home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.78 < prev    next >
Text File  |  1995-01-03  |  6KB  |  142 lines
  1. VIRUS-L Digest              Friday, 31 Mar 1989         Volume 2 : Issue 78
  2.  
  3. Today's Topics:
  4. Disinfectant 1.0 (Mac, was Re: Disinfect 1.0)
  5. 4PLAY EXEC (IBM VM/CMS Trojan horse)
  6. Macintosh Virus AIDS nVIR
  7.  
  8. ---------------------------------------------------------------------------
  9.  
  10. Date: 29 Mar 89 12:12 +0200
  11. From: Danny Schwendener <macman%ifi.ethz.ch@RELAY.CS.NET>
  12. Subject: Disinfectant 1.0 (Mac, was Re: Disinfect 1.0)
  13.  
  14. >A colleague just showed me a program, called Disinfect (version 1.0)
  15. >that was announced in INFO-MAC.  It claims to do quite a bit,
  16. >including detect most major Mac viruses (Scores, ANTI, AIDS, Init 29,
  17. >MacMag, etc.), and it is even supposed to be able to remove most
  18. >(all?) of the above.
  19. >Anyone Mac people out there have any more info on this?
  20.  
  21. Disinfectant detects and removes all the currently known code-based
  22. viruses (there are script-based viruses, like the Hypercard Dukakis
  23. virus, which won't be touched by this program). It also removes
  24. multiple infections, which is an innovation in the virus fighting
  25. world.  The user interface is simple, the on-line documentation
  26. extensive and accurate. And, furthermore, it is free. Its author is
  27. John Norstad (jln@nuacc.bitnet).
  28.  
  29. It has a minor problem in conjunction with servers: moving or deleting
  30. files on the server while Disinfectant is browsing through the
  31. directories may cause the program to skip some files. This problem is
  32. common to most disk browsers. Nevertheless, the author is working on
  33. the problem. The current solution to the problem is to disconnect or
  34. write-protect the server for other users while Disinfectant is
  35. running.
  36.  
  37. The current version is configured for following viruses: MacMag (aka
  38. Peace, Drew, FreeHand, etc.), Scores, nVIR A and B as well as its two
  39. name mutations Hpat and AIDS, INIT29 and ANTI. If you have the founded
  40. impression that a virus is missing in the list, drop me or John a mail.
  41. The 'Sneak' virus has only been rumored. No one who claimed having
  42. seen it has been able to found his claims.
  43.  
  44. - -- Danny
  45. +-----------------------------------------------------------------------+
  46. | Mail    :  Danny Schwendener, ETH Macintosh Support                   |
  47. |            Swiss Federal Institute of Technology, CH-8092 Zuerich     |
  48. | Bitnet  :  macman@czheth5a      UUCP   :   {cernvax,mcvax}ethz!macman |
  49. | Internet:  macman@ifi.ethz.ch   Voice  :   yodel three times          |
  50. +-----------------------------------------------------------------------+
  51.  
  52. ------------------------------
  53.  
  54. Date: 30 March 1989 16:01:47 CST
  55. From: Mark S. Zinzow   <MARKZ@UIUCVMD>
  56. Subject:  4PLAY EXEC (IBM VM/CMS Trojan horse)
  57.  
  58. Another Trojan EXEC!
  59.  
  60. Original-Date:         Thu, 30 Mar 89 10:37:50 EST
  61. Original-Sender:       BITNIC TECHREP List <TECHREP@BITNIC>
  62. Original-Subject:      Security situation on network
  63.  
  64.  
  65.             IMPROPER EXEC with UNETHICAL Embedded CODE
  66.           Causes Possible SECURITY Situation on Network
  67.  
  68. An EXEC that contains questionable code has been discovered on the
  69. network--the EXEC is a sexually oriented game called "4PLAY" which
  70. apparently has existed for 18 months.
  71.  
  72. Embedded within the code are commands that record all console activity
  73. which is then collected and sent to a specific network userid.  This is
  74. done without the knowledge or consent of the person activating this code
  75. (that is, playing the game).  This presents an obvious intrusion of
  76. privacy and also a "security hole".
  77.  
  78. The security problem arises in that the EXEC does not close the
  79. CONSOLE.  (If it did, the user would receive a message allowing her or
  80. him to to detect the recording of information entered.) The result is
  81. that console activity continues to be recorded after the completion of
  82. the game and UNTIL the user actually LOGs off the account.
  83. Consequently, the unsuspecting user may be transmitting other data as
  84. well, that is, any confidential data that the console processes in
  85. line mode will be recorded, possibly compromising security: passwords
  86. could be transmitted.
  87.  
  88. When the user signs off the userid accessing this EXEC, the capturing
  89. of all console activity ceases.
  90.  
  91. THE USE OF COMPUTER NETWORKS TO OBTAIN INFORMATION WITHOUT THE PRIOR
  92. KNOWLEDGE AND CONSENT OF THE USER IS UNETHICAL.
  93.  
  94. THE USE OF BITNET FOR TRANSMITTING SUCH GAMES AR THIS IS NOT WITHIN
  95. BITNET's MISSION TO ENHANCE EDUCATION AND RESEARCH.
  96.  
  97.  
  98. If you are aware that this software exists on your system, the BITNIC
  99. encourages you to contact the persons responsible for your system and
  100. alert them to the situation and the need for removal of this software.
  101.  
  102. The following action to curtail such activity, taken by the node that
  103. identified the problem, may be helpful to you in guarding against such
  104. network misuse:
  105.  
  106. Immediately--remove the offending software and warn users.
  107. Long term----use a security system (if you have one) to permit only
  108. authorized id's to send spool data or files beyond your node.
  109.  
  110. ------------------------------
  111.  
  112. Date:         Fri, 31 Mar 89 13:40:46 MET+0100
  113. Sender:       Virus Alert List <VALERT-L@IBM1.CC.Lehigh.Edu>
  114. From:         ACMJOJO@HUTRUU0.BITNET
  115. Subject:      Macintosh Virus AIDS nVIR
  116.  
  117. AIDS Warning
  118.  
  119. Macintosh Virus.
  120. AIDS spreads using applications and system.
  121. nVIR clone !!!!!
  122.  
  123. I do not know, if someone reported this virus already.  Some one
  124. changed all ASCCI strings 'nVIR' to 'AIDS'.  So the AIDS virus is
  125. nVIR. Fast way to get rid of the virus is the following.
  126.  
  127. Get a copy of ANTIPAN, and a file editor, SUM, MacTools or FEdit,
  128. change all nVIR strings in ANTIPAN to AIDS, and your problem is
  129. solved. If the resource 'CODE' id 0 is locked or protected, the
  130. ANTIPAN program does not remove the virus. Unlock or unprotect the
  131. resource using ResEdit
  132.  
  133. Jo van Bilsen
  134. ACCU Utrecht Nederland (Holland)
  135. ACMJOJO@HUTRUU0
  136.  
  137. ------------------------------
  138.  
  139. End of VIRUS-L Digest
  140. *********************
  141. Downloaded From P-80 International Information Systems 304-744-2253
  142.