home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.34 < prev    next >
Text File  |  1995-01-03  |  10KB  |  237 lines
  1. VIRUS-L Digest             Wednesday, 1 Feb 1989        Volume 2 : Issue 34
  2.  
  3. Today's Topics:
  4. Re: anti-virus viruses
  5. Request for info on possible Mac virus.
  6. Re: Origin of the term `virus'
  7. Re: "FRG Nazi virus" posting / apology-correction
  8. Re: MacWrite bombed by a virus? (from this issue)
  9. Malicious program classification
  10. MIS "Virus Briefing"
  11. FSP_15 (IBM Anti-Viral Software) bug??? (PC)
  12.  
  13. ---------------------------------------------------------------------------
  14.  
  15. Date:         Wed, 1 Feb 1989 09:28 EST
  16. From:         Bruce Ide <xd2w@PURCCVM.BITNET>
  17. Subject:      Re: anti-virus viruses
  18.  
  19.      One of these days I'm going to have to dig up my research
  20. paper...  Sorry guys, Not yet. Yo! Commander Spock! That's a scary
  21. idea you've come up with. Lets not try to spread that one about in
  22. case no one has thought of it, ok? Now then, it seems to me that the
  23. hardest bit of writing a virus is getting the damn thing to spread. So
  24. if you can kill its spread abilities, you've killed the virus. But
  25. what if we took a "live" virus, mangled its spread abilities a bit,
  26. and then let the thing go with "instructions" to seek other viruses
  27. like itself and copy it's spread abilities over their own. Then at a
  28. certian date, have the lot of them "kill" themselves? You'd still have
  29. a lot of copies out there until the date, maybe doing damage, but if
  30. there was no other way to pull it off, you'd have a population
  31. control.
  32.                                       -Grey Fox
  33.  
  34. [Ed. The idea of using anti-virus viruses (somewhat of an oxymoron)
  35. was kicked around some time back; the more-or-less unanimous feeling
  36. of VIRUS-L readers at the time was that it is a very bad idea.  Aside
  37. from setting a bad precedent, it has the distinct possibility of
  38. backfiring if someone alters your anti-virus virus to do something
  39. that you hadn't intended for it to do.  Comments?]
  40.  
  41. ------------------------------
  42.  
  43. Date:     Wed,  1 Feb 89 10:37 EST
  44. From:     Cincinnati Bengals. <KUMMER@XAVIER.BITNET>
  45. Subject:  Request for info on possible Mac virus.
  46.  
  47.      On a Macintosh we've got here in the Academic computing center at
  48. Xavier, we've got Macwrite on a hard-drive.  Whenever I've tried to
  49. startup Macwrite, I get a system error with the ID of 02.  I remember
  50. reading in one of the recent digests that there apparently was a virus
  51. that caused this to happen.  Unfortunately, I deleted those messages
  52. from my account concerning that topic.  Could anyone please tell me if
  53. this is true, and if so, what can be done about it?
  54.  
  55. Thanks,
  56.  
  57. Tom Kummer
  58.  
  59. Acknowledge to:  KUMMER@XAVIER.BITNET
  60.  
  61. [Ed. See Joe McMahon's reply later in this issue.]
  62.  
  63. ------------------------------
  64.  
  65. Date: Wed, 01 Feb 89 08:32:09 -0800
  66. From: James M Galvin <galvin@TWG.COM>
  67. Subject: Re: Origin of the term `virus'
  68.  
  69. > I remember 8 years ago coming across the term `worm' for the first
  70. > time: it was a program (developed at Xerox, I believe) that soaked up
  71. > spare cpu cycles on networked machines to perform some lengthy,
  72. > non-critical task (disk defragmentation or computing pi); there was no
  73. > derogatory connotation.
  74.  
  75. See Communications of the ACM, March 1982, v25 n3, 'The "Worm"
  76. Programs--- Early Experience with a Distributed Computation'.
  77. Interestingly, the article is immediately followed by "Self-Assessment
  78. Procedure IX", a self-assessment procedure dealing with ethics in
  79. computing.
  80.  
  81. Jim
  82.  
  83. ------------------------------
  84.  
  85. From: J.D. Abolins <OJA@NCCIBM1.BITNET>
  86. Date: 1 Feb 89
  87. Subject: Re: "FRG Nazi virus" posting / apology-correction
  88.  
  89. Ken's addition to my posting about the relevance of another posting
  90. was appropriate. I rechecked the messages and found that the original
  91. posting was citing another writer's usage of the term virus.  My
  92. apologies about the light flame.
  93.  
  94. Also for any offline e-mail, my BITNET address is OJA @ NCCIBM1.
  95. (Since everything is entered manually at the keyboards, I sometimes
  96. slip up.)
  97.  
  98. ------------------------------
  99.  
  100. Date:         Wed, 01 Feb 89 11:28:03 EST
  101. From:         Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
  102. Subject:      Re: MacWrite bombed by a virus? (from this issue)
  103.  
  104. Well, you could possibly have any number of problems, not all of them
  105. virus-related.
  106.  
  107. 1) Your hard disk is getting an unreported read error on MacWrite.
  108.    Duplicate the file and see if the copy will run OK. If so, run
  109.    your hard disk's diagnostics and see if they come out OK. If not,
  110.    call your dealer and take the drive in for service.
  111. 2) Your copy of MacWrite is bad. Replace it from a LOCKED, KNOWN-CLEAN
  112.    copy and try it again.
  113. 3) Your System file is bad. Replace it in the same way.
  114. 4) You have an INIT or CDEV in the System folder which does not let
  115.    MacWrite initialize properly. Move all of your INIT and CDEV files
  116.    into a folder inside the System folder called "Disabled INITs" or
  117.    something like that. If MacWrite runs after you reboot, try taking
  118.    them out 1 at a time until MacWrite breaks again.
  119. 5) You have a known virus. Try running VirusDetective(tm) 2.0 against
  120.    your hard disk. You will want to create another boot disk by copying
  121.    a known-clean System to a blank disk and installing VirusDetective
  122.    there. If you find a known virus, run the proper disinfectant (if
  123.    one exists) to get rid of it. If it's the INIT 29 virus, VirusDetective
  124.    will report it, and can remove it from your non-application files.
  125.    You will have to restore your applications and System from known-clean
  126.    copies.
  127. 6) You have an unknown, new virus. Run Interferon 3.1 or Virus Rx 1.4
  128.    to look for possible infections. Then replace the possibly-infected
  129.    files from known-clean originals.
  130.  
  131. Please drop me a note directly if you get to step 5 without fixing the
  132. problem. Also, it would be interesting to know if any of the following
  133. things happen:
  134.  
  135. 1) Locked disks, when inserted, get the "This disk needs minor repairs"
  136.    dialog. If so, you could have the INIT 29 virus, which I think is
  137.    the one you are thinking about.
  138. 2) Printing of large documents fails at irregular intervals. This could
  139.    be several of the viruses, INIT 29, Scores, Hpat, or nVIR.
  140.  
  141.  --- Joe M.
  142.  
  143. ------------------------------
  144.  
  145. Date:         Wed, 01 Feb 89 12:31:42 ECT
  146. From:         Ken Hoover <CONSP21@BINGVMA.BITNET>
  147. Subject:      Malicious program classification
  148.  
  149.   Ken van Wyk has a very good point.  The distinction between
  150. Error-exploiting, Feature-exploiting, and Hardware-exploiting programs
  151. is an important one.
  152.  
  153.   A suggestion for virus classification:
  154.  
  155.   A kind of "standard notation" should be agreed apon which would tell
  156. one the type of program and the way it operates in a single sequence
  157. of characters.  The basis for such a system could be three kinds of
  158. programs - Trojans, worms, and viruses -- standard definitions,
  159. nothing new here; and three methods of activity - hardware, error, and
  160. feature exploitation, as Ken suggested.
  161.  
  162.   If we use a three-letter code for each major type:
  163.  
  164.       VIR   - Virus
  165.       WOR   - Worm
  166.       TRO   - Trojan Horse program
  167.  
  168.   And a single character for the mechanism used:
  169.  
  170.       e     - error-exploiting
  171.       f     - feature-exploiting
  172.       h     - hardware-exploiting
  173.  
  174.   The combination <fVIR> would say a lot more than just "well, it
  175. propogates itself through its use of the XXX operating system".  Most
  176. MS-DOS programs fall into the fVIR or hTRO categories, and
  177. CHRISTMA.EXEC would be a fWOR (as far as I know) under this notation.
  178.  
  179.   eWOR would quickly describe the RTM worm.
  180.  
  181.   This is only a suggested format for such a classification.
  182. Unfortunately, the nVIR macintosh virus kind of throws a wrench into
  183. the works, and I've left out other aspects that could be covered, such
  184. as timed-dormancy, relative nastiness, the type of systems affected,
  185. etc.  This could, however, be a starting point.
  186.  
  187.                                              - Ken Hoover
  188.  
  189. UG Consultant
  190. SUNY-Binghamton
  191. Binghamton, NY USA.
  192. Disclaimer: The opinions are my own.  I don't get paid enough to
  193.             represent my employers'.
  194.  
  195. ------------------------------
  196.  
  197. Date:     Wed,  1 Feb 89 08:43 MDT
  198. From:     "David D. Grisham" <DAVE@UNMB.BITNET>
  199. Subject:  MIS "Virus Briefing"
  200.  
  201. Has anyone else planned to attend any of the "virus Briefings" given
  202. by MIS, with Dr. Cohen?  I'm interested in going to the Dallas
  203. presentation if there will be others in the field who can share
  204. experiences and knowledge.  I doubt that a one day briefing will be
  205. that beneficial on it's own.
  206.  
  207. dave
  208. *-----------------------------------------------------------------------*
  209. | Dave  Grisham                                                         |
  210. | Senior Staff Consultant/Virus Security        Phone (505) 277-8148    |
  211. | Information Resource Center                                           |
  212. | Computer & Information Resources & Technology                         |
  213. | University of New Mexico                      USENET DAVE@UNMA.UNM.EDU|
  214. | Albuquerque, New Mexico  87131                BITNET DAVE@UNMB        |
  215. *-----------------------------------------------------------------------*
  216.  
  217. ------------------------------
  218.  
  219. Date:     WED FEB 01, 1989 15.21.05 EST
  220. From:     "David A. Bader" <DAB3@LEHIGH.BITNET>
  221. Subject:  FSP_15 (IBM Anti-Viral Software) bug??? (PC)
  222.  
  223.  I have been using Flu_Shot 1.5 (by Ross Greenberg) and am a lot
  224. happier with this version than the previous, 1.4, because the new
  225. version doesn't check CMOS ram.  However, I have noticed that using
  226. DOS 3.3's PRINT command flags as a TSR by FSP_15 and hangs my 286
  227. clone.  Anyone else use FSP_15????
  228.  
  229. - -David Bader
  230.  DAB3@LEHIGH
  231.  
  232. ------------------------------
  233.  
  234. End of VIRUS-L Digest
  235. *********************
  236. Downloaded From P-80 International Information Systems 304-744-2253
  237.