home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.218 < prev    next >
Text File  |  1995-01-03  |  16KB  |  357 lines

  1. VIRUS-L Digest   Monday, 23 Oct 1989    Volume 2 : Issue 218
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Comments on IBM Virus Scanner (PC)
  17. Article pre-Datacrime
  18. New anti-viral software (PC)
  19. Yale / Alameda Virus (PC)
  20. Vacsina virus + Den Zuk virus. (PC)
  21. OHIO Virus (PC)
  22. Virus infection report (PC)
  23. Worms again.... (VAX/VMS)
  24. Want suggestions on how to delete virus (PC)
  25.  
  26. ---------------------------------------------------------------------------
  27.  
  28. Date:    Thu, 12 Oct 89 11:41:49 -0400
  29. From:    Peter Jaspers-Fayer <SOFPJF%UOGUELPH.BITNET@VMA.CC.CMU.EDU>
  30. Subject: Comments on IBM Virus Scanner (PC)
  31.  
  32. We got a copy of IBM's virus scanner.   It is much like McAfee's SCAN,
  33. with these differences:
  34.  
  35. - - It is out of date.  McAfee's product is disseminated via network (a
  36.   fact which is looked upon with scorn - or at least with distrust -
  37.   by many corporate people) so it is very current.  IBM's checks for 20+
  38.   viruses which are mostly fairly old, vs 40+ for John's program, some
  39.   of them only weeks old.  I feel this is an important point, as viruses
  40.   CAN spread as fast as eMail.
  41.  
  42. - - IBM's says it checks the "master boot" (partition) record.  Does
  43.   McAfee's?  The documentation says so, but the 'running commentary'
  44.   does not mention it.
  45.  
  46. - - The 'characteristic code signatures' are in plain text, in separate,
  47.   easily editable files.   This allows one to easily add new viruses
  48.   with any DOS text editor.   So when you read (here for instance)
  49.   that the new 'garble' virus can be located by scanning for '00486921FF'
  50.   it is trivial to edit your copy of the table to add scanning for that
  51.   type of virus.  You can also use the same program in a 'grep-like'
  52.   way to scan for any arbitrary string on the disk. (eg 'Copyright')
  53.  
  54.   To my mind, this has it's advantages and disadvantages.  I like the
  55.   idea of publishing 'code signatures', and having people configure
  56.   their own scanners.  Unfortunately, this also makes it easier for
  57.   virus/modifiers to see how they are being caught (like bank robbers
  58.   monitoring Police radio, I guess), and make small mods to make the
  59.   virus 'undetectable' with that particular signature.
  60.  
  61. I certainly have nothing against John and all the work he's done for us,
  62. but it seems to me IBM's way moves control into the hands of the people,
  63. and is more 'open' (gee, come to think of it, that's pretty strange,
  64. considering origin ;-) (N.B. 'smiley', IBM!)  Any other thoughts on the
  65. pro's and con's of having the search strings in pain human-editable
  66. text?  Could someone CC this to John McAfee and post his reply?
  67.  
  68.  /PJ
  69. How did a fool and his money ever get together in the first place? - Anon
  70.  
  71. ------------------------------
  72.  
  73. Date:    Thu, 12 Oct 89 12:17:31 -0400
  74. From:    "Bruce Guthrie" <BGU%NIHCU.BITNET@VMA.CC.CMU.EDU>
  75. Subject: Article pre-Datacrime
  76.  
  77. [Ed. Well, this is a bit late, but...]
  78.  
  79.         "'Friday the 13th' Virus Bugging Computer Users"
  80.                        by Evelyn Richards
  81.                Washington Post, pg E1, Oct 12 1989
  82.  
  83.      Just a hair after midnight tonight, or soon thereafter, as
  84. unsuspecting computer users log on, malicious programs now lying
  85. dormant inside IBM and IBM-compatible personal computers will be
  86. unleashed to begin a reign of terror, scrambling the information
  87. stored on the computers' hard disk.
  88.      Or so some computer-security experts say.  Others believe
  89. such fears are nothing more than a false alarm.  Whether the
  90. virus turns out to be a real threat or not, one this is
  91. certain--the prospect of a destructive virus attack tomorrow has
  92. sent thousands of computer users into a panic and turned up more
  93. news reports of the virus than actual sighting of the virus
  94. itself.
  95.      An official at International Business Machines Corp., which
  96. is pooh-poohing the prospects of widespread havoc, reported
  97. yesterday that the firm is getting "more press calls than
  98. customer calls."  And John McAfee, a computer security expert in
  99. Santa Clara, Calif., has taken to calling this "a media virus."
  100. McAfee, who spent yesterday dashing from one ringing phone to
  101. another, is reassuring callers that "nothing is going to happen.
  102. The virus is a phantom."
  103.      But PC czars aren't taking any chances.  The wheels of
  104. Washington have been busy grinding out warnings that the rogue
  105. computer program, best known as the "Friday the 13th" virus,
  106. could wrest control of a PC and effectively destroy months of
  107. information carefully stored within it.  The General Services
  108. Administration and the Department of Veterans Affairs, for
  109. example, have distributed internal memos admonishing users to
  110. take certain precautionary steps, among them:  backing up their
  111. data so that anything destroyed can be replaced, avoiding
  112. software programs obtained from friends or from public
  113. computerized "bulletin boards", and storing diskettes behind lock
  114. and key when they're not in use.
  115.      Companies are taking similar precautions.
  116.      In McLean [Virginia], Planning Research Corp. refrained from
  117. issuing a special advisory but instead put out the word at
  118. departmental meetings.  "We thought it would be remiss not to
  119. warn people, but we also didn't want them to go overboard," said
  120. Jude Franklin, general manager of the technology division.
  121.      Dennis Steinauer heads the computer security forces at the
  122. National Institute of Standards and Technology (nee the National
  123. Bureau of Standards), which issued an early advisory about the
  124. virus and is partly responsible for coordinating computer
  125. security throughout the federal government.  Is Steinauer
  126. worried?
  127.      "I'm leaving on Friday the 13th, and I haven't changed my
  128. plans," said Steinauer, who plans to attend a conference in
  129. Brussels.
  130.      Steinauer isn't the only computer security expert who will
  131. be out of touch tomorrow.  Some 2,300 such experts are gathered
  132. in Baltimore this week for their annual meeting.
  133.  
  134. ------------------------------
  135.  
  136. Date:    Thu, 12 Oct 89 12:50:24 -0500
  137. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  138. Subject: New anti-viral software (PC)
  139.  
  140. More anti-viral software.  Datacure was sent to me from the
  141. Netherlands with the author's permission, the other three came
  142. from HomeBase.  A note on the DataCrime virus.  By the time
  143. most of you read this, Friday, October 13 1989 will have passed.
  144. Unfortunately this doesn't mean that the DataCrime worry is
  145. over.  Please keep in mind that all the information I have
  146. indicates this virus is uncommon in all places except press
  147. reports.  Nonetheless, better safe than sorry.  Remember,
  148. DataCrime is set to go off ANY DAY between Columbus day and
  149. New Year's, not inclusive.  So any latent infection could show
  150. up with unpleasant consequences.  Now, on with the show...
  151.  
  152. datacure.arc
  153.         One program that will identify files infected with
  154.         DataCrime and optionally cure them.  A second memory
  155.         resident program that will block the destructive
  156.         effects of DataCrime and warn you.  Only works on
  157.         DataCrime II virus.  Shareware.  No version #.
  158.         [ I was unable to get datacure.com to perform   ]
  159.         [ properly.  I'm trying to find out why, and    ]
  160.         [ will post any updates.  It isn't destructive, ]
  161.         [ just ineffective. -- jrw                      ]
  162. dc89scan.arc
  163.         A program to identify the DataCrime virus.  This
  164.         package was released largely as a bit of public
  165.         relations for the company involved, but is useful
  166.         despite this.  Only works on the two strains of
  167.         DataCrime I (1168 and 1280).  Freely redistributable.
  168.         No version #.
  169. scanrs42.arc
  170.         Resident program which checks each program for viruses
  171.         before it is allowed to execute.  Update to previous
  172.         version.  Shareware.  Version 0.9v42.
  173. scanv42.arc
  174.         Program to scan a disk, directory or file for viruses.
  175.         Will work with SHEZ to scan archives also.  Update to
  176.         previous version.  Shareware.  Version 0.7v42.
  177.  
  178. DATACURE.ARC    Detect and disable the DataCrime II virus
  179. DC89SCAN.ARC    Detect the two strains of DataCrime I virus
  180. SCANRS42.ARC    Resident program to scan for many viruses
  181. SCANV42.ARC     Program to scan files for many viruses
  182.  
  183. Jim
  184.  
  185. ------------------------------
  186.  
  187. Date:    13 Oct 89 20:18:15 +0000
  188. From:    news@acsu.buffalo.edu
  189. Subject: Yale / Alameda Virus (PC)
  190.  
  191. Has anyone heard of the Yale/Alameda virus, and know what it does?
  192. A friend here at school found 3 of his floppies (he's lucky he
  193. doesn't have a hard drive) infected with this by using Viruscan.
  194. Apparently it had only infected the hidden boot files so by
  195. using the SYS command he feels as if his is rid of it.  The real
  196. question though is if this is a safe assumption, and how does it
  197. duplicate itself (ie, could it possibly be hidden in other files).
  198.  
  199. Doug McKee
  200. @relay.cs.net:mckee@canisius.edu
  201.  
  202. [Ed. Here's what I have (from Joe Hirst's list, which should be
  203. available from the documentation archive site(s)):
  204.  
  205.                 15.      Yale - AKA Alameda, Merritt
  206.                            Boot virus - floppy only
  207.  
  208. Type description:
  209.         This virus consists of a boot sector only.  It infects floppies in the
  210.         A-drive only and it occupies 1K of memory.  The original boot sector is
  211.         held in track thirty-nine, head zero, sector eight.  It hooks into INT
  212.         9, and only infects when Ctrl-Alt-Del is pressed.  It will not run on
  213.         an 80286 or an 80386 machine, although it will infect on such a
  214.         machine.  It has been assembled using A86.  It contains code to format
  215.         track thirty-nine, head zero, but this has been disabled.
  216. ]
  217.  
  218. ------------------------------
  219.  
  220. Date:    15 Oct 89 07:50:12 +0000
  221. From:    munnari!minyos.xx.rmit.oz.au!s864292@uunet.UU.NET (F.S. Seow)
  222. Subject: Vacsina virus + Den Zuk virus. (PC)
  223.  
  224. The IBM computer of a friend of mine, has just been attacked by
  225. Vacsina and Den Zuk simultaneously.
  226.  
  227. Would anyone know where in Metropolitan Victoria,
  228. can my friend get the antidotes ( affordable commercial,
  229. shareware or public domain ) for these viruses ?
  230.  
  231. Even better is there such a thing as an all-purpose-multi-virus
  232. antidote existing ?
  233.  
  234. F.S.
  235.  
  236. ------------------------------
  237.  
  238. Date:    Mon, 16 Oct 89 11:33:00 -0400
  239. From:    <rwmira01%ULKYVX.BITNET@jade.Berkeley.EDU> (Rob Miracle)
  240. Subject: OHIO Virus (PC)
  241.  
  242. Does anyone have any information on the Ohio virus? What does it do? How is
  243. it triggered etc?
  244.  
  245. Any information would be helpful.
  246. Thanks in advance
  247. Rob Miracle
  248. - --
  249. Rob Miracle              | Bitnet   : RWMIRA01@ULKYVX    CIS: 74216,3134
  250. Programmer/Analyst-II    | INTERNET : rwmira01%ulkyvx.bitnet@cunyvm.cuny.edu
  251. University of Louisville | UUCP     : ...psuvax1!ulkyvx.bitnet!rwmira01
  252.  
  253. "Greed Kills"  -- Anton Devious
  254.  
  255. ------------------------------
  256.  
  257. Date:    Mon, 16 Oct 89 11:49:28 -0500
  258. From:    Bill Hobson <X043BH%TAMVM1.BITNET@VMA.CC.CMU.EDU>
  259. Subject: Virus infection report (PC)
  260.  
  261.      We had one lab hit at Texas A&M University in out Architecture
  262. department.  Unfortunately, I found about it AFTER they low level formatted
  263. all of their hard disks.  There are probably many student disks out there
  264. with the infections still present, but unfortunately I can't get my hands
  265. on them to find out what they had.  It happened on THE DAY (Friday 13th),
  266. but there are two viruses that blow up on that day.  I have personally
  267. eradicated the Jerusalem virus from two departments on campus, so I
  268. suspect that is it.  More later as I find out more!
  269.  
  270. ------------------------------
  271.  
  272. Date:    Mon, 16 Oct 89 15:59:21 -0500
  273. From:    Gene Spafford <spaf@CS.PURDUE.EDU>
  274. Subject: Worms again.... (VAX/VMS)
  275.  
  276. If you have not yet heard, another network worm incident is in
  277. progress.
  278.  
  279. The following bits of information have been collected from multiple
  280. sources.  I am mailing this so that people don't tie up the phone
  281. lines only to get the same information.  The folks at SPAN & CERT
  282. will issue a report when more details are known.
  283.  
  284. Please refer members of the press and other callers to the SPAN NIC @
  285. (301) 286-7251.  DO NOT have them call the CERT -- the folks there are
  286. busy enough as is right now, and they won't respond to questions
  287. without a need-to-know.  The folks at DEC probably won't respond
  288. either -- if you can find anyone who knows what it happening in this
  289. incident.  The folks at NASA will issue formal reports when appropriate.
  290.  
  291. The story so far:
  292.  
  293. Around 4:30 this morning, a worm program was found on machines in the
  294. SPAN network.  The worm is apparantly similar to the worm that hit
  295. SPAN in December (on Christmas eve) in that it is spreading on Decnet
  296. and affecting VMS systems.  According to a few of the people I talked
  297. with, it is not clear what the program is doing other than printing a
  298. message labelling the program as "Worms Against Nuclear Killers" and
  299. spreading to other machines.  There are NO CONFIRMED reports at this
  300. time that the worm is doing damage to machines or data.  If the worm
  301. is still spreading, it is spreading VERY slowly -- only about a half
  302. dozen machines have been detected as infected (so far).
  303.  
  304. All of the appropriate authorities have been notified.  CERT, DEC,
  305. NASA, & various Federal agencies are involved.  The problem is being
  306. examined by experts in the area, and as soon as the situation is
  307. clarified, a public report will be issued.
  308.  
  309. In the meantime, we can all help with the situation:
  310.   * DON'T PANIC -- it is limited in scope and machine type.
  311.     Unless you have a Decnet link to SPAN, your machine is in no
  312.     danger,
  313.   * Copies of the code are under analysis by experts, so fixes
  314.     are undoubtedly on the way.  If you run Decnet and installed
  315.     the fixes last December, you are *probably* immune already.
  316.   * Don't call the CERT, DEC or SPAN about this -- they'll be sure
  317.     to release details when they are certain enough about them to be
  318.     sure that they won't cause problems.
  319.   * Refer any members of the press to the SPAN number.  PLEASE be
  320.     careful what you say to members of the press -- remember that
  321.     the press doesn't understand the difference between DECnet, the
  322.     Internet, VMS, Unix, etc, and we don't need another media scare
  323.     about network invasions.
  324.  
  325. - --spaf
  326.  
  327. ------------------------------
  328.  
  329. Date:    Mon, 16 Oct 89 20:29:26 -0400
  330. From:    Elizabeth Caruso <LIZBB%CUNYVM.BITNET@VMA.CC.CMU.EDU>
  331. Subject: Want suggestions on how to delete virus (PC)
  332.  
  333. Today, our Novell LAN reported a hardware error when users tried to
  334. access programs stored on our File Server.  At first we did not know
  335. it was a virus because the same programs would run for one user and
  336. not run for another.  I had a feeling it might be a virus when I
  337. performed a Novell Netware command "NCOPY" and the screen messages
  338. where overwritten by characters that did not make sense.  We decided
  339. to run "VIRSCAN" to check for viruses.  39 files where infected with
  340. the JERUSALEM virus including the "NCOPY" file.
  341.  
  342. HAS ANYONE ENCOUNTERED THE JERUSALEM VIRUS ON THEIR LOCAL AREA
  343. NETWORKS?
  344.  
  345. We would like to delete the infected files and replace them with clean
  346. copies but we don't know if this will be a correct action to take.
  347. Will recoping be enough or do we have to format our File Server?  IF
  348. ANYONE HAS DELETED JERUSALEM FROM THEIR SYSTEM, (LAN OR PC SYSTEM) WE
  349. WOULD LOVE SOME ADVICE!!!!  HOW DOES THIS VIRUS INFECT A SYSTEM AND
  350. SPREAD?
  351.  
  352. ------------------------------
  353.  
  354. End of VIRUS-L Digest
  355. *********************
  356. Downloaded From P-80 International Information Systems 304-744-2253
  357.