home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.262 < prev    next >
Text File  |  1995-01-03  |  24KB  |  547 lines

  1. VIRUS-L Digest   Monday, 18 Dec 1989    Volume 2 : Issue 262
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. AIDS Trojan Update (PC)
  17. Re: Major Trojan Warning (PC)
  18. Possible GateKeeper Aid bug? (Mac)
  19. Virus Hearing on TV (CPSR, too)
  20. AIDS Trojan Update #3 (PC)
  21. Virus info (Atari ST)
  22. AIDS TROJAN RESEARCH (PC)
  23.  
  24. ---------------------------------------------------------------------------
  25.  
  26. Date:    Thu, 14 Dec 89 15:17:28 -0800
  27. From:    Alan_J_Roberts@cup.portal.com
  28. Subject: AIDS Trojan Update (PC)
  29.  
  30. A forward from John McAfee:
  31.  
  32.         Our investigation has turned up surprise: PC Cyborg
  33. Corporation has indeed been registered in the country of Panama.  The
  34. registration date was 04-12-89, legal deed #16653.  The resident agent
  35. for due process is listed as Lucia Bernal.  The directors are: Kitain
  36. Mekonen, Asrat Wakjira and Fantu Mekesse.  Since the names of the
  37. directors are all West African, it appears that the story told by
  38. Ketema Corporation about representing a Nigerian software firm may be
  39. close to the truth.  The story unfolds.
  40.         We still have no verified reports of mailings to the U.S.
  41. Let's hope we continue to have none.  Needless to say, if anyone does
  42. receive the AIDS diskette, do not use it.
  43.  
  44. John McAfee
  45.  
  46. ------------------------------
  47.  
  48. Date:    15 Dec 89 11:04:05 +0000
  49. From:    Chris Moss <cdsm@sappho.doc.ic.ac.uk>
  50. Subject: Re: Major Trojan Warning (PC)
  51.  
  52. Alan_J_Roberts@cup.portal.com writes:
  53. >This is an urgent forward from John McAfee:
  54. >
  55. >     A distribution diskette from a corporation calling itself
  56. >PC Cyborg has been widely distributed to major corporations and
  57. >PC user groups around the world and the diskette contains a
  58. >highly destructive trojan.
  59.  
  60. Further information from the London "Independent" newspaper 15 Dec
  61. bylined by Science Editor Tom Wilkie, titled 'Trojan' threatens 10,000
  62. computers:
  63.  
  64. Fears are growing that more than one mailing list was used
  65. todistribute the "Aids Information" computer diskette which is
  66. damaging computers.
  67.  
  68. Police said yesterday that they had been "inundated" by thousands of
  69. complaints about the disk, which they believe may have been
  70. distributed to more than 10,000 addresses in Britain. There are also
  71. unconfirmed reports tha delegates to an Aids conference in Sweden have
  72. been sent copies of the diskette from London.
  73.  
  74. Experts estimate that the cost of the operation must run to between
  75. 8,000 and 10,000 pounds.
  76.  
  77. ...
  78.  
  79. According to Dr Alan Solomon, a leading expert on computer security,
  80. the program counts the times a user switches on the machine.
  81.  
  82. After about 90 startups, Dr Solomons said, the damage routine is
  83. triggered. The program encrypts the names of all files held on the
  84. hard disks and "hides" them. This means that the computer's normal
  85. operating software is unable to find anything except one file,
  86. "CYBORG.DOC" which contains a demand for payment.
  87.  
  88. According to Steve Robinson of the software company Insoft, the damage
  89. routine may be triggered on some machines almost as soon as the
  90. program is run.  ...
  91.  
  92. >In addition, the British magazine "PC Business World" has
  93. >included a copy of the diskette with its most recent publication
  94.  
  95.  (I do not confirm the truth of this assertion, but the article continues)
  96.  
  97. PC Business World has produced an "Aidsout" program, written by virus
  98. hunter Jim Bates, on a disk which the magazine will distribute free to
  99. victims.  The program is also available on "Connect" the IBM PC User
  100. Group bulletin board.
  101.  
  102. ... (various other symptoms)
  103.  
  104. Experts agree the program is so big and cleverly written that it will
  105. take months to tease out all the things it may do.  For that reason,
  106. users should remove all trace from machines as soon as possible.
  107.  
  108. For free information send a SAE to: IBM PC User Group, PO Box 360,
  109. Harrow HA1 4LQ; or Dr. Alan Solomon, S and S, Watermeadow, Chesham,
  110. Bucks, HP5 1LP.
  111.  
  112. ------------------------------
  113.  
  114. Date:    15 Dec 89 20:27:36 +0000
  115. From:    mead%hamal.usc.edu@usc.edu (Dick Mead)
  116. Subject: Possible GateKeeper Aid bug? (Mac)
  117.  
  118.  
  119. After seeing the posting of a download location for GateKeeper AID,
  120. the WDEF & clone eradicator, I grabbed it and tried it out on various
  121. Macs here. All seemed okay until this morning when a Mac froze when
  122. using Excel 2.2 and attempting to use the Print Setup or Print
  123. functions.  Removal of GateKeeper AID resolved the hang. This was on
  124. both a Mac II, and an SE/30, running Multifinder. I tried renaming the
  125. init to zGateKeeper AID to make it the last init, and the Mac
  126. complained that it could not load the Finder. Removal of the init
  127. again resolved that. I thought potential users, and the author should
  128. be warned.  By the way, other than the freeze/crash above, it worked
  129. as expected, and WDEF does seem to be everywhere. Sorta like
  130. 'chicken-man'...
  131.  
  132. ------------------------------
  133.  
  134. Date:    Fri, 15 Dec 89 12:57:44 -0800
  135. From:    cdp!mrotenberg@labrea.stanford.edu
  136. Subject: Virus Hearing on TV (CPSR, too)
  137.  
  138. The November House Judiciary Committee hearing on computer virus legislation
  139. will be shown on C-Span on December 23 (8:45 am) and December 24 (1:30 am).
  140. This was an interesting and timely event with representatives from NIST,
  141. ADAPSO, CBEMA, CPSR (!) and members of Congress discussing technical and legal
  142. responses to the issues raised by computer viruses.
  143.  
  144. The prepared CPSR statement on computer virus legislation is available from the
  145. CPSR Washington office.  Please send me a note if you would like a copy.
  146.  
  147. Marc Rotenberg.
  148.  
  149.  
  150.  
  151. ------------------------------
  152.  
  153. Date:    Sat, 16 Dec 89 10:24:58 -0800
  154. From:    Alan_J_Roberts@cup.portal.com
  155. Subject: AIDS Trojan Update #3 (PC)
  156.  
  157. This is a forward from the HomeBase BBS:
  158.  
  159. AIDS TROJAN UPDATE   Santa Clara, California.   December 16, 1989
  160.  
  161.      Our reports of the AIDS trojan over the past three days have
  162. been sporadic, incomplete and conflicting.  Much of the
  163. confusion, as we are now beginning to understand, stems from the
  164. fact that the architecture of this trojan is orders of magnitude
  165. more complex and interwoven than any PC based virus or trojan
  166. yet encountered.  No one has yet successfully disassembled this
  167. trojan, nor will they for some time to come.  The two EXE files
  168. comprising the trojan diskette represent over 320K of compiled
  169. Microsoft Basic code, much of it encrypted.  The trojan evolves
  170. over time and uses multiple steps to create hidden and
  171. interrelated directories, DOS shell routines and self modifying
  172. utilities.   Numerous techniques have been employed by the
  173. architects to avoid detection, analysis or tampering.  The
  174. dissection is like peeling an onion with a paper clip.
  175.      At this point, however, having used live trials of five
  176. different samples of the mailing diskette, we have bounded the
  177. beast and have at least uncovered the main elements of the
  178. underlying structure.  We've learned enough to know that a
  179. system can be recovered after the bomb goes off (albeit using
  180. brute force), and we have a program that can disarm the trojan if
  181. caught before activation.  A brief outline follows:
  182.  
  183. Activation:
  184.      All of our samples consistently and repeatedly activated
  185. after exactly 90 reboots of the system, from the time the install
  186. program was executed.  This agrees with Dr. Solomon's
  187. observations of two additional samples.  An anomaly that cannot
  188. be explained is that more than a dozen verified cases reported
  189. activation after the first reboot.  Did the designers include a
  190. few copies that would activate prematurely as a warning?  Is
  191. there a bug somewhere in the install or count routine?  This is a
  192. question that needs answering.
  193.  
  194. Installation:
  195.      Installation requires an average of 90 seconds.  A point
  196. that has not been mentioned before, is that a reference number is
  197. prominently displayed during installation.  The instructions are
  198. to include this reference number when registering the program.
  199. After activation, the same reference number is again displayed,
  200. with clear instructions to include the number on all
  201. correspondence.  Could this be used in some way during the
  202. encryption/decryption process?  An example 12 digit reference
  203. number is: A9738-1655603-.
  204.      The Trojan creates several hidden subdirectories -- made up
  205. of space and ASCII 255's  -- in the root of drive C.  The install
  206. program is copied into one of these and named REM.EXE.  The
  207. user's original AUTOEXEC.BAT file is copied to a file called
  208. AUTO.BAT.  The first line of this file reads -- "REM Use this
  209. file in place of AUTOEXEC.BAT for convenience".  The installation
  210. also creates a hidden AUTOEXEC.BAT file that contains the
  211. commands:
  212.  
  213.           C:
  214.           CD \
  215.           REM  Use this file in place of AUTOEXEC.BAT
  216.           AUTO
  217.  
  218.      The CD \ actually contains ASCII characters 255, which
  219. causes the directory to change to one of the hidden directories
  220. containing the REM.EXE file.  The REM file is then executed and
  221. decrements a counter at each reboot.
  222.  
  223. Activation:
  224.      After 90 reboots, a message appears in the center of the
  225. screen:
  226.  
  227.           The software lease for this computer has expired.  If
  228.           you wish to use this computer, you must renew the
  229.           software lease.  For further information turn on the
  230.           printer and press return.
  231.  
  232.      When the return key is pressed, the following document is
  233. printed on the printer:
  234.  
  235.           "If you are reading this message, then your software
  236. lease from PC Cyborg Corporation has expired. Renew the software
  237. lease before using this computer again. Warning: do not
  238. attempt to use this computer until you have renewed your
  239. software lease. Use the information below for renewal.
  240.  
  241.  Dear Customer:
  242.  
  243.  It is time to pay for your software lease from PC Cyborg
  244. Corporation.  Complete the INVOICE and attach payment for the
  245. lease option of your choice. If you don't use the printed
  246. INVOICE, then be sure to refer to the important reference numbers
  247. below in all correspondence. In return you will receive:
  248.  - a renewal software package with easy-to-follow, complete
  249. instructions;  - an automatic, self-installing diskette that
  250. anyone can apply in minutes.
  251.  
  252.  Important reference numbers: A9738-1655603-
  253.  
  254.  The price of 365 user applications is US$189. The price of a
  255. lease for the lifetime of your hard disk is US$378.  You must
  256. enclose a bankers draft, cashier's check or international money
  257. order payable to PC CYBORG CORPORATION for the full amount of
  258. $189 or $378 with your order. Include your name, company,
  259. address, city, state, country, zip or postal code. Mail your
  260. order to PC Cyborg Corporation, P.O. Box 87-17-44, Panama 7,
  261. Panama.
  262.  
  263. After this document is printed, the following warning appears:
  264.  
  265.           Please wait thirty minutes during this operation.  Do
  266.           not turn off the computer since this will damage your
  267.           system.  You will be given instruction later.  A
  268.           flashing hard disk access light means WAIT!!!!!
  269.  
  270. This message remains displayed for up to an hour and a half on
  271. some machines while heavy disk activity continues.
  272.  
  273. The Results:
  274.      At the end of the disk activity, a new file appears at the
  275. root of drive C called CYBORG.DOC.  The contents of the file are
  276. the above instructions for registering the program.  There appear
  277. to be 0 bytes remaining on the disk if a directory listing is
  278. attempted.  A shell routine has also been installed in the
  279. system.  It is a program called CYBORG.EXE, with hidden read-only
  280. attributes.  This shell routine displays the following message
  281. after every DOS function call:
  282.  
  283.           WARNING:  You risk destroying all of the files on drive
  284.           C.  The lease for a key software package has expired.
  285.           Renew the lease before you attempt any further file
  286.           manipulations  or other use of this computer.  Do not
  287.           ignore this message.
  288.  
  289.      If an attempt is made to run a program or perform any file
  290. manipulation, an illegal command or filename message appears.  If
  291. the system is powered down and booted from a floppy, the only
  292. file that appears on the disk is the CYBORG.DOC file.  There are
  293. 0 bytes free.  In reality all files that existed before have been
  294. encrypted and given hidden attributes.  The following directory
  295. listing is a sample from one of the activated 20 megabyte disks
  296. where the file attributes have been cleared:
  297.  
  298.  Volume in drive C has no label
  299.  Directory of  C:\
  300.  
  301. #UCU#R    AK    10071  13-07-85   1:43p
  302. #UC@R&    AK    27760   3-07-85   1:43p
  303. COMMAND  COM    23717  13-07-85   1:43p
  304. #1!8_68@  AU      587   3-19-89   9:11a
  305. 6#1N      AK       32   2-27-89  12:33p
  306. KF{0U     AK      853  13-12-89   4:07p
  307. }G6R      AG       98   1-04-80  12:01a
  308. AUTOEXEC BAT      108   1-04-80  12:01a
  309. AUTOEXEC BAK       17   1-04-80  12:01a
  310. }#@&      AU   172562   8-07-89  10:40a
  311. &_}1      AU    46912  12-07-89  11:58a
  312. !}        AU     7294   3-01-87   4:00p
  313. 1G        AU   102383   3-01-87   4:00p
  314. H8C       AU   146188   1-04-80  12:11a
  315. CYBORG   DOC     1326   1-04-80  12:05a
  316. CYBORG   EXE      642   1-04-80  12:05a
  317. AUTO     BAT      117   1-04-80  12:06a
  318.        17 File(s)         0 bytes free
  319.  
  320.      In addition to the above, a number of hidden
  321. subdirectories exist containing what appears to be an indexed
  322. sequential data base with fields initialised to 20H.  This data
  323. base occupies the entire free space of the disk.  The AUTOEXEC
  324. file calls the CYBORG.EXE program, which is the above mentioned
  325. DOS shell routine.  After the system is powered down, the hard
  326. disk will no longer boot.  However, if the file AUTOEXEC is
  327. executed at least once, the a <ctrl><alt><del> sequence will
  328. appear to perform a re-boot and the system will on the surface
  329. appear to be normal as described above, with the exception of the
  330. warning message after a DIR or other DOS command.  If the file
  331. CYBORG.EXE is examined using Norton or other similar utility the
  332. following text is found at offset 560:
  333.  
  334.      <false end-file-marker>  <The Norton Utilities cannot read
  335.      this file because the FAT has been locked> BORG  EXE
  336.  
  337.      No code can be found in the file.  However, a sector search
  338. of the disk finds the CYBORG.EXE code at various offsets.  Inside
  339. the code is the text listing of the hard disk directory structure
  340. prior to the encryption.  The text corresponding to the above
  341. encrypted root directory is:
  342.  
  343.  Volume in drive C has no label
  344.  Directory of  C:\
  345.  
  346. IBMBIO   COM    10071  13-07-85   1:43p
  347. IBMDOS   COM    27760   3-07-85   1:43p
  348. COMMAND  COM    23717  13-07-85   1:43p
  349. INFECTED EXE      587   3-19-89   9:11a
  350. TINY     COM       32   2-27-89  12:33p
  351. W13_B    COM      853  13-12-89   4:07p
  352. AUTO     BAT       98   1-04-80  12:01a
  353. AUTOEXEC BAT      108   1-04-80  12:01a
  354. AUTOEXEC BAK       17   1-04-80  12:01a
  355. AIDS     EXE   172562   8-07-89  10:40a
  356. SCAN     EXE    46912  12-07-89  11:58a
  357. FA       EXE     7294   3-01-87   4:00p
  358. NU       EXE   102383   3-01-87   4:00p
  359. REM      EXE   146188   1-04-80  12:11a
  360.        14 File(s)  15872000 bytes free
  361.  
  362.      A comparison of the encrypted and unencrypted entries
  363. indicates that some form of linear character mapping was used
  364. (i.e.   # = I, } = A, 8 = E, @ = D, etc.)
  365.  
  366.      All of the data in the system appears to be intact and not
  367. encrypted.  The partition table and boot sector have not been
  368. modified in any way.  The system can be recovered by removing the
  369. hidden directories and their contents, and by replacing the
  370. encrypted entries in the FAT with the entries found in the
  371. CYBORG.EXE file.  Currently this has to done by hand.  We are
  372. working on a program to perform this task.
  373.      If you catch this trojan before it activates, then Jim
  374. Bate's AIDSOUT.COM program available on HomeBase will extract the
  375. trojan and return the system to its original condition.
  376.  
  377.  
  378. Remaining questions:
  379.      Dr. Solomon reports that his sample created one additional
  380. file called SHARE.EXE that had instructions to install the SHARE
  381. program on a second computer and then return it to the affected
  382. system.  The instructions stated that running the SHARE program
  383. again on the affected system would provide 30 free re-boots of
  384. the system with all data restored.  Our samples did not create
  385. this SHARE program and no instructions pertaining to it were
  386. given.  Whether this was a difference in diskettes or perhaps
  387. attributable to our non-standard test machines we do not know.
  388.  
  389. John McAfee
  390.  
  391. ------------------------------
  392.  
  393. Date:    Sat, 16 Dec 89 05:36:21 -0900
  394. From:    "Big MAC..." <AXMAC@ALASKA.BITNET>
  395. Subject: Virus info (Atari ST)
  396.  
  397. I have a question for all. What is known about Viruses for the ATARI
  398. ST?  I have seen alot of viruses discussed about the PC and MAC , and
  399. a friend of mine has an ST that is behaving wierdly after warm boot.
  400. Any Information? Thankx...
  401.  
  402.                         AXMAC@ALASKA.BITNET
  403.  
  404. ------------------------------
  405.  
  406. Date:    Sun, 17 Dec 89 17:54:00 -0500
  407. From:    IA96000 <IA96@PACE.BITNET>
  408. Subject: AIDS TROJAN RESEARCH (PC)
  409.  
  410. I have been asked to pass this message along to VIRUS-L and VALERT-L
  411. by the fine people at SWE who have been hard at work researching the
  412. AIDS problem. I pass this message along unmodified exactly as it was
  413. received from SWE.
  414.  
  415.              AIDS "TROJAN" DISK UPDATE - DECEMBER 17, 1989
  416.  
  417. First, let us say for the record that everything reported so far by
  418. Mr. McAfee is correct. Our tests bear out the results he has obtained.
  419.  
  420. Having followed the messages and updates so far, and after conducting
  421. extensive tests, SWE has no doubt that there is more than one version
  422. of the "trojan" disk in circulation. In certain aspects, the two AIDS
  423. "trojan" disks we are testing act differently. One has a counter in it
  424. and one activates on the first re-boot!
  425.  
  426. SWE has been working 24 hours a day since we received a copies of the
  427. AIDS disks. Let me clarify that statement. We did not receive these in
  428. the mail directly from the "trojan" authors. We received our copies
  429. from two of our clients.
  430.  
  431. The suspicion that some form of encryption is being used is accurate.
  432. The versions of the disks we tested checks the following criteria:
  433.  
  434. 1) The version of DOS in use. Both major and minor numbers are used.
  435.    The major number would be 3 and the minor number would .30 in
  436.    DOS version 3.30.
  437.  
  438. 2) The file length, date and time stamp of certain files are checked.
  439.  
  440. 3) The amount of total disk space and free disk space are checked.
  441.  
  442. These three items are then combined and processed into the "initial"
  443. encryption key.
  444.  
  445. A form of public key encryption is then used to perform the actual
  446. encryption. This was determined by the brute force decryption method.
  447. SWE has several 80486's and access to a VAX and they were put to work
  448. decrypting the files. It was made easier by the fact that the original
  449. contents of the test disk were known. One nasty little trick the AIDS
  450. "trojan" uses is that after each file is encrypted the encryption key
  451. is modified slightly.
  452.  
  453. Fortunately, the authors did not use a long encryption key. Files
  454. encrypted using the public key protocol become harder to decipher as
  455. the length of the encryption key increases. Government studies
  456. indicate that a file encrypted using this protocol, with a 200 digit
  457. key could take as long as ten (10) years to decrypt, if you devoted a
  458. CRAY exclusively to the problem!
  459.  
  460. SWE first suspected and tested for the public key encryption method
  461. for several reasons. The major reason was the lack of access people
  462. outside of the United States would have to the DES encryption formula.
  463.  
  464. For those not aware, the U.S. Government guards the DES formula, and
  465. software which makes use of this formula may not be exported out of
  466. the United States. Should it turn out that the DES formula was also
  467. used, the authors of the AIDS "trojan", could possibly be prosecuted
  468. under United States statutes pertaining to national security.
  469.  
  470. The second reason deals with the DES encryption method. Students of
  471. cryptology are well aware that the DES formula has been considered
  472. vulnerable for some time now. It is also a well know fact that DES
  473. specific processors have been produced, which make "cracking" a DES
  474. encrypted file much easier than the public key method. The DES method
  475. also limits to a greater degree the length of the encryption key.
  476.  
  477. Combining these two reasons along with the extraordinary expense the
  478. authors of the AIDS "trojan" went to, we guessed that they would also
  479. use a "first class" encryption method.
  480.  
  481. It also makes sense from another point of view. Since the "trojan"
  482. authors have gone to great care and expense, it seems prudent they
  483. would not want to use an encryption method which could easily be
  484. copied and distributed as a "master" cure all. Public key encryption
  485. is perfect in this regard. Many different versions of DOS are now
  486. in use, and depending upon the version of DOS in use and other factors
  487. the "trojan" checks for, the decryption methods which must be used
  488. will vary for different "trashed" disks.
  489.  
  490. This is not to say that other copies of the AIDS "trojan" will use
  491. this same encryption method, or create the encryption keys in the same
  492. manner. That is yet to be determined!
  493.  
  494. Once we were able to decipher one file, it was a relatively simple
  495. matter to decipher the rest. We have been able to completely restore a
  496. disk trashed by the version of AIDS "trojan".
  497.  
  498. SWE went about this research in a different manner than everyone else.
  499. We have not reverse engineered the "trojans" to any great extent, nor
  500. do we plan to do so. This is best left to Mr. McAfee and the other
  501. experts.
  502.  
  503. It is our considered opinion that Quick Basic along with several
  504. machine language modules were used to develop these "trojans". Reverse
  505. engineering a Quick Basic program along with the libraries included at
  506. link time produces huge amounts of code.
  507.  
  508. As far as releasing the "fixes", not enough is yet known by SWE to be
  509. able to provide a substantial program. We need more information about
  510. how many versions of the AIDS "trojan" are in circulation, as well as
  511. samples of these for study. SWE has no intention of publicly releasing
  512. a "fix" at this time or in the future.
  513.  
  514. It is our opinion that the best course SWE can take is to share our
  515. knowledge with others who have the knowledge and experience to take
  516. what we learned and investigate further.
  517.  
  518. To that end, SWE is willing to forget past differences with a specific
  519. company and share our files as well as the "fixes" and our knowledge
  520. on cryptology with them, for the good of the computing community. If
  521. they are interested, leave a public message on your BBS in the virus
  522. SIG. Some type of agreement can be reached if you are interested in
  523. doing so!
  524.  
  525. The opinions and statements expressed herein are those of SWE. These
  526. are based on research done on two copies of the AIDS "trojan" disk we
  527. have tested. Findings produced by other people working on this problem
  528. may agree, vary, or contradict our findings. So be it! SWE is not
  529. competing with anyone else working on this problem. We present this
  530. information solely to acquaint the computing community on the details
  531. we have discovered so far.
  532.  
  533. The information contained in the message above was supplied by the
  534. people at SWE, who have postponed their vacation closing to conduct
  535. research into the AIDS problem.
  536.  
  537. It is my opinion that everyone should band together on this one! The
  538. AIDS disk seems to be very complicated and it will probably take the
  539. combined knowledge of everyone working on this disaster to come up
  540. with a solution.
  541.  
  542. ------------------------------
  543.  
  544. End of VIRUS-L Digest
  545. *********************
  546. Downloaded From P-80 International Information Systems 304-744-2253
  547.