home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_117.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  25.1 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #117
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Monday,  8 Jul 1991    Volume 4 : Issue 117
  9.  
  10. Today's Topics:
  11.  
  12. Recurring 4096 Infection (PC)
  13. VSHLD80B.ZIP - Resident virus infection prevention program (PC)
  14. VIRX16.ZIP - VIRX v1.6: Easy to use free virus checker (PC)
  15. VirusX (PC)
  16. Demo Disk from Mainstay (Mac)
  17. DOS 5.0 & FPROT116 (PC)
  18. Virus Scanner (PC)
  19. Re: McAfee on VSUM accuracy and Microcom (PC)
  20. sideshow on doom2:reply (PC)
  21. TNT AntiVirus from CARMEL / WARNING !!! (PC)
  22. Re: Recalciterant infection with Frodo 
  23. IBM Anti-Virus Product 2.1.2 (PC)
  24. Introduction to introductory columns (general)
  25.  
  26. VIRUS-L is a moderated, digested mail forum for discussing computer
  27. virus issues; comp.virus is a non-digested Usenet counterpart.
  28. Discussions are not limited to any one hardware/software platform -
  29. diversity is welcomed.  Contributions should be relevant, concise,
  30. polite, etc.  Please sign submissions with your real name.  Send
  31. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  32. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  33. anti-virus, documentation, and back-issue archives is distributed
  34. periodically on the list.  Administrative mail (comments, suggestions,
  35. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  36.  
  37.    Ken van Wyk
  38.  
  39. ----------------------------------------------------------------------
  40.  
  41. Date:    03 Jul 91 09:14:00 -0500
  42. From:    "William Walker C60223 x4570" <walker@aedc-vax.af.mil>
  43. Subject: Recurring 4096 Infection (PC)
  44.  
  45. From:    Aviel Roy-Shapira <AVIR@BGUVM.BITNET>
  46. > Help please!  I have a recalciterant infection by Frodo or 4096.  I am
  47. > not sure about the source of the infection, but somehow it got into my
  48. > system.  Clean (V. 77) cleaned the disk alright, but the infection
  49. > keeps poping up.  It has become even wierder.  Both Clean, Virus Scan,
  50. > and F-Fchk (115) report that all the files on my hard disk are free
  51. > from the virus.  But, if I boot from the hard disk, and I run
  52. > F-SYSCHK, it says the virus is lurking in memory.  I don't get this
  53. > warning if I boot from a floppy.
  54.  
  55. > My config.sys file contains Device=DMDrvr.bin, Device=f-driver.sys,
  56. > files=40 and buffers=20.  I don't run any programs or TSR from my
  57. > autoexec, which simply states the path and sets a couple of
  58. > environment variable.  DMDrvr.bin appears to be clean, as its length
  59. > is 8000 bytes or so and it didnot change.
  60.  
  61. > I thought that Frodo was only a COM and EXE file infector, yet it
  62. > somehow entered my system and refuses to leave. Any ideas?
  63.  
  64. 4096 also infects COMMAND.COM and (I think) .SYS and .BIN files, but
  65. SCAN should still find it there.  I have a few ideas to try.  Since I
  66. don't know your level of expertise, forgive me if I say something you
  67. already know or have already tried.
  68.  
  69. 4096 is a "stealth" virus because it covers its tracks if it is active
  70. in memory.  For this reason, you must first boot from a known clean
  71. floppy (usually your original DOS diskette) before running SCAN or
  72. whatever.  A potential problem that I see in your case is DMDRVR.BIN,
  73. which (if I'm not mistaken) is Disk Manager, implying that you have a
  74. large hard disk partitioned into several logical drives.  Booting from
  75. a pure DOS floppy will not allow access to partitions other than C:.
  76. One thing you can do is create a bootable floppy (after booting from a
  77. known clean floppy, of course), copy DMDRVR.BIN from your original
  78. Disk Manager diskette (SCAN it first), make a CONFIG.SYS file on the
  79. floppy which contains only DEVICE=DMDRVR.BIN, and add a write-protect
  80. tab.  Booting from this diskette should give you access to all
  81. partitions on your hard disk as well as provide a clean environment in
  82. which to run SCAN.
  83.  
  84. Since you apparently do not know what is still infected, try the
  85. following.  After booting from a known clean floppy, do
  86.      SYS C:
  87.      COPY COMMAND.COM C:
  88. to put a clean system back on your hard disk.  Before rebooting,
  89. rename CONFIG.SYS and AUTOEXEC.BAT to something else (I know you said
  90. that you have no programs in AUTOEXEC, but I'm making this more
  91. generic).  Reboot, then SCAN the system.  If the virus is NOT in
  92. memory, restore CONFIG.SYS, but take out the DEVICE=F-DRIVER.SYS line.
  93. Copy the DMDRVR.BIN file from your original Disk Manager diskette to
  94. drive C:.  Reboot and SCAN.  If the virus is still NOT in memory,
  95. restore the line DEVICE=F-DRIVER.SYS, and copy F-DRIVER.SYS from a
  96. known clean source if you have one.  Reboot and SCAN.  Restore
  97. AUTOEXEC.BAT.  Reboot and SCAN.  Now start running programs and SCAN
  98. after each program.  I know this seems like a pain-in-the-butt, time-
  99. consuming procedure, but if the anti-virus programs aren't finding the
  100. remaining infected files, it's about the only way.
  101.  
  102. I hope this helps in some way and hasn't duplicated your efforts.
  103.  
  104. Bill Walker ( WALKER@AEDC-VAX.AF.MIL ) |
  105. OAO Corporation                        |  "I think, therefore I am.
  106. Arnold Engineering Development Center  |      Nah, I think not."
  107. M.S. 120                               |           *POOF*
  108. Arnold Air Force Base, TN  37389-9998  |
  109.  
  110. ------------------------------
  111.  
  112. Date:    Wed, 03 Jul 91 13:13:00 -0600
  113. From:    mcafee@netcom.COM (McAfee Associates)
  114. Subject: VSHLD80B.ZIP - Resident virus infection prevention program (PC)
  115.  
  116. I have uploaded to SIMTEL20:
  117.  
  118. pd1:<msdos.trojan-pro>
  119. VSHLD80B.ZIP    Resident virus infection prevention program
  120.  
  121.      Version 80-B of VSHIELD has been released.  This version
  122. replaces Version 80, which mis-identified some files encrypted
  123. with ICE as being infected with the Crypt-1 virus.
  124.      The validation results for VSHIELD Version 80-B should be:
  125.  
  126.               FILE NAME:     VSHIELD.EXE          VSHIELD1.EXE
  127.                    SIZE:     33,723               11,281
  128.                    DATE:     07-01-1991           02-14-1991
  129.     FILE AUTHENTICATION
  130.          Check Method 1:     9B2B                 6B40
  131.          Check Method 2:     097C                 103E
  132.  
  133. Regards
  134.  
  135. Aryeh Goretsky
  136. McAfee Associates Technical Support
  137. - - -
  138. McAfee Associates     | Voice (408) 988-3832    | mcafee@netcom.com
  139. 4423 Cheeney Street     | FAX   (408) 970-9727    | (Aryeh Goretsky)
  140. Santa Clara, California     | BBS   (408) 988-4004    |
  141. 95054-0253  USA         | v.32  (408) 988-5190    | mrs@netcom.com
  142. ViruScan/CleanUp/VShield | HST   (408) 988-5138 | (Morgan Schweers)
  143.  
  144. ------------------------------
  145.  
  146. Date:    Wed, 03 Jul 91 13:25:00 -0600
  147. From:    c-rossgr@MICROSOFT.COM (Ross Greenberg)
  148. Subject: VIRX16.ZIP - VIRX v1.6: Easy to use free virus checker (PC)
  149.  
  150. I have uploaded to SIMTEL20:
  151.  
  152. pd1:<msdos.trojan-pro>
  153. VIRX16.ZIP      VIRX v1.6: Easy to use free virus checker
  154.  
  155. VIRx is a freely distributable scanning program -- there is *no*
  156. charge associated with it, although copyrights *are* maintained by
  157. both Microcom and me.
  158.  
  159. In addition to SIMTEL20, it is available on CIS and on my BBS at
  160. 212-889-6438.
  161.  
  162. ===
  163.                 What's New In VIRx Version 1.6
  164.  
  165. 1.   VIRx Version 1.6 now detects six newly discovered viruses,
  166. bringing the total count to just over 500.
  167.  
  168. 2.   VIRx now indicates whether an infected compressed program
  169. was infected before or after the compression (PKLITE and LZEXE).
  170. This was trivial to implement, but a useful addition.
  171.  
  172. 3.   Another few cycles were shaved off our decompression routines:
  173. experience pays.  For those wondering, all decompression routines
  174. are completely internal and done in memory --- and always have been.
  175.  
  176. Ross
  177. - - -
  178. Ross M. Greenberg <c-rossgr@microsoft.com>
  179. Author, Virex-PC, VIRx and FLU_SHOT+
  180.  
  181. ------------------------------
  182.  
  183. Date:    03 Jul 91 17:03:58 +0000
  184. From:    Tom Carter <tcarter@53iss4.waterloo.NCR.COM>
  185. Subject: VirusX (PC)
  186.  
  187. I have asked this question before but have received nil replies.
  188. PLEASE, can someone out there tell me what the latest version of
  189. VirusX really is??
  190. Thanx.....
  191.  
  192. ------------------------------
  193.  
  194. Date:    Wed, 03 Jul 91 20:58:05 +0000
  195. From:    robs@ux1.cso.uiuc.edu (Rob Schaeffer)
  196. Subject: Demo Disk from Mainstay (Mac)
  197.  
  198. The demo disk from Mainstay has nVIR attached to the archive.  It
  199. seems to not be able to spread, but it is there.
  200.  
  201. Disinfectant nicely removes the virus.
  202.  
  203. I would be curious to know why the virus doesn't spread.
  204.  
  205. Rob
  206.  
  207. - -- 
  208. robs@ux1.cso.uiuc.edu
  209.  
  210. "Putting magnets on the T.V. distorts the picture and 
  211.    makes it more real."
  212.  
  213. ------------------------------
  214.  
  215. Date:    Wed, 03 Jul 91 16:44:46 -0700
  216. From:    Steve Clancy <SLCLANCY@UCI.BITNET>
  217. Subject: DOS 5.0 & FPROT116 (PC)
  218.  
  219. A user recently posted this on our BBS.  Has anyone else experienced this?
  220.  
  221. "I was wondering if any one has experienced a problem with FPROT116.
  222. Since I installed it with msdos ver 5.00 it hangs my system with the
  223. message Virus Alert!! Int 13 has been changed. I have tested and no
  224. virus is found. If I disable f-driver in my config.sys file everything
  225. is ok. All other programs associated with this program works fine. Any
  226. thoughts or suggestions?"
  227.  
  228. I am not familiar enough with FPROT116 or DOS 5.0 to make an
  229. intelligent comment.  Any help will be appreciated.
  230.  
  231. - -- Steve Clancy
  232.  
  233. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  234. %   Steve Clancy, Biomedical Library  %  WELLSPRING RBBS              %
  235. %   University of California, Irvine  %  714-856-7996 300-2400 24hrs  %
  236. %   P.O. Box 19556                    %  714-856-5087 300-9600 24hrs  %
  237. %   Irvine, CA  92713   U.S.A.        %  SLCLANCY@UCI.BITNET          %
  238. %                                     %  SLCLANCY@UCI.EDU             %
  239. %.....................................................................%
  240. %       "As long as I'm alive, I figure I'm making a profit."         %
  241. %                                           -- John Leas, 1973        %
  242. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  243.  
  244. ------------------------------
  245.  
  246. Date:    Thu, 04 Jul 91 09:23:14 +0700
  247. From:    Vincent Chan <ENGP1042@NUSVM.BITNET>
  248. Subject: Virus Scanner (PC)
  249.  
  250. Hi,
  251.    I have read with interest some of the reviews and entries here in
  252. this Virus List and I must say that this is by far the most
  253. informative and well discussed topic on computer virus. I have also
  254. followed some of the discussions on various virus scanner on the
  255. market today, be it commercially available or shareware, these
  256. discussions have helped me to choose the right product that will cater
  257. to my need.
  258.    Two of the virus scanners that I found most helpful for the
  259. detection and removal of virus are Fprot from frisk and McAfee Scan.
  260. Both of these product have helped me to detect and remove some of the
  261. prevalent virus over here.  The most common virus is Joshi virus, that
  262. has caused me much headache and heartache at times. Both of these
  263. product have managed to detect and remove the virus.
  264.     Recently I was introduced to Ross Greenberg VIRX. This program
  265. looks interesting and it is able to scan the harddisk for virus at
  266. considerable speed. But I have not really explored the potential of
  267. this program. But recently I tried to scan a diskette which has been
  268. infected with Joshi virus and it couldnt detect it! Fprot and McAfee
  269. Scan have no problem with it.  The VIRX version is 1.5. I dunno
  270. whether the author realised this or not.  Anyway I read from the
  271. latest issue of Virus-l that Ross has come out with the latest version
  272. of VIRX 1.6 and hopefully will be able to fix the problem that I
  273. mentioned above, if not in this version then future version of Virx.
  274.  
  275. ------------------------------
  276.  
  277. Date:    Sat, 29 Jun 91 00:43:49 +0000
  278. From:    mcafee@netcom.com (McAfee Associates)
  279. Subject: Re: McAfee on VSUM accuracy and Microcom (PC)
  280.  
  281. c-rossgr@microsoft.COM writes:
  282. [stuff deleted]
  283. >
  284. >This is good news.  I was under the impression that Microcom attempted
  285. >to license a copy from you and was told that they may not use it
  286. >without a license and that a license would not be issued to Microcom
  287. >under any circumstances.
  288. >
  289. >I am glad that the information given to me is false and that Microcom
  290. >is expressly being given permission to utilize this product from the
  291. >vendor.  I would presume there is a charge for such usage: what would
  292. >that charge be for *only* one computer to use your product? I'll be
  293. >sure to report that amount to the Microcom people I deal with.
  294. >
  295. >Ross
  296.  
  297. Hello Ross,
  298.  
  299. I've given Mr. McAfee a copy of your message, but he hasn't typed up a
  300. reply yet.  In the meantime, perhaps you could leave me your mailing
  301. address and/or fax number so that I could give that to John for a
  302. (faster) reply.
  303.  
  304. Thanks,
  305.  
  306. Aryeh Goretsky
  307. McAfee Associates Technical Support
  308. - - -- 
  309. McAfee Associates     | Voice (408) 988-3832    | mcafee@netcom.com
  310. 4423 Cheeney Street     | FAX   (408) 970-9727    | (Aryeh Goretsky)    
  311. Santa Clara, California     | BBS   (408) 988-4004    | 
  312. 95054-0253  USA         | v.32  (408) 988-5190    | mrs@netcom.com
  313. ViruScan/CleanUp/VShield | HST   (408) 988-5138 | (Morgan Schweers)
  314.  
  315. ------------------------------
  316.  
  317. Date:    Thu, 04 Jul 91 02:27:30
  318. From:    c-rossgr@microsoft.COM
  319. Subject: sideshow on doom2:reply (PC)
  320.  
  321. >From:    "zmudzinski, thomas" <zmudzinskit@imo-uvax5.dca.mil>
  322. >
  323. >Actually, what Mr. Greenburg wrote was:
  324.                           ^
  325. Actually, what Mr. Greenberg wrote was:
  326.                          ^
  327.                      minor nit... :-)
  328.  
  329. >> The bad guys can certainly break
  330. >> whatever coding scheme I use, thereby using the string list just as if
  331. >> it were not encoded at all.
  332.  
  333. >    Mr. Greenburg's statement describes his assessment of his
  334. >abilities to develop/implement a cryptographic system.  If he says
  335. >that he cannot do something he believes to be difficult, so be it --
  336. >he knows where his strengths lie.
  337.  
  338. Whoa!  I'm sure that simply sticking in DES encryption is probably
  339. within even my meager abilities -- provided that the instruction
  340. manual doesn't use words that are too big...  But does even using DES
  341. (provided I can find the on/off switch on my computer by myself)
  342. really buy us anything?
  343.  
  344. It's just the idea that it's not that tough to break such a scheme:
  345. recall that I spend a good deal of my life actively disasming
  346. encrypted viruses.  Anything that is gonna be disasmed at run time is
  347. trivial to disasm by anyone with their mind set on it.  Remember that,
  348. regardless of the scheme used to make such a marvelous cryptographic
  349. system, the key *must* be included in the body of the program in order
  350. for it to work convieniently.
  351.  
  352. To have different keys that are external to a program that are
  353. different from machine to machine would be a tech support nightmare.
  354. Have you ever tried to figure out what shipping >50K copies of code
  355. *really* means? I merely have to code this stuff: Microcom has to do
  356. tech support.  I have the easy part of the job: disasming new viruses
  357. and creating fast search algorithms is nothing compared to dealing
  358. with Martha from BrokenHipBone, Arkansas who wants to know why she has
  359. to stick the ignition keys to her tractor into the floppy drive door
  360. when the machine asks her to "insert her key, then press any key."
  361.  
  362. She will, of course, end up asking wherere the "any" key is.
  363.  
  364. >    And on the other hand, does anyone _really_ believe that the "bad
  365. >guys" _don't_ run the latest crop of anti-viral software to check that
  366. >their "products" won't be caught immediately?
  367.  
  368. Hey, I'm sure that most of the anti-virus people probably have bad
  369. guys as beta testers without even knowing it!
  370.  
  371. Ross
  372.  
  373. ------------------------------
  374.  
  375. Date:    04 Jul 91 09:02:14 +0700
  376. From:    infocenter@urz.unibas.ch
  377. Subject: TNT AntiVirus from CARMEL / WARNING !!! (PC)
  378.  
  379. This is a warning to everybody, who intends buying 
  380.  
  381.     the product            Turbo Anti-Virus
  382.     from                   CARMEL
  383.     distributed by         EPG Softwareservice, Germany
  384.  
  385. In January 91 I bought this product (Version 7.02).  The program
  386. itself has a nice user-interface and was at the time I bought it quite
  387. up-to-date.  By buying the product they promise you a quarterly
  388. update.
  389.  
  390. HAAAAAAAAAAAAAAAAAAAAAAAAAA ... well, they promise ?!?!?
  391.  
  392. I got version 7.02. It's now half a year later and I've never seen an
  393. update.  I know from other people who bought the stuff later, that
  394. they got meanwhile up to 7.06. During a phone call with EPG they told
  395. me about V7.1.
  396.  
  397. Totally I sent them a FAX for customer support (something they also
  398. promised); you expect right ... I never got an answer ...  and I
  399. called them up three times.
  400.  
  401. I think you will agree with me that nothing needs to be more
  402. up-to-date than Virus-protection packages.
  403.  
  404. So with my experiences I can only recommend:
  405.  
  406.                    DO NOT BUY  TNT ANTI-VIRUS
  407.                            
  408. at least not from EPG Softwareservice, Germany.
  409.  
  410. You can find enough other good software, where you get updates so you
  411. can catch up with the virus-spreaders.
  412.  
  413. bye .............................................................  Didi
  414.  
  415. ------------------------------
  416.  
  417. Date:    Thu, 04 Jul 91 08:10:46 +0000
  418. From:    mcafee@netcom.com (McAfee Associates)
  419. Subject: Re: Recalciterant infection with Frodo <4096> (PC) 
  420.  
  421. AVIR@BGUVM.BITNET (Aviel Roy-Shapira) writes:
  422. >Help please!  I have a recalciterant infection by Frodo or 4096.  I am
  423. >not sure about the source of the infection, but somehow it got into my
  424. >system.  Clean (V. 77) cleaned the disk alright, but the infection
  425. >keeps poping up.  It has become even wierder.  Both Clean, Virus Scan,
  426. >and F-Fchk (115) report that all the files on my hard disk are free
  427. >from the virus.  But, if I boot from the hard disk, and I run
  428. >F-SYSCHK, it says the virus is lurking in memory.  I don't get this
  429. >warning if I boot from a floppy.
  430. [rest of message deleted...]
  431.  
  432. Hello Mr. Roy-Shapira,
  433.  
  434. One POSSIBLE reason the virus might be occuring is because there is a
  435. segment of viral code stuck at the end of one of the files loaded when
  436. your hard disk boots.  When a file is saved on disk, space is
  437. allocated for it in clusters.  If a file does not fill up the last
  438. cluster allocated for it, DOS will fill the left-over space with
  439. garbage from memory to pad out the file so it fills up the cluster to
  440. the end.  If the virus were in memory it could have been written into
  441. the "empty" space at the end of a cluster to pad the remaining space
  442. in the cluster.  If this occurred, whenever the file was loaded into
  443. memory, the virus signature would appear because it was read in as
  444. well.
  445.  
  446. The virus itself would not be infectious.  First off, it's most likely
  447. that only a relatively small segment of code was stored at the end of
  448. the cluster, and secondly, such viral code exists beyond the End Of
  449. File marker; it's not recognized as being part of the program and will
  450. not be executed.  So what you're left with is an annoying false alarm.
  451.  
  452. The best way to deal with this is to overwrite the space at the end of
  453. cluster chains on the disk.  A practical way to do this is to
  454. defragment the fixed disk with a disk optimizing program.  This will
  455. usually overwrite any possible "virus garbage."
  456.  
  457. Another solution may be a program called COVERUP1.ZIP in the SIMTEL20
  458. archives.  It says that it erases the "tails" of clusters, and
  459. overwrite the offending section of viral code.  I have not had a
  460. chance to try this myself, so use at your own risk.
  461.  
  462. Regards,
  463.  
  464. Aryeh Goretsky
  465. McAfee Associates Technical Support
  466.  
  467. - -- 
  468. McAfee Associates     | Voice (408) 988-3832    | mcafee@netcom.com
  469. 4423 Cheeney Street     | FAX   (408) 970-9727    | (Aryeh Goretsky)    
  470. Santa Clara, California     | BBS   (408) 988-4004    | 
  471. 95054-0253  USA         | v.32  (408) 988-5190    | mrs@netcom.com
  472. ViruScan/CleanUp/VShield | HST   (408) 988-5138 | (Morgan Schweers)
  473.  
  474. ------------------------------
  475.  
  476. Date:    03 Jul 91 15:22:19 -0400
  477. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  478. Subject: IBM Anti-Virus Product 2.1.2 (PC)
  479.  
  480. A new level of the IBM Anti-Virus Product now exists.  It should be
  481. available now or shortly from IBM Marketing Reps, Branch Offices, the
  482. Electronic Software Delivery section of IBMLINK, and on Promenade (the
  483. PS/1 support BBSy-thing).  I'll attach the contents of the WHATIS.NEW
  484. file.  As I said a bit ago, I'm not an Official Anything, so don't
  485. send me your money!  *8) As before, the U.S. terms are $35 for an
  486. original license, $10 for an upgrade (for terms outside the U.S.,
  487. contact your country IBM).
  488.  
  489. DC
  490.  
  491.                The IBM Anti-Virus Product, Version 2.1.2
  492.              Copyright (C) IBM Corporation 1989, 1990, 1991
  493.  
  494. The following are the highlights of the changes and enhancements made
  495. to The IBM Anti-Virus Product since the release of Version 2.00.01:
  496.  
  497.    - Added signatures for approximately 42 viruses (refer to VIRSCAN.DOC,
  498.      section 5.1, for more details)
  499.  
  500.    - VIRSCAN now looks for the local message file "local.msg", in the same
  501.      directory as "virscan.exe", and if it is found, virscan displays it
  502.      upon exit (in addition to the standard messages) when one or more
  503.      virus signatures are found. A maximum of 10 message lines are displayed.
  504.      This facility allows sites to tell users about local procedures that
  505.      should be followed when viruses are encountered.
  506.  
  507.    - Added support for arbitrary-length "don't-cares".  "%N" sequences (in
  508.      place of a pair of bytes in a signature) mean that 0 to N arbitrary
  509.      bytes can be in the corresponding position.  'N' is a single hex digit
  510.      from '0' to 'F'.
  511.  
  512.    - Spaces are now allowed between pairs of hex digits in VIRSCAN signatures.
  513.      This can simplify the use of signatures from other sources.
  514.  
  515.    - VIRSCAN now respects the "boot" keyword that can be used in the third
  516.      line of virscan signatures.  If a "boot" virus is found in a file, the
  517.      user won't by default be warned unless the third signature line also
  518.      contains the strings "EXE" or "COM" (or both). If the -G command line
  519.      option is specified, then the user will be warned of boot virus
  520.      signatures wherever they are found.
  521.  
  522.    - VIRSCAN now won't complain if it can't read the boot sector of a network
  523.      drive, unless the '-v' option is used or the boot sector scan was
  524.      explicitly specified with the '-b' option.
  525.  
  526.    - Added the "*" option:
  527.      "*"    scans all local fixed drives.
  528.      "*n"   scans all network drives.
  529.      "*f"   scans all local fixed drives.
  530.      "*fn"  scans all local and network drives.
  531.      For instance, try
  532.         virscan *
  533.      to scan all local fixed disks.
  534.  
  535.    - Improved the speed of the memory scan.
  536.  
  537.    - Documented the -NB option.
  538.  
  539. ------------------------------
  540.  
  541. Date:    Mon, 01 Jul 91 20:58:28 -0700
  542. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  543. Subject: Introduction to introductory columns (general)
  544.  
  545. INTRO1.CVP   910701
  546.         Introduction to Computer Viral Programs Column
  547.  
  548. This file/posting/column, and the ones which will follow, are a weekly
  549. column devoted to explaining computer viral type programs.  The
  550. material can be roughly divided into the following topic areas:
  551. Introduction (this file), History, Functions, Protection and
  552. Implications.  The file names will reflect this division, beginning
  553. with DEF, HIS, FUN, PRT or IMP, continuing with a further three letter
  554. subcategory, as appropriate, a sequence number, and all ending with
  555. CVP.
  556.  
  557. The format is intended to be as easy as possible for all mail systems
  558. and terminals to handle.  Each "column" will be approximately one
  559. typewritten page in length.
  560.  
  561. The material is intended to be "non system specific", and to be
  562. applicable to all type of computer and operating systems.  Examples
  563. will be given from many different computers and operating systems at
  564. different times.  Readers will note, however, that much of the
  565. material relates to the MS-DOS "world": IBM compatible microcomputers.
  566. This is deliberately chosen.  The "PC" platform demonstrates the
  567. concepts that are common to all computer systems in the clearest
  568. manner.
  569.  
  570. I retain copyright of this material.  Anyone is free to post any of
  571. this material on any publicly accessible electronic bulletin board or
  572. electronic mail system which does not charge for connect time or data
  573. transfer, provided that the files/postings are posted intact,
  574. including my copyright notice, the filename and date at the beginning
  575. and end and my contact addresses.  Anyone wishing to post this
  576. material on a commercial system, or to print it in a book or
  577. periodical, please contact me, and I'm sure we can work something out.
  578.  
  579. I am sure that the material will be archived at various servers, but
  580. the one place that I can garantee the complete set will be available
  581. is on the SUZY information system.  This is a commercial system, but
  582. is accessible through a local call to a Datapac or Tymnet node for
  583. most people in Canada and the United States.  If your local computer
  584. store does not carry the access kit for SUZY, contact Stratford
  585. Software at (604) 439-1311.
  586.  
  587. Vancouver          Usenet:    p1@arkham.wimsey.bc.ca
  588. Institute for      Internet:  Robert_Slade@mtsg.sfu.ca
  589. Research into      SUZY:      INtegrity or 1123
  590. User               Snailnet:  Canada V7K 2G6
  591. Security           Fidonet:   1:153/915
  592.  
  593. copyright Robert M. Slade, 1991   INTRO1.CVP   910701
  594.  
  595. ------------------------------
  596.  
  597. End of VIRUS-L Digest [Volume 4 Issue 117]
  598. ******************************************
  599.