" <REGY106@csc.canterbury.ac.nz>
  161. Subject: $MUSTAFA, new virus? (PC)
  162.  
  163. Hi,
  164.     Anybody heard of a possible PC virus called $MUSTAFA?
  165.     Don't know too much about it at the moment.  The mouse has stopped
  166. working.  If you look at device drivers, there is one at
  167.        Memory    Size Driver    Program  Attributes
  168.                    NUL       MSDOS    C
  169.     0AAD-0BA7 3.9K $MUSTAFA           CS
  170.     .
  171.     .
  172.     .
  173.  
  174. There is a file open:
  175.        Name       Ext    Program
  176.     AUX
  177.     CON
  178.     PRN
  179.     $MUSTAFA     (1041)
  180.  
  181. A memory map shows:
  182.     .
  183.     .
  184.     .
  185.     1036 - 103F  0.2K   TRUMOUSE Environment
  186.     1040 - 2193   69K   (1041)
  187.     2194 - 23BD  8.7K   TRUMOUSE
  188.     .
  189.     .
  190.     .
  191.  
  192. The partition table and boot sectors look o.k.  Scan 77 doesn't pick
  193. it up.  I am getting Scan 80 (hopefully) and will try that.  If you do
  194. a whereis $mustafa.* it finds it on every directory on the disk (2.7K
  195. long. Looking at the actual directory entries the file doesn't exist.
  196.  
  197. If anybody has any more info for me please e-mail.
  198.  
  199.     John
  200.  
  201. ------------------------------
  202.  
  203. Date:    01 Jul 91 02:06:56 -0400
  204. From:    huff@mcclb0.med.nyu.edu (Edward J. Huff)
  205. Subject: Retrospect Remote vs. Gatekeeper (Mac)
  206.  
  207. I ran the Retrospect 1.3 remote updater, which sends a new version of
  208. the Retrospect Remote cdev across the network.  Gatekeeper 1.1.1 and
  209. 1.2 both log the PBSetCatInfo from '' to 'cdev' operation to whatever
  210. application happened to be running.
  211.  
  212. The basic problem is: gatekeeper depends on trusting certain programs
  213. to be permitted certain operations, but sometimes, operations can be
  214. performed by an INIT such as Retrospect Remote, while that program is
  215. the "current application," and gatekeeper fails to notice that the
  216. operation was not initiated by the trusted program.
  217.  
  218. ------------------------------
  219.  
  220. Date:    Mon, 01 Jul 91 12:28:37 +0000
  221. From:    gburlile@magnus.acs.ohio-state.edu (Greg Burlile)
  222. Subject: Disk Boot Failure?! (PC)
  223.  
  224. Could a virus cause the "Disk Boot Failure" DOS error message to
  225. appear?  We've had this problem with two of our machines.  One of them
  226. we had to reformat so that would could finally get the PC to boot from
  227. the hard drive.  The other computer we were able to boot from diskette
  228. and then reboot from the hard drive.  Prior to that we had a problem
  229. with several computers (including the two I mentioned above) having
  230. their root directory files erased (including the hidden system files).
  231. Could someone please give me some input as to why this is happening.
  232. Is it a virus?  I've run F-PROT 1.13 on these machines and nothing
  233. came up.  I just downloaded a copy of 1.16 and will see if it finds
  234. anything.
  235.  
  236. ------------------------------
  237.  
  238. Date:    Mon, 01 Jul 91 13:40:17 +0000
  239. From:    mfr3@cunixb.cc.columbia.edu (Matthew F Ringel)
  240. Subject: Re: Can such a virus be written .... (PC)
  241.  
  242. PJML@ibma.nerc-wallingford.ac.uk (Pete Lucas) writes:
  243. >until the virus has had a look at whats there. Of course the write-protect
  244. >notch/slide is 99.99% effective in my experience at preventing any
  245. >illicit writes; you would, of course, have write-protected any diskette
  246. >you put in the drive before doing the hypothetical DIR command, wouldnt
  247. >you?
  248. >          Pete Lucas 
  249.  
  250. Speaking of that...
  251.     Is it possible for a virus to circumvent an IBM's
  252. write-protection of a disk (if the disk is protected in the stndard
  253. way of covering the notch), or is it something physical that no piece
  254. of software can get around?
  255.  
  256. Any idea?  I'd love to hear them.
  257.                         -Matthew
  258.  
  259.  
  260. }{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}{}}{}{}{}{}{}{}{}{
  261. Matthew F. Ringel                   {}  Internet:mfr3@cunixb.cc.columbia.edu 
  262.      ...and God saw the light...    {}           ringel@cs.columbia.edu
  263. ..and said that it was pretty neat.{}    Columbia University Football #1!
  264.  
  265. ------------------------------
  266.  
  267. Date:    Mon, 01 Jul 91 15:20:00 +0300
  268. From:    Y. Radai <RADAI@HUJIVMS.BITNET>
  269. Subject: GUARD - prevents h.d. infection via floppy boot (PC)
  270.  
  271.   About half a year ago, someone asked whether there was a way of
  272. preventing infection of one's hard disk on cold-boot when an infected
  273. diskette happens to be in drive A:.  As I hinted a couple of times, I
  274. would soon be announcing a program to do this.  Well, it's called
  275. GUARD and is now available in uuencoded ZIPped form to anyone who
  276. requests it from me by e-mail.
  277.   Some people on this list expressed the opinion that this wouldn't
  278. work on a cold boot, or against partition-record viruses, or that it
  279. could only detect infection but not prevent it, or that it would re-
  280. quire hardware or a special BIOS.  Well, GUARD prevents hard-disk
  281. infection on floppy boot (even cold boot) without using either hard-
  282. ware or a special BIOS.
  283.  
  284.   The basic idea is as follows:  When you install GUARD, it zeroes out
  285. several bytes of each entry of the partition table (storing the origi-
  286. nal bytes elsewhere in the partition record), so that these partitions
  287. are not recognized as DOS partitions when booting from a diskette, and
  288. it inserts code in the partition record which resets these bytes when
  289. booting is performed from the hard disk.  A command GUARD -G in the
  290. AUTOEXEC.BAT file of the hard disk zeroes the bytes again, thus re-
  291. storing the protection for the next diskette boot.
  292.   Because of the fact that the hard-disk partitions are non-DOS par-
  293. titions when booting from a diskette, no boot-sector or file virus can
  294. infect the hard disk.  A partition-record virus will infect the parti-
  295. tion record of the hard disk *temporarily*, but the viral code will be
  296. overwritten by GUARD's uninfected code the next time booting is per-
  297. formed from the hard disk.
  298.  
  299.   There's nothing original in the idea of modifying the partition
  300. record for this purpose, although I haven't seen a program which deals
  301. with p.r. viruses in this way.  Note also that it does not rely on a
  302. device driver or any other code outside of the p.r., as most other
  303. programs of this type do.  Another feature is that you can protect
  304. *selected partitions* of your hard disk(s).
  305.  
  306.   GUARD also contains an option to require typing of a password in
  307. order to use the computer after booting from the hard disk.
  308.  
  309.   Can GUARD be circumvented by a directed attack?  Of course, but what
  310. anti-viral program can't?  (The closest thing to an exception seems to
  311. be a carefully designed checksum program activated after booting from
  312. a clean diskette.)  However, it's effective against all viruses which
  313. do not mount a directed attack against this type of defense (which
  314. includes all viruses known today).
  315.  
  316.   Note: I am not the author of GUARD.  I simply beta-tested it, sug-
  317. gested numerous improvements, and wrote the documentation for it.  You
  318. are invited to try it out ("gamma-test" it) and to send me your com-
  319. ments, which I will reply to and/or forward to the author.  (Eventual-
  320. ly GUARD will be uploaded to Simtel20 and other servers as shareware.)
  321.  
  322.                                      Y. Radai
  323.                                      Hebrew Univ. of Jerusalem, Israel
  324.                                      RADAI@HUJIVMS.BITNET
  325.                                      RADAI@VMS.HUJI.AC.IL
  326.  
  327. ------------------------------
  328.  
  329. Date:    Mon, 01 Jul 91 15:38:00 +0300
  330. From:    Y. Radai <RADAI@HUJIVMS.BITNET>
  331. Subject: Re: Virus protection: what to use
  332.  
  333.   Aryeh Goretsky gave a good description of the three main types of
  334. anti-viral software.  I think he missed a few important points, how-
  335. ever, so I'd like to contribute a few additions to what he wrote.
  336.  
  337.  Concerning "filters" (or as I call them, generic monitoring pro-
  338. grams), he writes:
  339. >Filters have the
  340. >advantage of being able to detect new viruses because they are not
  341. >looking for specific viruses, but rather virus-methods.
  342.  
  343. Correct, but there is another advantage (in comparison to the other
  344. methods he mentions, which can only detect infections *after* they
  345. have occurred): filters can *prevent* infection from occurring at all.
  346.  
  347.   He then mentions three disadvantages of filters.  However, there are
  348. two others: (1) They can't prevent anything which happens before they
  349. go resident (in particular, boot sector infections).  (2) Being resi-
  350. dent programs, they are more vulnerable to neutralization or circum-
  351. vention by a hostile program than is a non-resident program.
  352.  
  353.   Concerning "change checkers" (modification detectors), he writes:
  354. >The advantages to change checkers
  355. >are that they will detect known and unknown viruses, like the filter,
  356.  
  357. True, but a filter can also be effective against immediate-acting
  358. *Trojans*, something that is not true of a change checker.
  359.  
  360. >it's been theorized that if
  361. >the method of change checking is known, a virus could be written to
  362. >add itself to files in such a way that a checksum identical to the
  363. >known (good) checksum is generated;
  364.  
  365. This is not possible with a CRC or cryptographic algorithm if each
  366. user's checksums are based on a different key unknown to others and
  367. his table of checksums is inaccessible to a hostile program.  (These
  368. two conditions cannot be achieved in inter-machine transfer of files
  369. to arbitrary users, but they can be achieved when modification takes
  370. place on a given computer, which is what is normally assumed when
  371. discussing viruses.)
  372.  
  373.   Turning to [known-virus] scanners, he writes:
  374. >And of course, as more
  375. >viruses are added, the scanner gets s l o w e r.
  376.  
  377. This is true of *most* scanners, but not all of them.  By using a
  378. hashing technique, the scanning time can be kept constant, at the
  379. price of somewhat increased program size.
  380.  
  381.                                      Y. Radai
  382.                                      Hebrew Univ. of Jerusalem, Israel
  383.                                      RADAI@HUJIVMS.BITNET
  384.                                      RADAI@VMS.HUJI.AC.IL
  385.  
  386.  
  387. ------------------------------
  388.  
  389. Date:    Mon, 01 Jul 91 11:10:06 -0500
  390. From:    James Ford <JFORD@UA1VM.BITNET>
  391. Subject: New files on MIBSRV (PC)
  392.  
  393. The following files have been uploaded to risc.ua.edu in the directory
  394. pub/ibm-antivirus for anonymous ftping:
  395.  
  396. scanv80.zip
  397. netscn80.zip
  398. vshld80.zip
  399. clean80.zip
  400. virx15.zip
  401.  
  402. One last note:  MIBSRV.MIB.ENG.UA.EDU has been removed.  It is probably
  403. going to make someone a nice boat
  404. - ----------
  405. Behind every successful man is a woman who made it necessary.
  406. - ----------
  407. James Ford -  jford@ua1vm.ua.edu, jford@risc.ua.edu
  408.               The University of Alabama (in Tuscaloosa, Alabama)
  409.  
  410. ------------------------------
  411.  
  412. Date:    Mon, 01 Jul 91 12:39:33 -0700
  413. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  414. Subject: Disinfectant 2.5? (Mac)
  415.  
  416. Recently, the Fidonet "Warnings" echo carried a note about Mac users
  417. having to upgrade to Disinfectant 2.5.  I replied with the information
  418. from John Norstad's posting here a while back:
  419.  
  420. ==========
  421.  
  422. From: j-norstad@nwu.edu (John Norstad)                                
  423. Subject: Disinfectant and System 7 (Mac)                              
  424. Date: 20 May 91 01:50:16 GMT                                          
  425.                                                                       
  426. Thanks to an error in Apple's Compatibility Checker, I've been deluged
  427. with requests for information on Disinfectant 2.5.                    
  428.                                                                       
  429. If you have installed the Disinfectant INIT on your system, Apple's   
  430. Compatibility Checker incorrectly reports that it is incompatible with
  431. System 7, and it recommends that you get version 2.5.                 
  432.                                                                       
  433. There is no Disinfectant 2.5, and there won't be one! Disinfectant 2.4
  434. works fine with System 7, provided you leave the Disinfectant INIT in 
  435.  
  436. ==========
  437.  
  438. I have now received the following reply:
  439.  
  440. ==========
  441.  
  442. 06/30/91 19:10:49
  443. From: JOHN LENKO
  444. Subj: REPLY TO MSG# 12992 (DISINFECTANT 2.5)
  445. Unbelievers get viruses...at least in this case they do!
  446.  
  447. This is John's friend Chris, the source for the info..
  448.  
  449. I already have 2.5, and it is already posted on DDCBBS, in case you do
  450. not believe that there is a version 2.5.  I would suggest looking into
  451. it, for it is not only System 7.0 compatible, but is also able to
  452. recognize the new strain of ZUC, strain C, that is....
  453. - --- TBBS v2.1/NM
  454.  * Origin: Doppler/Deep Cove TBBS - Richmond, B.C. (153/915)
  455.  
  456. =========
  457.  
  458. What gives?
  459.  
  460. =============
  461. Vancouver          p1@arkham.wimsey.bc.ca   | "If you do buy a
  462. Institute for      Robert_Slade@mtsg.sfu.ca |  computer, don't
  463. Research into      (SUZY) INtegrity         |  turn it on."
  464. User               Canada V7K 2G6           | Richards' 2nd Law
  465. Security                                    | of Data Security
  466.  
  467. ------------------------------
  468.  
  469. Date:    Tue, 02 Jul 91 00:37:39 +0000
  470. From:    mcafee@netcom.com (McAfee Associates)
  471. Subject: Re: Two versions of SCANV80.ZIP? (PC)
  472.  
  473. p1@arkham.wimsey.bc.ca (Rob Slade) writes:
  474. >I retrieved SCANV80.ZIP from the wuarchive.wustl.edu mirror of
  475. >SIMTEL20, but when I went to repost it on a local board found a
  476. >different version.  Both versions appear to be authentic, with some
  477. >minor differences in text files:
  478. [listing of ZIP file contents deleted here...]
  479. >It seems the only differences are found in:
  480. >              README.1ST
  481. >              REGISTER.DOC
  482. >              SCANV80.DOC
  483. >              VIRLIST.TXT
  484. >with the addition of two files:
  485. >              NETSCN80.DOC
  486. >              VSHLD80.DOC
  487.  
  488. Oops.  The SCAN zip file was released with two extra doc files in it
  489. accidentally.  It was replaced after it this was discovered a few
  490. hours later, but apparently a few copies are circulating...  It's no
  491. cause for alarm, the only difference being that the ZIP file with the
  492. extra two files may take a bit longer to download.
  493.  
  494. Regards,
  495.  
  496. Aryeh Goretsky
  497. McAfee Associates Technical Support
  498. - -- 
  499. McAfee Associates     | Voice (408) 988-3832    | mcafee@netcom.com
  500. 4423 Cheeney Street     | FAX   (408) 970-9727    | (Aryeh Goretsky)    
  501. Santa Clara, California     | BBS   (408) 988-4004    | 
  502. 95054-0253  USA         | v.32  (408) 988-5190    | mrs@netcom.com
  503. ViruScan/CleanUp/VShield | HST   (408) 988-5138 | (Morgan Schweers)
  504.  
  505. ------------------------------
  506.  
  507. Date:    Mon, 01 Jul 91 20:39:06 -0700
  508. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  509. Subject: re: Words
  510.  
  511. vail@tegra.com (Johnathan Vail) writes:
  512.  
  513. > virus - a piece of code that is executed as part of another program
  514. >     and can replicate itself in other programs.  The analogy to real
  515. >     viruses is pertinent ("a core of nucleic acid, having the ability to
  516. >     reproduce only inside a living cell").  Most viruses on PCs really are
  517. >     viruses.
  519. > worm - a program that can replicate itself, usually over a network.  A
  520. >     worm is a complete program by itself unlike a virus which is part of
  521. >     another program.  Robert Morris's program, the Internet Worm, is an
  522. >     example of a worm although it has been mistakenly identified in the
  523. >     popular media as a virus.
  524. >     bomb.
  525.  
  526. Question:
  527.  
  528. Given that under these definitions boot sector infectors, "spawning"
  529. viri and items such as Mac's WDEF are excluded from "virus", does that
  530. make them all "worms"?
  531.  
  532. If so, you will have to define "most viruses on PCs", since many of
  533. the more successful PC viri are BSI's.
  534.  
  535. =============
  536. Vancouver          p1@arkham.wimsey.bc.ca   | "If you do buy a
  537. Institute for      Robert_Slade@mtsg.sfu.ca |  computer, don't
  538. Research into      (SUZY) INtegrity         |  turn it on."
  539. User               Canada V7K 2G6           | Richards' 2nd Law
  540. Security                                    | of Data Security
  541.  
  542. ------------------------------
  543.  
  544. End of VIRUS-L Digest [Volume 4 Issue 115]
  545. ******************************************
  546.