home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_116.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  22.5 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #116
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Wednesday,  3 Jul 1991    Volume 4 : Issue 116
  9.  
  10. Today's Topics:
  11.  
  12. General definition part 1 (general)
  13. Requirements for Virus Checkers (PC)
  14. New Release of VIRx: Version 1.6 now available (PC)
  15. FROD/4096 (PC)
  16. Disinfectant 2.5 (Mac)
  17. re: Can such a virus be written... (PC) (Amiga)
  18. Words, Words, Words
  19. Re: Dos Boot control with pascal. (PC)
  20. Disinfectant 2.5, To be or not to be? (Mac)
  21. Re: Software pricing
  22. IBM Write-Protection (was: Can such a virus be written ... ) (PC)
  23. sideshow on doom2:reply (PC)
  24.  
  25. VIRUS-L is a moderated, digested mail forum for discussing computer
  26. virus issues; comp.virus is a non-digested Usenet counterpart.
  27. Discussions are not limited to any one hardware/software platform -
  28. diversity is welcomed.  Contributions should be relevant, concise,
  29. polite, etc.  Please sign submissions with your real name.  Send
  30. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  31. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  32. anti-virus, documentation, and back-issue archives is distributed
  33. periodically on the list.  Administrative mail (comments, suggestions,
  34. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  35.  
  36.    Ken van Wyk
  37.  
  38. ----------------------------------------------------------------------
  39.  
  40. Date:    Mon, 01 Jul 91 20:59:49 -0700
  41. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  42. Subject: General definition part 1 (general)
  43.  
  44. DEFGEN1.CVP   910701
  45.                 Towards a Definition of computer Viral Programs
  46.  
  47. The "man on the street" is now often aware of the term "computer
  48. virus" even if he (or she) does not use a computer.  However, it is
  49. often the case that those who are otherwise technically literate do
  50. not understand some of the implications of the phrase.  This is not
  51. surprising in that the term is slang, is often misused, and that
  52. "hard" information is difficult to come by.
  53.  
  54. It is important to know what a computer virus is if you are going to
  55. defend yourself against the many that are "out there."  It is also
  56. important to know what a computer virus is not.  There are other types
  57. of programs and situations which can do damage to your computer or
  58. data, and many of these will not be caught by the same methods which
  59. must trap viral programs.
  60.  
  61. A biological analogy, which we find in the dictionary, is helpful.
  62. The Oxford English Dictionary, which speaks of:
  63.     "... a moral or intelletual poison, or poisonous influence..."
  64. while satisfying to the wounded ego of those who have been hit is not
  65. terribly helpful in a technical sense.  Webster, however, steers us in
  66. a more helpful route in stating that a virus is:
  67.     "... dependent on the host's living cells for their growth and
  68. reproduction..."
  69.  
  70. By elimating the biological references, we can come to the definition
  71. that a virus is an entity which uses the resources of the host to
  72. spread and reproduce itself without informed operator action.  Let me
  73. stress here, the word "informed."  A virus cannot run completely on
  74. its own.  The computer user must always take some action, even if it
  75. is only to turn the computer on.  This is the major strength of a
  76. virus: it uses *normal* computer operations to do its dirty work, and
  77. therefore there is no single identifying code that can be used to find
  78. a viral program.
  79.  
  80. I must make mention, before I continue, of the work of Fred Cohen.
  81. Dr. Cohen is generally held to have coined the term "computer virus"
  82. in his thesis, published in 1984.  However, his definition covers only
  83. those sections of code which, when active, attach themselves to other
  84. programs.  This, however, neglects many of the programs which have
  85. been most successful "in the wild".  Many researchers still insist on
  86. this definition, and therefore use other terms such as "worm" and
  87. "bacterium" for those viri which do not attack programs.
  88.  
  89. copyright Robert M. Slade, 1991   DEFGEN1.CVP   910701
  90.  
  91. =============
  92. Vancouver          p1@arkham.wimsey.bc.ca   | "If you do buy a
  93. Institute for      Robert_Slade@mtsg.sfu.ca |  computer, don't
  94. Research into      (SUZY) INtegrity         |  turn it on."
  95. User               Canada V7K 2G6           | Richards' 2nd Law
  96. Security                                    | of Data Security
  97.  
  98. ------------------------------
  99.  
  100. Date:    Tue, 02 Jul 91 12:30:07
  101. From:    c-rossgr@microsoft.COM
  102. Subject: Requirements for Virus Checkers (PC)
  103.  
  104. >From:    Robert McClenon <76476.337@CompuServe.COM>
  105.  
  106. >     The second clause is true but sadly irrelevant.  I wish every
  107. >developer were as attentive as Ross is to complaints.  I wish every
  108. >vendor were as responsive as Ross and Microcom are.  For those reasons
  109. >the first clause is good advice in general but not worth fighting
  110. >over.
  111.  
  112. <Blush> and thanks, but I think we could do better, frankly.  All
  113. that, however, requires that users *actively* take part in the process
  114. of product development.  If you're using a company's product and
  115. there's stuff about it that you don't like, think is needed, want in
  116. the next version --- call them up and tell them.  Microcom actually
  117. pays people to listen to your suggestions (and the odd complaint, I
  118. guess) and writes them up.  When we start talking about what to
  119. include in the next version of the code, the end user (the people with
  120. the money to buy the product) dictate what we stick into that next
  121. release.  Be vocal!
  122.  
  123. This isn't just for anti-virus products, of course: I've been involved
  124. in the commercial programming end of a number of products.  We always
  125. work in an ideal world of what we think the world wants and
  126. neds...until them pesky end-users start telling us where we're
  127. wrong....
  128.  
  129. Heck, *I* was under the impression that everybody *loved* command line
  130. interfaces (maybe my UNIX background showing through?) --- but it
  131. seems people are in love with those hgorrid little drop and shadow
  132. boxes.
  133.  
  134. Guess what Version 2.0 has in it....
  135.  
  136. Ross
  137.  
  138. ------------------------------
  139.  
  140. Date:    Tue, 02 Jul 91 12:37:00
  141. From:    c-rossgr@microsoft.COM
  142. Subject: New Release of VIRx: Version 1.6 now available (PC)
  143.  
  144. There were some problems with Version 1.5.  Version 1.6 is now
  145. available on CIS, my BBS (212-889-6438) and, shortly, on SIMTEL-20.
  146.  
  147. Hightlights:
  148.                    What's New In VIRx Version 1.6
  149.                    ==============================
  150.  
  151. Date: 7/01/91
  152.  
  153.    1.   VIRx Version 1.6 now detects six newly discovered viruses,
  154.    bringing the total count to just over 500.
  155.  
  156.    2.   VIRx now indicates whether an infected compressed program
  157.    was infected before or after the compression (PKLITE and LZEXE).
  158.    This was trivial to implement, but a useful addition.
  159.  
  160.    3.   Another few cycles were shaved off our decompression routines:
  161.    experience pays.  For those wondering, all decompression routines
  162.    are completely internal and done in memory --- and always have been.
  163.  
  164.  
  165. Problems Corrected from v1.5:
  166.  
  167.    1.    False positives for the "Sathanyc/Goblin/Necrop" viruses.
  168.    VIRx Version 1.5 was incorrectly identifying "ICE'ed" programs
  169.    as infected.  An example of this was the well known TIMESET program:
  170.    our apologies and gratitude to Peter Petrakis for being a good sport
  171.    about our mistake.
  172.  
  173.    2.    Occasional false positives for "Scrnched" files: fixed.
  174.  
  175.    3.    The P1 Virus string was occasionally left in DOS buffers: another
  176.    scanner program which apparently used the same string would make
  177.    erroneous reports of an active P1 Virus in memory.  This has been fixed.
  178.  
  179.    4.     Due to similar templating of the V2P6 Virus, VIRx would find
  180.    a possible infection in the VDEFEND program.  This was rectified.
  181.  
  182. ------------------------------
  183.  
  184. Date:    Tue, 02 Jul 91 15:31:51 -0400
  185. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
  186. Subject: FROD/4096 (PC)
  187.  
  188. >From:    Aviel Roy-Shapira <AVIR@BGUVM.BITNET>
  189.  
  190. >Clean (V. 77) cleaned the disk alright, but the infection
  191. >keeps poping up.  It has become even wierder.  Both Clean, Virus Scan,
  192. >and F-Fchk (115) report that all the files on my hard disk are free
  193. >from the virus.  But, if I boot from the hard disk, and I run
  194. >F-SYSCHK, it says the virus is lurking in memory.  I don't get this
  195. >warning if I boot from a floppy.
  196.  
  197. This being the second time I have seen this type of posting with
  198. regard to Frodo/4096 & have two comments to make: the 4096 is a
  199. "stealth" virus & goes resident in memory. At least two of the scan
  200. programs mentioned will detect the 4096 in memory unless they are
  201. explicitly told not to (/nomem) in which case use will infect every
  202. file on the disk (yes I did, publicly, once, nevermore)
  203.  
  204. However, this is one of the viruses that can be detected very easily
  205. in memory using CHKDSK. Most clean 640k PCs will report "655360 bytes
  206. total memory".  If the 4096 is resident, this value will be somewhere
  207. below 652xxx bytes (CMA- do not have my notes here). If you have
  208. 655360 (everyone got it memorized now ?)  you do not have the 4096
  209. "classic" version.
  210.  
  211.                     Cooly (monsoon season has started),
  212.  
  213.                         Padgett
  214.  
  215. ------------------------------
  216.  
  217. Date:    Tue, 02 Jul 91 15:29:03 -0400
  218. From:    Ed Maioriello <EMAIORIE@uga.cc.uga.edu>
  219. Subject: Disinfectant 2.5 (Mac)
  220.  
  221. All,
  222.  
  223. I have seen many questions regarding the compatibility of Disinfectant
  224. 2.4 with Macintosh System 7 and the availability of Disinfectant 2.5.
  225.  
  226. I have experienced no problems using Disinfectant 2.4 with System 7,
  227. though I understand the Disinfectant init should be left in the System
  228. Folder proper - not placed in the Extensions folder.
  229.  
  230. The same is true of Disinfectant 2.5 and its init which is available
  231. off Sumex-aim.stanford.edu via anonymous ftp now.
  232.  
  233. Ed Maioriello                                Bitnet:    EMAIORIE @ UGA
  234. University Computing & Networking Servs.     Internet:  emaiorie@uga.cc.uga.edu
  235. University of Georgia
  236. Athens, Ga. 30602                            (404)-542-8780
  237.                     Where are the Snowdens of yesteryear?
  238.  
  239. ------------------------------
  240.  
  241. Date:    Tue, 02 Jul 91 19:12:28 -0500
  242. From:    Finnegan Southey <ACDFINN@vm.uoguelph.ca>
  243. Subject: re: Can such a virus be written... (PC) (Amiga)
  244.  
  245.      Fridrik Skulason writes:
  246. >However, the question was
  247. >whether a virus-infected diskette could infect the system, when the
  248. >user issued a 'DIR' command.
  249.  
  250. >The answer to that question is a definite NO - on a PC, that is - but
  251. >I am not sure if the same applies to the Amiga or the Mac - perhaps
  252. >omebody else can clarify that.
  253.  
  254.      This is definatly possible on Amiga's running Kickstart/Workbench
  255. 1.3 or lower.  All AmigaDos commands are executable files so a file
  256. infector could easily use the dir or list commands.  I've heard that
  257. Kickstart 2.0 has most AmigaDos commands in ROM (the ROMs are shipping
  258. now) but I'm not sure.  That would be great from the virus
  259. perspective...
  260.  
  261. - -----------------------------------------------------------------------------
  262.  Finnegan Southey - CCS HELP DESK, University of Guelph, Ontario, CANADA
  263.         BitNet: ACDFINN.VM.UOGUELPH.CA  CoSy: fsouthey@COSY.UOGUELPH.CA
  264.             You are in a maze of twisty little passages, all alike.
  265.  
  266. ------------------------------
  267.  
  268. Date:    02 Jul 91 23:20:29 -0400
  269. From:    Robert McClenon <76476.337@CompuServe.COM>
  270. Subject: Words, Words, Words
  271.  
  272.      >Date:    Mon, 01 Jul 91 20:39:06 -0700
  273. >From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  274. >Subject: re: Words
  275.  
  276. >vail@tegra.com (Johnathan Vail) writes:
  277. >> virus - a piece of code that is executed as part of another
  278. >>program
  279. >>     and can replicate itself in other programs.  The analogy to
  280. >>real
  281. >>     viruses is pertinent ("a core of nucleic acid, having the
  282. >>ability to
  283. >>     reproduce only inside a living cell").  Most viruses on PCs
  284. >>really are
  285. >>     viruses.
  286.  
  287. >> worm - a program that can replicate itself, usually over a
  288. >>network.  A
  289. >>     worm is a complete program by itself unlike a virus which is
  290. >>part of
  291. >>     another program.  Robert Morris's program, the Internet
  292. >>Worm, is an
  293. >>     example of a worm although it has been mistakenly identified
  294. >>in the
  295. >>     popular media as a virus.
  296. >
  297. >Question:
  298. >
  299. >Given that under these definitions boot sector infectors,
  300. > "spawning" viri and items such as Mac's WDEF are excluded from
  301. > "virus", does  that make them all "worms"?
  302. >
  303. >If so, you will have to define "most viruses on PCs", since many
  304. >of the more successful PC viri are BSI's.
  305.  
  306.      This is very much a terminological issue at two levels.  However,
  307. I would agree with Vail that the definitions are sound and do not
  308. require a modification of the statements that he made.  The real issue
  309. is: "What is a program?"  I submit that the Master Boot Record of a PC
  310. is a special-purpose program.  Therefore a Boot Sector Infector such
  311. as Stoned is a virus using Vail's definition.  Any code executed in
  312. the Desktop is a program, even if it is a Trojan horse program because
  313. it is taking advantage of a weakness in System less than 7.0.
  314. Therefore WDEF is a program infecting virus.  A program is any
  315. stand-alone sequence of executable instructions, not just those
  316. executed by a valid call to the operating system.  Slade has a good
  317. question.  He is basically demanding clarification of terminology.  We
  318. need that.  Stoned is a virus.  WDEF is a virus.  The Morris worm was
  319. not a virus.  It was a worm.
  320.  
  321.           Robert McClenon
  322.           Neither my employer nor anyone else paid me to say this.
  323.  
  324. ------------------------------
  325.  
  326. Date:    Wed, 03 Jul 91 05:30:58 +0000
  327. From:    dave@tygra.Michigan.COM (David Conrad)
  328. Subject: Re: Dos Boot control with pascal. (PC)
  329.  
  330. phys169@csc.canterbury.ac.nz writes:
  331. >SJS132@psuvm.psu.edu (Steve Shimatzki) writes:
  332. >> Does anyone know how I would make a program to boot off of floppy
  333. >> (fist, not boot, and then run...) or add it to the existing boot,
  334. >> so that I could have my program run first.
  335. >> 
  336. >> I got curious about the new portable computer security software, that
  337. >> makes sure that it is booted with a 'KEY' disk, and I wanted to do
  338. >> something like that, but as PD  (commercial is 99$!!!!)
  339. >> 
  340. >(1) you can encode the hard disk (scramble sectors) so you have to boot off
  341. >    a special floppy that replaces the BIOS to decode them correctly,
  342.  
  343. Please, I have enough nightmares after my hard disk made that funny
  344. sound last week, I don't need the disk to be in some weird,
  345. non-standard and insufficiently well-tested format, thank you.
  346.  
  347. >[Mark suggests that the BIOS could be replaced, and that the BIOS writers
  348. >need to help out the security/anti-viral effort.  Amen.]
  349. >
  350. >Mark Aitchison.
  351.  
  352. This has little to do with pascal, so I'm directing followups to
  353. comp.virus.
  354.  
  355. David R. Conrad
  356. dave@michigan.com
  357. - -- 
  358. =  CAT-TALK Conferencing Network, Computer Conferencing and File Archive  =
  359. - -  1-313-343-0800, 300/1200/2400/9600 baud, 8/N/1. New users use 'new'    - 
  360. =  as a login id.  AVAILABLE VIA PC-PURSUIT!!! (City code "MIDET")        =
  361.    E-MAIL Address: dave@Michigan.COM
  362.  
  363. ------------------------------
  364.  
  365. Date:    Wed, 03 Jul 91 09:20:00 -0400
  366. From:    "Mark Nutter, Apple Support" <MANUTTER@grove.iup.edu>
  367. Subject: Disinfectant 2.5, To be or not to be? (Mac)
  368.  
  369. p1@arkham.wimsey.bc.ca quotes from John Norstad:
  370.  
  371. >>There is no Disinfectant 2.5, and there won't be one! Disinfectant 2.4
  372. >>works fine with System 7, provided you leave the Disinfectant INIT in
  373.  
  374. He then quotes "John's friend Chris" as saying:
  375.  
  376. >>I already have 2.5, and it is already posted on DDCBBS, in case you do
  377. >>not believe that there is a version 2.5.  I would suggest looking into
  378.  
  379. He then asks:
  380.  
  381. >=========
  382. >
  383. >What gives?
  384. >
  385. >=========
  386.  
  387. I think the answer lies in the dates of the messages.  I downloaded
  388. Disinfectant 2.5 yesterday (July 2), and noted in the help file that
  389. John is working on a 3.0 version that will be a lot more at home in
  390. System 7.  Presumably, he was already working on this on 20 May 91,
  391. when his original message was posted, and was therefore expecting to
  392. go from 2.4 straight to 3.0.  The recent discovery of a new strain of
  393. the ZUC virus, however, prompted him to release an interim update to
  394. 2.5.
  395.  
  396. Unless someone has any proof to the contrary, I see no reason to
  397. suspect that 2.5 is not a bona fide release of Disinfectant.
  398.  
  399. - -----------------------------------------------------------------------------
  400. Mark Nutter                                                      MANUTTER@IUP
  401. Apple Support Manager
  402. Indiana University of Pennsylvania
  403. G-4 Stright Hall, IUP
  404. Indiana, PA 15705
  405. "You can lead a horse to water, but you can't look in his mouth." - Archie B.
  406. =============================================================================
  407.  
  408. ------------------------------
  409.  
  410. Date:    03 Jul 91 13:44:53 +0000
  411. From:    "Brian W. Gamble" <brian@swdev.waterloo.NCR.COM>
  412. Subject: Re: Software pricing
  413.  
  414. padgett%tccslr.dnet@mmc.com (A. Padgett Peterson) writes:
  415.  
  416. >I think I've missed something somewhere. $30/year for a single user
  417. >Hypercard stack of virus information (a very good one though I liked
  418. >it better as a flat ASCII file), $350/year for a soft cover anti-viral
  419. >magazine, and people are b*tch*ng about $1500/2 years with unlimited
  420. >updates to license software for 10 technicians to service (one would
  421. >expect) 10,000 PCs ? $0.15/pc ? They even give telephone support! The
  422. >answer is simple: if you don't like the price, buy something else (or
  423. >nothing), there are plenty of alternatives.
  424. >
  425. >Better yet, write your own software and support it yourself, that just
  426. >takes learning and effort.
  427. >
  428. >Problem is not many people today seem to have heard of John Galt or
  429. >TANSTAAFL.
  430.  
  431. Yes Padgett, life is strange
  432.  
  433. Your society and mine both seem to think that anything needed should
  434. be free for the asking. Any company who stands up and asks to be paid
  435. for their efforts is going to get lots of complaints.
  436.  
  437. Actually, your postings and those from Aryeh Goretsky are clear and
  438. useful reading. My thanks to both of you.
  439.  
  440. I would hardly call a license policy based on human nature a refusal
  441. to sell a product. Everything I read from the McAfee group about their
  442. license policies make a good deal of semse. They have a flexable
  443. policy that covers everybody from the single PC owner user, right up
  444. to a multinational company like the one I work for. You get what you 
  445. pay for people, and frankly, I think the product is worth the price.
  446.  
  447. Those who don't think the product is worth the price should quit
  448. wasting bandwith and buy something else. It is abundantly clear that
  449. McAfee has a product for sale, and very easy to find out what their
  450. sales policies are for any given situation.
  451.  
  452. The only free lunch comes from friends, and even then it often isn't.
  453.  
  454. The above line(s) are mine, but may be the result of too much exposure
  455. to a fictional character called L. Long.  TANSTAAFL makes sense to me!
  456.  
  457. - --
  458.  Brian W. Gamble,                               Brian.Gamble@Waterloo.NCR.COM
  459.  NCR Canada Ltd.
  460.  E&M Waterloo                    Charter Member -- The ShoeString Racing Team
  461.  
  462. ------------------------------
  463.  
  464. Date:    03 Jul 91 09:09:00 -0500
  465. From:    "William Walker C60223 x4570" <walker@aedc-vax.af.mil>
  466. Subject: IBM Write-Protection (was: Can such a virus be written ... ) (PC)
  467.  
  468. Here we go again ...
  469.  
  470. From:    mfr3@cunixb.cc.columbia.edu (Matthew F Ringel)
  471. > Is it possible for a virus to circumvent an IBM's
  472. > write-protection of a disk ...
  473.  
  474. NO!  If a diskette is write-protected (cover the notch, slide the
  475. slide, whatever), the IBM floppy controller will not allow any writes
  476. to that diskette.  Now, there have been weird failures of the write-
  477. protect mechanism which have allowed writes (light bouncing around
  478. because of a silver tab, light passing through a translucent disk
  479. cover, a short in the write-protect detector, etc.).  One which I've
  480. seen myself is an "electrical tape-like" write-protect tab which, when
  481. used in a drive with a mechanical detector (a switch), eventually got
  482. an indentation deep enough to let the switch engage, allowing writes
  483. to the diskette.  In all of these cases, HARDWARE was at fault.  With
  484. the present floppy controller system, software CANNOT bypass the
  485. write-protect mechanism
  486.  
  487.    "...and there's no doing anything about it!"
  488.                            -- The Rum Tum Tugger, "Cats"
  489.  
  490. Bill Walker ( WALKER@AEDC-VAX.AF.MIL ) |
  491. OAO Corporation                        |
  492. Arnold Engineering Development Center  | "I'd like to solve the puzzle, Pat"
  493. M.S. 120                               |
  494. Arnold Air Force Base, TN  37389-9998  |
  495.  
  496. ------------------------------
  497.  
  498. Date:    01 Jul 91 16:43:00 -0500
  499. From:    "zmudzinski, thomas" <zmudzinskit@imo-uvax5.dca.mil>
  500. Subject: sideshow on doom2:reply (PC)
  501.  
  502.     While I agree with Mr. Slade on the benefits of encrypting search
  503. strings to prevent false positives, his statement:
  504.  
  505. > As Ross [Greenburg] has pointed out, no matter how well strings are
  506. > encrypted, eventually someone will break the code, and then it is a
  507. > trivial matter to write a virus that circumvents that package.
  508.  
  509. should not go uncontested.  This paraphrase contains two (mathematical,
  510. not grammatical) infinitives, "no matter how well ... encrypted" and
  511. "eventually".  If I can play with one infinitive, let alone two, I can
  512. probably prove the world is flat (well, it _is_, locally) or some such.
  513. Actually, what Mr. Greenburg wrote was:
  514.  
  515. >>                                      The bad guys can certainly break
  516. >> whatever coding scheme I use, thereby using the string list just as if
  517. >> it were not encoded at all.
  518.  
  519.     Mr. Greenburg's statement describes his assessment of his
  520. abilities to develop/implement a cryptographic system.  If he says
  521. that he cannot do something he believes to be difficult, so be it --
  522. he knows where his strengths lie.
  523.  
  524.     On one hand, if all one is trying to do is prevent false positives
  525. from other scanners, trivial bit flipping when the program is loaded
  526. (to avoid "finding" their images on disk) and again at EOJ (to clean
  527. up memory) will do just fine.
  528.  
  529.     And on the other hand, does anyone _really_ believe that the "bad
  530. guys" _don't_ run the latest crop of anti-viral software to check that
  531. their "products" won't be caught immediately?
  532.  
  533. Tom Zmudzinski   *  *  *   ZmudzinskiT @ IMO-UVAX.DCA.MIL
  534.  
  535. #include <std/disclaimer.h> /* To keep the lawyers happy */
  536. #include <std/cute_quote.h> /* To keep the reader happy */
  537. #exclude <all/flames.h>     /* To keep ME happy */
  538.  
  539. ------------------------------
  540.  
  541. End of VIRUS-L Digest [Volume 4 Issue 116]
  542. ******************************************
  543.