home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.235

< prev

next >

Wrap

Text File  |  1995-01-03  |  22KB  |  484 lines

---

1. VIRUS-L Digest   Wednesday,  8 Nov 1989    Volume 2 : Issue 235
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Re: SCANV42 and ASHAR Virus (Mac...really PC)
17. Re: Use of the term "SNEAK"
18. Re: Where are the Sophisticated Viruses?
19. Macwight Virus (?)
20. Reviewing a Virus Article
21. Virus List (MAC)
22. TROJAN Horse by the name of NORTSTOP (PC)
23. Previously reported BootChek problems (PC)
24. Re: Virus source available in Toronto
25. Re: Where are the Sophisticated Viruses?
26. need disinfection info for BRAIN virus (PC)
27. WARNING: Brain virus infection (PC)
28. Re: Virus List - Notes (Mac)
29. excerpts from risks-l digest
30.  
31. ---------------------------------------------------------------------------
32.  
33. Date:    Tue, 07 Nov 89 07:38:30 -0500
34. From:    dmg@lid.mitre.org (David Gursky)
35. Subject: Re: SCANV42 and ASHAR Virus (Mac...really PC)
36.  
37. SCANV42 and the Ashar virus have nothing to do with the Mac :)
38.  
39. [Ed. An embarassed moderator stands corrected.  :-)]
40.  
41. ------------------------------
42.  
43. Date:    Tue, 07 Nov 89 07:44:31 -0500
44. From:    dmg@lid.mitre.org (David Gursky)
45. Subject: Re: Use of the term "SNEAK"
46.  
47. In Virus-L V2 #234, <polari!robert@beaver.cs.washington.edu>,
48. robert@polari.UUCP (robert)
49. [Robert Riebman] speculates that Robert Woodhead's Virex application
50. takes a more conservative approach than Interferon, and does not worry
51. about identifying new viruses, under the generic term "Sneak".
52.  
53. While I do no use Virex, it is my understanding that it does try the
54. same trick as Interferon, and identify suspicious code as a "sneak"
55. virus.
56.  
57. As also stated previously, there is no virus known as "sneak" per se.
58. This is a term Woodhead alone uses to discuess new viruses that his
59. applications are not familiar with.
60.  
61. ------------------------------
62.  
63. Date:    07 Nov 89 00:00:00 +0000
64. From:    "David.M..Chess" <CHESS@YKTVMV.BITNET>
65. Subject: Re: Where are the Sophisticated Viruses?
66.  
67. In reply to a posting of mine, madd@world.std.com (jim frost) writes
68.  
69. > Sigh.  We're lucky that no very competent programmer has tried to
70. > write a virus, all right.
71.  
72. and goes on to give examples of some nasty things that future
73. viruses/worms might do.  His item is interesting and welcome;
74. I'm not clear, though, in what sense it's a reply to mine, or
75. what the "sigh" means.   In the posting that Mr. Frost is
76. quoting from, I was just replying to the original assertion
77. that current tools would not be able to detect a virus that
78. bypassed the operating system to talk directly to the hardware,
79. by pointing out that one class of tool that's common today
80. would not be fooled by that approach.  I certainly didn't
81. mean to suggest that there aren't *other* clever things
82. that viruses could do, but haven't yet done.
83.  
84. DC
85.  
86. ------------------------------
87.  
88. Date:    Tue, 07 Nov 89 10:06:33 -0500
89. From:    "Gregory E. Gilbert" <C0195%UNIVSCVM.BITNET@VMA.CC.CMU.EDU>
90. Subject: Macwight Virus (?)
91.  
92. Is there such a beast?  Shuld I add it to the current list I have of
93. KNOWN viruses?  There is plenty of room now that I have deleted
94. "SNEAK" and "San Jose" from the list.  Thanks for the clarification.
95.  
96. P. S.  If anyone has a history of Macwight, if it exists, please forward
97. me a copy. Thanks again.
98.  
99. Gregory E. Gilbert
100. Computer Services Division
101. University of South Carolina
102. Columbia, South Carolina   USA   29208
103. (803) 777-6015
104. Acknowledge-To: <C0195@UNIVSCVM>
105.  
106. ------------------------------
107.  
108. Date:    Tue, 07 Nov 89 10:13:28 -0500
109. From:    "Gregory E. Gilbert" <C0195%UNIVSCVM.BITNET@VMA.CC.CMU.EDU>
110. Subject: Reviewing a Virus Article
111.  
112. I apologize for posting this request again.
113.  
114. I am writing an article for our computing newsletter and if anyone
115. would care to review it (if OK with Ken I can post it when finished) I
116. would welcome the critiques.  The only catch is that I must have the
117. reviews back NO LATER THAN 13 November.  If interested please send me
118. your address.
119.  
120. Gregory E. Gilbert
121. Computer Services Division
122. University of South Carolina
123. Columbia, South Carolina   USA   29208
124. (803) 777-6015
125. FAX:  (803) 777-4760
126. Acknowledge-To: <C0195@UNIVSCVM>
127.  
128. ------------------------------
129.  
130. Date:    Tue, 07 Nov 89 11:45:17 -0500
131. From:    Jason <jblue@mwunix.mitre.org>
132. Subject: Virus List (MAC)
133.  
134. I try to keep up with the Macintosh virus arena, but I've never heard
135. of the Dukakis virus.  Could someone please summerize some information
136. on what it is, where it started, and what it does?
137.  
138. Thank you,
139.  
140. =From the desk of: *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=
141. *  Jason D. Blue                          =  User Services                  *
142. =  User Support Center Specialist         *  The MITRE Corporation          =
143. *  jblue@mwunix.mitre.org                 =  703-883-7999                   *
144. =*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=
145. Disclaimer:    The views expressed above are my own and do not reflect the
146.         position of my employer.
147.  
148. ------------------------------
149.  
150. Date:    Tue, 07 Nov 89 12:33:07 -0500
151. From:    SDSV@MELPAR-EMH1.ARMY.MIL
152. Subject: TROJAN Horse by the name of NORTSTOP (PC)
153.  
154. From: Mr. J. Vavrina,   Intel & Sec Div, Automation Branch
155. Subject: TROJAN Horse by the name of NORTSTOP (PC)
156. I received this message via Ham Radio.
157.  
158. Path: K4NGC!W3IWI!WA4ONG!WB0TAX!WA2PVV
159. Date: 05 Nov 89 03:06:20 Z
160. From: WA2PVV@WA2PVV
161. To: KA4USE
162. Subject: Found This On My System
163.  
164. There is a file going around called either NORTSTOP.ZIP or NORTSHOT.ZIP
165. which, by it's (sparse) documentation and the copyright inside the EXE
166. file, claims to be from Norton Computing.  Because of the sparse and
167. unprofessionally presented docs, I looked within the EXE file and found:
168.  
169.   The Norton Public Domain Virus Utility,  PD Edition 5.50,  (C)1989
170.   Peter Norton
171.  
172.      Your System has been infected with a Christmas virus!  Selected
173.      files were just eliminated!  Without these files, you might as well
174.      use your computer as a damn, boat anchor!  If you do NOT own a
175.      boat, you may want to replace the files which were just erased.
176.      Try to determine which files they were.  HARDY  HA! HA! HA! HOW DO
177.      YOU FEEL NOW; YOU IDIOT?   MERRY CHRISTMAS AND HAPPY NEW YEAR!
178.  
179. ===================
180. PKUNZIP reports:
181.  
182.  1065  Implode    650  39%  10-04-89  12:26  9778978d --w  READ-ME.NOW
183. 38907  Implode  30156  23%  10-02-89  11:57  c333dec0 --w  NORTSHOT.EXE
184. - -----          ------  ---                                 -------
185. 39972           30806  23%                                       2
186.  
187. I spoke with Craig and Tony from Norton Computing and it sure ain't
188. their's.  I DID run McAfee's SCANV on it, and it came up empty, so
189. either SCANV simply can't recognize it, or it's a prank, but either way,
190. it has no business being in circulation.  Be on the look out!
191.  
192.      To: ALL
193.    From: TONY MCNAMARA
194.    Subj: Trojan Horse
195.  
196.     We at Peter Norton Computing would like to bring to your attention
197. an unauthorized trojan horse named NortStop.ZIP or NortShot.ZIP (these
198. files are the same).  This file was NOT produced with the knowledge or
199. permission of PNCI.
200.  
201.     This file is not a virus (it does not infect files).  Instead, it
202. is a trojan horse (it must be run explicitly to cause any damage).
203. When run, it lists the directory and claims the system is virus-free.
204. Between December 24th and December 31st, however, it will erase files
205. in several directories based on their extensions.
206.  
207.     These files can be recognized by their sizes (NortStop.ZIP is
208. 31744 bytes, NortStop.EXE is 38907 bytes), or by doing a text search
209. for the strings "NORTSHOT.EXE" in the ZIP, "Norton Public" in the EXE.
210.  
211.     If you find or hear of these files, please contact us immediately
212. through Tony McNamara, 213/319-2076 (voice), TMCNAMARA 381-9188 (MCI),
213. or CompuServe (72477,2504).
214.  
215.     Again, these files are in no way associated with PNCI.  Please
216. help us track down and eliminate these files.
217.  
218.     Thank you,
219.  
220.         Peter Norton
221.  
222.  
223. ************** From the Desk of Mr. James M. Vavrina **************
224. *            Comm 703-355-0010/0011  AV 345-0010-0011             *
225. *                  DDN SDSV@MELPAR-EMH1.ARMY.MIL                  *
226. *******************************************************************
227.  
228. ------------------------------
229.  
230. Date:    Mon, 06 Nov 89 13:19:08 -0500
231. From:    Arthur Gutowski <AGUTOWS%WAYNEST1.BITNET@VMA.CC.CMU.EDU>
232. Subject: Previously reported BootChek problems (PC)
233.  
234. Regarding a previous couple of postings about problems with BootChek,
235. it appears that the problem is not a bug.  Evidently, Jeff has indeed
236. been hit by a virus or system problem of some kind.  After re-SYSing
237. the hard drive (from a clean system), and reinstalling BootChek, Jeff
238. says things are back to normal.  Since from the information I've obtained,
239. it doesn't seem to be bug-related, we (McConachie Associates--sorry John,
240. but it does have a ring to it) are looking at the other possibilities
241. (maybe a virus? or a system quirk?).  More info to come later.
242.  
243. I perhaps jumped the gun crying "bug", but hey, my experience as a programmer
244. has taught me to there is only one valid assumption about computing:
245. It's my fault.  Murphy's Law works in strange ways...
246.  
247. Arthur J. Gutowski,
248. Co-Author of BootChek
249. and
250. +--------------------------------------------------------------------+
251. | Antiviral Group / Tech Support / WSU University Computing Center   |
252. | 5925 Woodward; Detroit MI  48202; PH#: (313) 577-0718              |
253. | Bitnet: AGUTOWS@WAYNEST1   Internet: AGUTOWS@WAYNEST1.BITNET       |
254. +====================================================================+
255. | Rules to live by, #153:                                            |
256. |   Never get caught on the wrong side of a Doppler shift.           |
257. +--------------------------------------------------------------------+
258.  
259. - ------- End of Forwarded Message
260.  
261. ------------------------------
262.  
263. Date:    07 Nov 89 20:01:02 +0000
264. From:    kelly@uts.amdahl.com (Kelly Goen)
265. Subject: Re: Virus source available in Toronto
266.  
267. Sorry about the fact you got hurt personally out there in the
268. hinterlands...  I should have classified my statement even further...
269. the published "CURRENT" sources are not really that much of a threat
270. to a person experienced in counter- measures against viruses(READ Safe
271. Computing Practices...) and like it or not until more effective
272. protection is put into the silicon itself.. the watchword of the
273. future is be prepared carry computer condoms!!While any virus can be
274. deadly to the unprepared every one of the current day viruses that the
275. CVIA and other organizations and individuals has had the chance to
276. analysize... has been of the short fuse variety... this makes them
277. relatively easy to detect...  much greater damage can be done to the
278. security of an organization or a country by using viral techniques to
279. put covert data channels into place... these and other tricks will be
280. the next generation of virii...as far as the present day ... we will
281. always see relatively primitive virii being produced from published
282. \sources... as the publication usually lags the industry by as much as
283. several months it gives vendors who are in tune to this problem
284. several man months of r+d Time for new nostrums... I agree that while
285. some damage is done by sources but robert morrises type doesnt work
286. from published sources...  they usually have the skills necessary to
287. bypass that!!About the only sophisticated technique i have seen was in
288. traceback....all else was just standard dos/bios System programming
289. skills needed to implement...the biggest leg up to a budding virii
290. developer are the tsr programming packs with source and various
291. articles and tools on reverse code engineering...so sorry to poke
292. holes in your favorite theorys but we havent seen or detected any more
293. than annoyance viruses from published sources ghost viruses not
294. withstanding...(again I will reiterate for the computer \user
295. unwilling to make the commitment in time and energy to become
296. knowledgeable about safe computer practices these viruses can indeed
297. be deadly but enough sources have been released at this point that the
298. genie really cant be put back in the bottle(I too wish it hadnt
299. happened... but it did and now we have to learn to live with and treat
300. the problem... just like aids in the bay area... one is either
301. knowledgeable or one will be eventually dead!!) same for computers one
302. will either be knowledgeable or...  some idiot there will release a
303. virus and throw ones data in the bit bucket...  As far as the
304. unsophisticated user who wants to protect well thats what CVIA is
305. there for...
306.            cheers
307.            kelly
308. p.s. sorry guy but I dont take a hand wringing approach to the problem
309. of published sources...mostly every thing I have seen so far is on a
310. relatively primitive level... i.e. no 1-way decryption... no shadow
311. allocation systems...  no memory residence being done by techniques
312. which totally bypass dos and any existing antiviral products...no PSP
313. backtracing and use of obsolete ways into dos!!in other words nothing
314. much more than present day leading edge tools can protect against!!it
315. could easily be a far far worse situation if various government
316. "black" organiztions and/or terrorists and/or Corporate IE (Industrial
317. Espionage) types were to fund underground virus developement for
318. unknown neferious goals ....
319.  
320. ------------------------------
321.  
322. Date:    07 Nov 89 20:26:46 +0000
323. From:    kelly@uts.amdahl.com (Kelly Goen)
324. Subject: Re: Where are the Sophisticated Viruses?
325.  
326. Jesus you mean someone else out there can think for himself...as far
327. as what you said 100% concurrence...it would turn most even tech types
328. pale to see what a "guru" could put together... fortunately most to
329. date have been of the relatively non-malicious variety...(gurus that
330. is) I work locally here in Silly-Con valley as a Network nerd and
331. various wizard on\ a extremely broad swath of tech areas... anti-viral
332. lab work is a VERY large part of that... I am running 386/pcdos only
333. in protected mode with several layers of antiviral products... my
334. write lines on my drive interfaces have to be explicitly and manually
335. enabled...VM/8086 partitions are used to block direct access to REAL
336. Memory or IO PORTS (And I even feel nervous telling the entire
337. readership of this newsgroup that much) I also encrypt my disks... I
338. cant endorse any products publicly but certain products are a definite
339. step above others...also incrementally backup in the background at
340. extremely frequent intervals AND even I can be HIT
341. Sucessfully..........!!!  my net seems to be 99% sucessful so far but
342. knock on wood!!!
343.           cheers
344.           kelly
345.  
346.  
347. ------------------------------
348.  
349. Date:    Tue, 07 Nov 89 17:09:00 -0600
350. From:    LMCOUNTS%UALR.BITNET@IBM1.CC.Lehigh.Edu
351. Subject: need disinfection info for BRAIN virus (PC)
352.  
353. In using Viruscan (version 4.8) the scan found PAKISTANI/BRAIN/ASHAR
354. virus on a number of student diskettes.  I check the Homebase BBS and
355. didn't find a disinfection program for these strains.  Can anyone
356. suggest a disinfection program and if there's one on the network that I
357. can get?  Is running a disinfection program the solution to this/these
358. viri??
359.  
360. Thanks....
361. Neta Counts
362.  
363. ------------------------------
364.  
365. Date:    Tue, 07 Nov 89 19:06:28 -0600
366. From:    CA6692%SIUCVMB.BITNET@VMA.CC.CMU.EDU (Vince Laurent - work id)
367. Subject: WARNING: Brain virus infection (PC)
368.  
369. Our Computer Centers have been blessed with the return of (c)Brain. We
370. also have recorded cases of the Jerusalem B virus. Both of these have
371. been found by the VIRUSCAN program that was given to our Computing
372. Information Center.  I have a VACCINE program for (c)Brain but is
373. there one for the other virus and if so where do I get it or can
374. someone send it to me? Thanks in advance...
375.  
376.                         ---------------------------------------------
377.                         | Vincent J. Laurent                        |
378.                         | Computing Information Center &            |
379.                         |             Computer Learning Center 1    |
380.                         | Southern Illinois University - Carbondale |
381.                         | CA6692@SIUCVMB                            |
382.                         ---------------------------------------------
383.  
384. ------------------------------
385.  
386. Date:    Tue, 07 Nov 89 16:31:22 +0000
387. From:    biar!trebor@uunet.uu.net (Robert J Woodhead),
388.          trebor@biar.UUCP (Robert J Woodhead)
389. Subject: Re: Virus List - Notes (Mac)
390.  
391.  
392. XRJDM%SCFVM.BITNET@VMA.CC.CMU.EDU (Joe McMahon) writes:
393.  
394. >This was simply a convenient name for a particular virus-like code
395. >pattern that Bob Woodhead's "Interferon" program looked for - for
396. >those who are interested, an immediate branch out of CODE 0 to some
397. >other CODE segment.  There is no specific virus called SNEAK, and
398. >there never has been.
399.  
400. No, what you are describing is the infamous Interferon Anomaly 104.
401. The infection strategy I described as ``sneak'' was changing the
402. type of a common System folder file to INIT.  This check was too
403. rigorous and gave false positives when System 6.0 came out because
404. in 6.0 some of the file types changed.
405.  
406. You are right : there is no such thing as SNEAK.  And Interferon is
407. obsolete now; use Disinfectant or (plug, plug) Virex.
408.  
409. - --
410. Robert J Woodhead, Biar Games, Inc.   !uunet!biar!trebor | trebor@biar.UUCP
411. Announcing TEMPORAL EXPRESS.  For only $999,999.95 (per page), your message
412. will be carefully stored, then sent back in time as soon as technologically
413. possible.  TEMEX - when it absolutely, postively has to be there yesterday!
414.  
415.  
416. ------------------------------
417.  
418. Date:    Tue, 07 Nov 89 22:58:00 -0500
419. From:    HAYES%URVAX.BITNET@VMA.CC.CMU.EDU
420. Subject: excerpts from risks-l digest
421.  
422. Following are two excerpts from RISKS-L digest.  Enjoy, Cl.
423. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
424. Claude Bersano-Hayes     HAYES @ URVAX                 (Vanilla BITNET)
425. University of Richmond   hayes@urvax.urich.edu     (Bitnet or Internet)
426. Richmond, VA  23173      ...!psuvax1!urvax.bitnet!hayes          (UUCP)
427.  
428.  --- begin forwarded message ---
429.  
430. RISKS-LIST: RISKS-FORUM Digest  Tuesday 7 November 1989   Volume 9 : Issue 39
431.  
432.         FORUM ON RISKS TO THE PUBLIC IN COMPUTERS AND RELATED SYSTEMS
433.    ACM Committee on Computers and Public Policy, Peter G. Neumann, moderator
434.  
435. Contents:
436. * Computer Viruses Attack China (Yoshio Oyanagi)
437. * First Virus Attack on Macs in Japan (Yoshio Oyanagi)
438.  
439. Date: Mon, 6 Nov 89 12:15:25+0900
440. From: Yoshio Oyanagi <oyanagi@is.tsukuba.ac.jp>
441. Subject: Computer Viruses Attack China
442.  
443.      Ministry of Public Safety of People's Republic of China found this
444. summer that one tenth of the computers in China had been contaminated by
445. three types of computer virus:  "Small Ball", "Marijuana" and "Shell", China
446. Daily reported.  The most serious damage was found in the National
447. Statistical System, in which "Small Ball" spread in 21 provinces.
448. In Wuhan University, viruses were found in *ALL* personal computers.
449.      In China, three hundred thousand computers (including PC's) are
450. in operation.  Due to premature law system the reproduction of
451. software is not regulated, so that computer viruses can easily be
452. propagated.  Ministry of Public Safety now provides "vaccines" against
453. them.  Fortunately, those viruses did not give fatal damage to data.
454.                                    Yoshio Oyanagi, University of Tsukuba, JAPAN
455.  
456.  ------------------------------
457.  
458. Date: Tue, 7 Nov 89 17:07:09+0900
459. From: Yoshio Oyanagi <oyanagi@is.tsukuba.ac.jp>
460. Subject: First Virus Attack on Macs in Japan
461.  
462. First Virus Attack on Macs in Japan
463.  
464.      Six Macs in University of Tokyo, Japan, were found to have caught
465. viruses, newspapers and radio reported.  Since this September, Prof. K. Tamaki,
466. Ocean Research Institute, University of Tokyo, has noticed malfunctions on the
467. screen.  In October, he applied vaccines "Interferon" and "Virus Clinic" to
468. find his four Mac's were contaminated by computer viruses, "N Virus" type A and
469. type B.  He then found ten softwares were also infected by viruses.  A Mac of
470. J. Kasahara, Earthquake Research Institute, University of Tokyo, was also found
471. to be contaminated by N Virus and Score Virus.  Those are the first reports of
472. real viruses in Japan.
473.  
474.      Later it was reported that four Mac's in Geological Survey of Japan, in
475. Tsukuba, were infected by N Virus Type A.  This virus was sent from U. S.
476. together with an editor.
477.                                         Yoshio Oyanagi, University of Tsukuba
478.  
479. ------------------------------
480.  
481. End of VIRUS-L Digest
482. *********************
483. Downloaded From P-80 International Information Systems 304-744-2253
484.