home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.252

< prev

next >

Wrap

Text File  |  1995-01-03  |  13KB  |  297 lines

---

1. VIRUS-L Digest   Monday,  4 Dec 1989    Volume 2 : Issue 252
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Jerusalem-B in demo progs. (PC)
17. Jerusalem B virus infection (PC)
18. A virus story
19. Trojan Horse Alert - Norton followup (PC)
20. Is there a SCANV51? (PC)
21. Re: Info on Jerusalem Virus (PC)
22. Scanv49/Scanrs49 woes (PC)
23. Re: JUDE Virus (?????) Mac
24. Viruses and Anti-Semitism...
25.  
26. ---------------------------------------------------------------------------
27.  
28. Date:    Fri, 01 Dec 89 12:11:02 -0500
29. From:    Laurence Bates <LAURENCE@MSU.BITNET>
30. Subject: Jerusalem-B in demo progs. (PC)
31.  
32. We have recently located the Jerusalem-B virus on a bunch of VGA demo
33. programs including Rolex, Raisins, Fuse etc.  I don't suppose these
34. were the original carriers but it might be worth double checking VGA
35. demo programs that get passed around.
36.  
37. Fortunately we caught the programs before any harm was done.  They did
38. infect our SCANV program however.
39.  
40. MANY MANY thanks to the creators of SCANV40.  I'll be in touch with
41. McAffee Associates but for future reference - which source has the
42. most recent version of this program?
43. Acknowledge-To: <LAURENCE@MSU>
44.  
45. ------------------------------
46.  
47. Date:    Fri, 01 Dec 89 14:32:42 -0500
48. From:    bill@eedsp.gatech.edu (Bill Berbenich)
49. Subject: Jerusalem B virus infection (PC)
50.  
51.      On Tuesday, Nov. 28, we had an infection of the Jerusalem B virus
52. here in at least two campus DOS student clusters (56+ machines).  As a
53. result of regular backups being made of the server in at least one of
54. the clusters, a verified uninfected restoral was successfully made and
55. all cluster disks were again checked for infection.  It would appear
56. that the majority of the damage has been repaired, but it is likely
57. that there are some infected floppies floating around now. Users are
58. being advised of this and appropriate software has been installed to
59. help prevent a reoccurrance of the infection.  More specific
60. information can be obtained by sending e-mail to me directly.
61.  
62. Bill Berbenich                bill@eedsp.gatech.edu
63. Ga. Inst. of Technology        School of Electrical Engineering
64.  
65. ------------------------------
66.  
67. Date:    Fri, 01 Dec 89 21:16:03 -0500
68. From:    seborg@umbc3.umbc.edu (Mr. Brian Seborg)
69. Subject: A virus story
70.  
71. [Ed. In addition to this story, Mr. Seborg submitted a detailed
72. description of the Brain virus and his University's encounter with it.
73. Due to the article's length, I'm sending it out to the
74. VIRUS-L/comp.virus documentation archive sites rather than including
75. it here in a digest.  Thanks for the articles Brian.]
76.  
77.                     Inside a Virus Fighter's Head
78.  
79.                             copyright 1989
80.                            Brian H. Seborg
81.  
82.     Now is the winter of my discontent.  It has been cold all day, and
83. a looming specter of destruction dampened my spirits.  Would it strike
84. again?  No one knew whether we were safe in our sheltered system, or
85. whether we would be wrenched from our tranquility into the
86. gut-wrenching realization that we had to fight, had to protect
87. ourselves against the menace that had destroyed so many others who
88. were caught unprepared.
89.  
90. I looked intently at my screen making sure to note every nuance of my
91. environment.  The flicker of a drive light sent me into a protective
92. mode of questioning, "should that have happened?", "was that
93. legitimate?", "has that happened before?"  The whirring of drives
94. spinning quietly in place made my body tense, expecting the worst,
95. hoping that it wouldn't happen, at least not today, not now.  I hadn't
96. had a chance to back-up many of the bytes which could be forever lost
97. if today happened to be the day.  God, how I hated those vermin who
98. had let loose these horrors that destroyed at random the hopes and
99. thoughts of the innocent.  But they had not gotten to me. No, for I
100. was not innocent.  Though I had jumped into the breach, I had been
101. ready.  I am ready.
102.  
103. Though I despise them, I am also indebted to them.  Not for the
104. destruction they have caused, but for the skill I have been forced to
105. master in order to fight them. Not because they were skilled, but
106. because I am more so.  They will not wound me easily, and I will not
107. be easily dispatched.  I have been victorious in countless battles
108. which are now but ghosts in my memory.  Only once have I been close to
109. defeat, but, in the end I prevailed.  My mind saved me when my
110. defenses had failed.  Not so the Taiwanese.  He had not been so lucky.
111. He had appeared with his work maimed and crippled.  Most of it beyond
112. recognition.  But he was brave, and we fought together.  Fought until
113. we had rooted out and killed the disease which had caused his loss.
114.  
115. Or so we had thought.  One had survived, and lived on in our systems.
116. Somehow it had gotten through our defenses, though we thought them
117. impenetrable.  But it was not as smart as I.  Not quite.  I found it.
118. Found it minutes before it would have destroyed my system leaving my
119. disk to thrash in agony as my dreams and thoughts evaporated in front
120. of my eyes.  But it was not to be.  Not on this particular day.  It
121. reared its ugly head, and I chopped it off at the neck.  I have
122. preserved its offspring in captivity so that I may learn from them.
123. But they no longer hold any power over me.
124.  
125. Still, I must watch.  Watch and wait for the next time, for there will
126. be a next time.  So I stare at my screen spellbound, and listen
127. intently to the whirring of the drives, their flickering lights
128. pulsing in the half-light of my office.  I am ready.  To the vermin
129. and their creations I mentally extend the challenge: Go for it!
130.  
131. ------------------------------
132.  
133. Date:    Thu, 30 Nov 89 09:55:44 -0500
134. From:    "Anthony W. Pieper" <awpieper@CRDEC4.APGEA.ARMY.MIL>
135. Subject: Trojan Horse Alert - Norton followup (PC)
136.  
137. [Ed. From the VALERT-L mailing list.]
138.  
139.                               TROJAN HORSE ALERT
140.                          ( extracted from Info-IBMPC )
141.  
142. There   is a   file    going  around called    either  NORTSTOP.ZIP or
143. NORTSHOT.ZIP which, by  it's (sparse) documentation and  the  copyrigh
144. inside the EXE file, claims  to be from  Norton Computing.  Because of
145. the  sparse and unprofessionally presented docs,   I looked within the
146. EXE file and found:
147.  
148. The Norton Public Domain Virus Utility, PD Edition 5.50, (C)1989 Peter
149. Norton
150.  
151.      Your System has been infected  with a Christmas virus!   Selected
152. files were just  eliminated!  Without  these files, you might as  well
153. use your computer as a  damn, boat anchor!  If you  do NOT own a boat,
154. you may  want  to replace the files   which were just erased.   Try to
155. determine which files they were.  HARDY HA!  HA!  HA!  HOW DO YOU FEEL
156. NOW; YOU IDIOT?  MERRY CHRISTMAS AND HAPPY NEW YEAR!
157.  
158. ===================
159. PKUNZIP reports:
160.  
161.  1065  Implode    650  39%  10-04-89  12:26  9778978d --w  READ-ME.NOW
162. 38907  Implode  30156  23%  10-02-89  11:57  c333dec0 --w  NORTSHOT.EXE
163. - -----          ------  ---                                 -------
164. 39972           30806  23%                                       2
165.  
166. I spoke  with  Craig and Tony from Norton  Computing and it sure ain't
167. their's.  I DID  run McAfee's SCANV on it,  and it  came up  empty, so
168. either SCANV simply  can't recognize it, or  it's a prank,  but either
169. way, it has no business being in circulation.  Be on the look out!
170.  
171.      To: ALL
172.    From: TONY MCNAMARA
173.    Subj: Trojan Horse
174.  
175.     We at Peter Norton Computing would like to bring to your attention
176. an unauthorized trojan horse named NortStop.ZIP or NortShot.ZIP (these
177. files are the same).  This file was NOT produced with the knowledge or
178. permission of PNCI.
179.  
180.     This file is not a virus (it does  not infect files).  Instead, it
181. is  a trojan horse  (it must be run explicitly  to  cause any damage).
182. When run, it lists the directory and claims the  system is virus-free.
183. Between December 24th and December 31st, however, it will  erase files
184. in several directories based on their extensions.
185.  
186.     These   files can be   recognized by their  sizes (NortStop.ZIP is
187. 31744 bytes, NortStop.EXE is 38907 bytes), or  by doing  a text search
188. for the strings "NORTSHOT.EXE" in the ZIP, "Norton Public" in the EXE.
189.  
190.     If you find or hear of these files,  please contact us immediately
191. through Tony McNamara, 213/319-2076 (voice), TMCNAMARA 381-9188 (MCI),
192. or CompuServe (72477,2504).
193.  
194.     Again,   these files are in no   way associated with PNCI.  Please
195. help us track down and eliminate these files.
196.  
197.     Thank you,
198.         Peter Norton
199.  
200. ************** From the Desk of Mr. James M. Vavrina **************
201. *            Comm 703-355-0010/0011  AV 345-0010-0011             *
202. *                  DDN SDSV@MELPAR-EMH1.ARMY.MIL                  *
203. *******************************************************************
204.  
205. ------------------------------
206.  
207. Date:    03 Dec 89 04:44:52 +0000
208. From:    chaim@eniac.seas.upenn.edu (Chaim Dworkin)
209. Subject: Is there a SCANV51? (PC)
210.  
211. Is there a SCANV51 in existance?  The Sunday after Thanksgiving I
212. called a couple of BBSs in the Boston area and found a file called
213. SCANV51.ZIP posted on one or two of them.  I looked on Simtel20 and on
214. vxc.cso.uiuc.edu and could find only SCANV49.
215.  
216. Chaim
217.  
218. ------------------------------
219.  
220. Date:    04 Dec 89 07:03:33 +0000
221. From:    inesc!ajr@relay.EU.net (Julio Raposo)
222. Subject: Re: Info on Jerusalem Virus (PC)
223.  
224.  I have dealt with a strike of Jerusalem's virus on a friend's PC and
225. succeded in producing a program to wipe out all viruses from the disk.
226. Since I claim no copyright over the code I will post it in a few days.
227.  
228.                         Antonio Julio Raposo (ajr@inesc, LISBOA, PORTUGAL)
229.  
230. [Ed. The code, when posted, will be forwarded to the
231. VIRUS-L/comp.virus PC archive sites.]
232.  
233. ------------------------------
234.  
235. Date:    04 Dec 89 13:10:06 +0000
236. From:    anigbogu@loria.crin.fr (Julian ANIGBOGU)
237. Subject: Scanv49/Scanrs49 woes (PC)
238.  
239. I just downloaded and uudecoded Scanv49.arc and Scanrs49.arc from
240. Simtel. The trouble is that when I try to execute either of them the
241. pc I'm using hangs! I've used both Dos 3.1 and 3.2 with the same result.
242. Can some virus guru out there please tell me what I'm doing wrong. I'm
243. supposed to be looking out for viruses, not to hang the machine! I
244. know I have a virus stalking around here and somehow attached to all
245. labelled disks which makes me believe it infected Label.com. Not only
246. that, I recently bought both Pctools 5.1 and Turbo C 2 & Assembler and
247. on doing executing simply Dir to check the contents of the diskettes
248. they all reported one hidden file with size 0 bytes! They couldn't
249. have left Central Points and Borland already infected! I've just found
250. out to my discomfort that practically all pc's here are infected.
251.  
252. Please HELP before I send all these stuffs flying through the window!
253.  
254. Thanks in advance.
255.  
256. e-mail: anigbogu@loria.crin.fr  | Maybe I'm wrong but I have the weird |
257.                                 | feeling I've been out there before.  |
258.                                 ----------------------------------------
259.  
260. ------------------------------
261.  
262. Date:    Sat, 02 Dec 89 17:01:09 -0500
263. From:    dmg@lid.mitre.org (David Gursky)
264. Subject: Re: JUDE Virus (?????) Mac
265.  
266. There's not much to say about it so far.  It is apparently sufficently
267. different from other nVIR clones so that older versions of
268. Disinfectant will not catch it (there is allegedly a Disinfectant 1.3
269. that will catch it though) but not so different that Virus Detective
270. will not catch it.
271.  
272. Of course, Virus Detective has the advantage that it will allow the
273. user to add new search strings for new viruses as they are found.
274.  
275. ------------------------------
276.  
277. Date:    Sat, 02 Dec 89 17:06:25 -0500
278. From:    dmg@lid.mitre.org (David Gursky)
279. Subject: Viruses and Anti-Semitism...
280.  
281. I could not help but notice that the lastest version of nVIR adds new
282. resources called "JUDE".  Furthermore, the virus was reported by the
283. folks over in Switzerland, where German is widely spoken.  Jude is
284. German for "Jew".  Call me paranoid, but could there be some
285. connection?
286.  
287. My personal suspicion is that this clone was created by some
288. anti-semitic group in Germany (which is unfortunately seeing a rise in
289. anti-semitic acts, as is this country), and that the virus simply made
290. its way into Switzerland.
291.  
292. ------------------------------
293.  
294. End of VIRUS-L Digest
295. *********************
296. Downloaded From P-80 International Information Systems 304-744-2253
297.