home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.258 < prev    next >
Text File  |  1995-01-03  |  8KB  |  186 lines
  1. VIRUS-L Digest   Tuesday, 12 Dec 1989    Volume 2 : Issue 258
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. WDEF virus questions (Mac)
  17. new anti-virals (IBMPC)
  18. Re: WDEF Virus (Mac)
  19. Poland Viruses/Oropax (PC)
  20. Experimental one-way hash function
  21.  
  22. ---------------------------------------------------------------------------
  23.  
  24. Date:    11 Dec 89 08:56:28 +0000
  25. From:    f3aml@fyvax2.fy.chalmers.se (MATS LEJON)
  26. Subject: WDEF virus questions (Mac)
  27.  
  28. In the message WDEF Virus Alert (MAC) John Norstad writes
  29.  
  30. >Unfortunately, the virus manages to avoid detection by all of the
  31. >popular protection INITs, including Vaccine 1.0.1, GateKeeper
  32. >1.1.1, SAM Intercept 1.10, and Virex INIT 1.12.
  33.  
  34. What about the RWatcher INIT? It would be no problem to configure it
  35. to look for a WDEF resource, but this would of course be of no use
  36. if the WDEF virus uses a system call to propagate whitch RWatcher
  37. does not watch for. Does anyone have any more info about the virus,
  38. its size for example, or how it is possible that a resource with the name
  39. WDEF gets executed, I guess it must contain executable code to
  40. propagate itself?
  41.  
  42.                    Mats Lejon, Chalmers Univ. Tech. Sweden.
  43.  
  44. ------------------------------
  45.  
  46. Date:    Mon, 11 Dec 89 11:43:26 -0600
  47. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  48. Subject: new anti-virals (IBMPC)
  49.  
  50. Recent submissions for the IBMPC anti-viral archives sent to me.
  51.  
  52. killer.arc      Detects and removes Stoned virus
  53.         No source code, no documentation, author unknown.  Use
  54.         at your own risk.
  55.  
  56. pill.arc        Detects and removes Stoned virus
  57.         No source code, no documentation, author unknown.  Use
  58.         at your own risk.  I have included a rudimentary disassembly
  59.         for your viewing pleasure.
  60.  
  61. vkill10.arc     Detects and removes Jerusalem virus
  62.         Source (TurboC) for program to detect and remove Jerusalem
  63.         virus.  No separate docs provided--read the code.  No
  64.         executable provided.
  65.  
  66. Jim
  67.  
  68. ------------------------------
  69.  
  70. Date:    Mon, 11 Dec 89 11:25:26 -0800
  71. From:    dplatt@coherent.com
  72. Subject: Re: WDEF Virus (Mac)
  73.  
  74. > "Jeff Shulman, the author of Virus Detective 3.1, recommends adding the
  75. > following search string to detect the virus:
  76. >
  77. > CREATOR=ERIK & Resource WDEF & Any
  78. >
  79. > Virus Detective can also be used to remove the virus ......"
  80. >
  81. > Where or to what do we add the "following search string".  Please
  82. > pardon my ignorance.
  83.  
  84. Assuming that you have a relatively recent version of VirusDetective,
  85. you can open the desk accessory, click the "Modify Search Strings"
  86. button (or enter command-M), type the above string into the one-line
  87. field near the bottom of the search-string dialog box, click the "Add"
  88. button to add the string to the working search criteria, and then
  89. click the "Save" button to record the new criteria in the desk
  90. accessory's long-term memory (in the System file).
  91.  
  92. You can then search disks, or individual Desktop files, using the
  93. buttons in the desk accessory's main window.
  94.  
  95. If you're hunting for the WDEF virus, you should _not_ do so under
  96. MultiFinder... run in the "uni-Finder" environment, launch an
  97. application program (almost any will do), and then invoke
  98. VirusDetective from within that application.  You should _not_ be
  99. running the Finder (multi- or uni-) if you wish to remove the WDEF
  100. virus from your Desktop file.
  101.  
  102. Disinfectant 1.4 is now available, by the way... it, also, can find
  103. and eliminate WDEF.
  104. - --
  105. Dave Platt                                             VOICE: (415) 493-8805
  106.   UUCP: ...!{ames,apple,uunet}!coherent!dplatt   DOMAIN: dplatt@coherent.com
  107.   INTERNET:       coherent!dplatt@ames.arpa,  ...@uunet.uu.net
  108.   USNAIL: Coherent Thought Inc.  3350 West Bayshore #205  Palo Alto CA 94303
  109.  
  110. ------------------------------
  111.  
  112. Date:    Mon, 11 Dec 89 08:56:54 -0800
  113. From:    Alan_J_Roberts@cup.portal.com
  114. Subject: Poland Viruses/Oropax (PC)
  115.  
  116.         One of the five viruses submitted to McAfee by Andrzej Kadlof
  117. appears to be the long-lost Oropax virus, at least according to Dave
  118. Chess at IBM.  The virus matches the original descriptions exactly,
  119. including length, infection mechanism, self identification technique,
  120. host class and activation function. The Homebase group has always
  121. considered the virus to be either extinct or a hoax, but Kadlof
  122. insists it is active and common in the Eastern Bloc.  If this is true,
  123. then it raises some interesting points about the epidemiology of
  124. computer viruses.  How for example, can the Ping Pong virus be common
  125. in Austria, but unknown in Checkoslovakia, a{nd the Oropax be common
  126. in Checkoslovakia but unknown in Austria, while the Jerusalem is
  127. rampant in both countries? (These two countries do, I Believe, share a
  128. common border - if not forgive my geographic ignorance).
  129.         Any information about the occurance of the Oropax in Europe or
  130. the U.S. would be appreciated by the way.
  131. Alan
  132.  
  133. ------------------------------
  134.  
  135. Date:    11 Dec 89 11:36:35 -0800
  136. From:    merkle.pa@Xerox.COM
  137. Subject: Experimental one-way hash function
  138.  
  139. The one-way hash function, Snefru version 2.0, has been released for
  140. general use.  It generates either a 128 bit or 256 bit output.
  141.  
  142. Previous discussions in this group have mentioned the X9.9 MAC
  143. (Message Authentication Code) that involves a secret key.  Snefru is a
  144. one-way hash function, and therefore does not use or require any
  145. secret information.  Further, Snefru has substantially better
  146. performance than any DES based system.
  147.  
  148. One-way hash functions have the property that it is computationally
  149. infeasible to find two inputs that produce the same output.  Thus, if
  150. I can authenticate the (128 or 256 bit) output, then I can
  151. authenticate the large (perhaps megabytes) input that produced that
  152. output.
  153.  
  154. The method of authenticating the output and the method of insuring the
  155. integrity of the program computing the one-way hash function are
  156. separate issues, not addressed by Snefru.
  157.  
  158. The C source for Snefru version 2.0 is available to anyone who wants a
  159. copy via anonymous FTP from "arisia.xerox.com" (a Unix system at Xerox
  160. PARC in Palo Alto, CA) in directory "/pub/hash".  The source files
  161. are: hash2.0.c, standardSBoxes2.c, and testSBoxes.c.
  162.  
  163. An assembly language version written for the Sun SPARCstation 1 can
  164. hash large files at a speed slightly faster than 8 megabits per
  165. second.  This includes CPU time (as measured by the "time" command)
  166. and excludes disk transfer time etc.
  167.  
  168. Snefru version 2.0 is still preliminary.  It has received only modest
  169. security review.  It would seem prudent to use it only for
  170. experimental or research purposes until it has received more
  171. widespread scrutiny.  A significant purpose of this posting is to
  172. invite such scrutiny.
  173.  
  174.      Cheers!
  175.        Ralph C. Merkle
  176.        Xerox PARC
  177.        3333 Coyote Hill Road
  178.        Palo Alto, CA 94304
  179.        merkle@xerox.com
  180.  
  181. ------------------------------
  182.  
  183. End of VIRUS-L Digest
  184. *********************
  185. Downloaded From P-80 International Information Systems 304-744-2253
  186.