home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.198 < prev    next >
Text File  |  1995-01-03  |  10KB  |  234 lines
  1. VIRUS-L Digest   Wednesday, 20 Sep 1989    Volume 2 : Issue 198
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Re: Macintosh Virus
  17. datacrime question (PC)
  18. Possible virus? (VAX/VMS)
  19. RE: VirusDetective questions (Mac)
  20. RE: Centel Corp. and ViruScan
  21. Re: VirusDetective questions (Mac)
  22. DataCrime antidote: NOCRM11.ARC availability (PC)
  23.  
  24. ---------------------------------------------------------------------------
  25.  
  26. Date:    20 Sep 89 11:56:23 +0000
  27. From:    shull@scrolls.wharton.upenn.edu (Christopher E. Shull)
  28. Subject: Re: Macintosh Virus
  29.  
  30. In article <0001.8909191859.AA09184@ge.sei.cmu.edu> JOHN P. BRADLEY writes
  31. that he has found the Macintosh Scores virus, and asks about how to proceed
  32. with eradication and user education.
  33.  
  34. Since the Decision Sciences Department teaches the largest Mac-based
  35. course at the University of Pennsylvania, we have taken the lead in
  36. user education.  Who else on campus has a captive audience of >600
  37. students each year?  :-) Our instructors encourage students to drop
  38. Vaccine 1.1.1 into their system folders (explaining that it was like
  39. practicing safe sex, but less intrusive).  We also taught them how to
  40. use Disinfectant 1.2.  Although we resent having to take time from
  41. teaching to cover this, the peace of mind of the students is well
  42. worth the effort.  Furthermore, the hot-line and walk-in consulting
  43. staff have many fewer problems since students are encouraged to pass
  44. along the programs and the minimal knowledge required to use them.
  45.  
  46. If we didn't have a captive "seed" group, I would probably try to run
  47. some special noon-time seminars on Mac virus detection, removal, and
  48. prevention.
  49.  
  50. We are just now trying to get offices which have frequent contact with
  51. student diskettes to go further than just protecting themselves, and
  52. perform first tier advice to their "clients".  (In some cases, we are
  53. still trying to get them to protect themselves -- one Mac II user I
  54. worked with yesterday had 44 nVIR A and B infections on his hard disk,
  55. and didn't have the foggiest idea!)
  56.  
  57. At the very least, the latest versions of the tools mentioned above,
  58. plus GateKeeper (for sophisticated users) should be readily available
  59. in a well publicized location.  (My teaching lab remains the only one
  60. on campus. :-( )
  61.  
  62. Good luck,
  63. - -Chris
  64.  
  65. Christopher E. Shull                    shull@scrolls.wharton.upenn.edu
  66. Decision Sciences Department            shull@wharton.upenn.edu
  67. The Wharton School                      University of Pennsylvania
  68. Philadelphia, PA  19104-6366            215/898-5930
  69. - ---------------------------------------------------------------------------
  70. "Damn the torpedoes!  Full speed ahead!"  Admiral Farragut, USN, 1801-1870
  71. - ---------------------------------------------------------------------------
  72.  
  73. ------------------------------
  74.  
  75. Date:    Tue, 19 Sep 89 19:13:00 -0400
  76. From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
  77. Subject: datacrime question (PC)
  78.  
  79. if you use fdisk to create a dummy partition of lets says 2
  80. cylinders and then create a second normal active dos partition
  81. will this prevent the virus from destroying track zero?
  82.  
  83. seems like it might to me...how about some comments!
  84.  
  85. ------------------------------
  86.  
  87. Date:    Wed, 20 Sep 89 08:59:00 -0400
  88. From:    System Manager <MANAGER@JHUIGF.BITNET>
  89. Subject: Possible virus? (VAX/VMS)
  90.  
  91. I recieved this from Info-VAX today. I think it may be of interest.
  92.  
  93. Damian Hammontree
  94. System Programmer, Johns Hopkins School of Medicine
  95. MANAGER@JHUIGF.BITNET
  96.  
  97. Message follows:
  98.  
  99. Comments:     From IVERS@CMR.MFENET on 19-SEP-1989 23:36:02.73 EDT
  100. Comments: To: info-vax@kl.sri.com
  101.  
  102. On Monday morning, our users (including the system manager) were
  103. surprised to find that they could no longer log in to our VAX 11/750
  104. (VMS V4.5).  Coincidentally, one user reported the appearance of
  105. several files in his directory with names like WARNING., VIRUS., and
  106. ATTACK..  He thought it was a joke and said nothing at the time the
  107. files appeared.
  108.  
  109. The system was booted with UAFALTERNATE =1.  It appeared that
  110. SYSUAF.DAT was intact, but the passwords were no longer valid.  A
  111. SYSUAF.DAT file was restored from a backup set and new passwords were
  112. issued.  The problem is that now when more than 2 users attempt to use
  113. the system, a message of the type LICENSED NUMBER OF SYSTEM USERS
  114. EXCEEDED appears.
  115.  
  116. As for the "virus" files - all that remains are subdirectories of
  117. names similar to the files reportedly seen by the user (one of them is
  118. called [.DEADLY-VIRUS]).
  119.  
  120. Any ideas as to the cause or cure of the LICENCED NUMBER OF...
  121. problem, or insight into the nature of the "virus" would be
  122. appreciated.
  123.  
  124.                                         Thanks in advance,
  125.                                         Tom Ivers (system manager)
  126.                                         Columbia U. Plasma Physics Lab
  127.                            Internet:    IVERS@CUPLVX.APNE.COLUMBIA.EDU
  128.                            MFEnet:      IVERS@CMR
  129.  
  130. ------------------------------
  131.  
  132. Date:    Wed, 20 Sep 89 09:22:55 -0400
  133. From:    dmg@lid.mitre.org (David Gursky)
  134. Subject: RE: VirusDetective questions (Mac)
  135.  
  136. What version are you using?  The latest and greatest is 3.0.1.  I've
  137. been using it with no problems.  [On the other hand, the systems I am
  138. using it on are clean according to it and Disinfectant 1.2...]
  139.  
  140. ------------------------------
  141.  
  142. Date:    Wed, 20 Sep 89 09:36:26 -0400
  143. From:    dmg@lid.mitre.org (David Gursky)
  144. Subject: RE: Centel Corp. and ViruScan
  145.  
  146. Why does McAfee's note about Centel and Viruscan bug me?  Correct me
  147. if I'm wrong, but is not Viruscan shareware?  I certainly understand
  148. John's concern about the possible loss of revenue because people
  149. mistakenly believe they have "purchased" Viruscan, rather than paid
  150. Centel for the distribution cost (as an aside, I somehow find $25 to
  151. be awfully high for what Centel is purporting to be doing).  In any
  152. event, it strikes me that the tone of John's message is to the effect
  153. of "I want you to get your information from me and no one else".  If
  154. my interpretation is indeed correct (and I apologize in advance if it
  155. is not), is this the type of attitude VIRUS-L wishes to promote?  It
  156. is not in anyone's interest to restrict the flow of information on
  157. countering viruses.
  158.  
  159. [Ed. VIRUS-L wishes to _facilitate_ the open discussion of virus
  160. issues and information, neither endorsing nor condemning the opinions
  161. of its contributors.]
  162.  
  163. Disclaimer:  Dis is soup.  Dis is Art.  Soup.  Art.  [Apologies to L. Tomlin.]
  164.  
  165. David Gursky
  166.  
  167. ------------------------------
  168.  
  169. Date:    Wed, 20 Sep 89 14:33:49 +0000
  170. From:    yale!slb-sdr!sdr.slb!shulman@uunet.UU.NET (Jeff Shulman)
  171. Subject: Re: VirusDetective questions (Mac)
  172.  
  173. awinterb@udenva.cair.du.edu (Richard Nixon) writes:
  174.  
  175. >Has anyone used VirusDetective for the Mac?  We've
  176. >used it, but it seems to detect viruses in files that
  177. >we doubt are affected.
  178.  
  179. I have (but then again I wrote it! <standard disclaimers>).
  180. VirusDetective (VD) is only as good as the search strings used.  VD
  181. 3.0.1 (the latest) is distributed with search strings that detect all
  182. known *active* Mac viruses.  With the latest search patterns I have
  183. seen NO cases of "false" alarms.  Some earlier search strings (say
  184. CODE Size xxx) to test for a virus *could* match legitimate CODE
  185. resources.  So, without knowing what version you are running nor the
  186. search strings you are using you may very well be getting matches
  187. where no virus actually exists.  Standard example of Garbage In,
  188. Garbage Out.
  189.  
  190. >How reliable is this bit of software?
  191.  
  192. I have not seen any known virus get past VD 3.0.1.  VD is the only
  193. program (to my knowledge) that can be user configured to search for
  194. any new virus (or *any* resource for that matter) as soon as a virus
  195. is discovered thus you do not need to obtain a new version (costing $$
  196. from commercial vendors) when a new virus is discovered.  NOTE: I *do*
  197. send out notification of new search strings to my registered users but
  198. you are apt to see them in Usenet first.
  199.  
  200.                                                Jeff Shulman
  201.                                                VirusDetective author
  202. - --
  203. uucp:      ...rutgers!yale!slb-sdr!shulman
  204. CSNet:     SHULMAN@SDR.SLB.COM
  205. Delphi:    JEFFS
  206. GEnie:     KILROY
  207. CIS:       76136,667
  208. AppleLink: KILROY
  209.  
  210. Disclaimer:  VD has absolutely nothing to do with my "day" job at SDR and
  211. opinions, etc. herein should not be construed as coming from SDR.
  212.  
  213. ------------------------------
  214.  
  215. Date:    Wed, 20 Sep 89 11:09:27 -0500
  216. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  217. Subject: DataCrime antidote: NOCRM11.ARC availability (PC)
  218.  
  219. Version 1.1 of NoCrime has been sent to the IBMPC anti-viral archive
  220. sites.  This program is meant to combat the DataCrime virus strains
  221. receiving so much publicity lately.  This file, NOCRM11.ARC, replaces
  222. version 0.1 sent out previously under the name NOCRIME.ARC.
  223.  
  224. NOCRM11.ARC     Fights the DataCrime viruses.
  225.  
  226. Jim
  227.  
  228.  
  229. ------------------------------
  230.  
  231. End of VIRUS-L Digest
  232. *********************
  233. Downloaded From P-80 International Information Systems 304-744-2253
  234.