home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / misc / v05i019.txt < prev    next >
Internet Message Format  |  1992-09-27  |  26KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V5 #19
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Monday,  3 Feb 1992    Volume 5 : Issue 19
  9.  
  10. Today's Topics:
  11.  
  12. Anti-virus Product Info (PC)
  13. Re: New virus????? (PC)
  14. Help: 1193 virus? (PC)
  15. Re: Total memory available to DOS less than 655360 (PC)
  16. Michelangelo Virus in Florida too! (PC)
  17. Re: michaelangelo virus & HD's (PC)
  18. Maltese Amoeba / fao McAffe Associates (PC)
  19. Ohio Virus? (PC)
  20. Re: Pentagon and Keypress virus found (PC)
  21. Re: Plastique Virus... (PC)
  22. Scramble (PC)
  23. re: Stoned (PC)
  24. Re: very strange Mac behavior (Mac)
  25. Re: very strange Mac behavior (Mac)
  26. "Commercial safety" myth
  27. Re: Iraqi Virus Question?
  28. McAfee virus scanner Windows version at garbo.uwasa.fi (PC)
  29. IBM Anti-Virus Product 2.1.9 (PC)
  30.  
  31. VIRUS-L is a moderated, digested mail forum for discussing computer
  32. virus issues; comp.virus is a non-digested Usenet counterpart.
  33. Discussions are not limited to any one hardware/software platform -
  34. diversity is welcomed.  Contributions should be relevant, concise,
  35. polite, etc.  (The complete set of posting guidelines is available by
  36. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
  37. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
  38. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
  39. Information on accessing anti-virus, documentation, and back-issue
  40. archives is distributed periodically on the list.  Administrative mail
  41. (comments, suggestions, and so forth) should be sent to me at:
  42. krvw@CERT.SEI.CMU.EDU.
  43.  
  44.    Ken van Wyk
  45.  
  46. ----------------------------------------------------------------------
  47.  
  48. Date:    Wed, 29 Jan 92 10:22:33 -0500
  49. From:    TFW103@psuvm.psu.edu
  50. Subject: Anti-virus Product Info (PC)
  51.  
  52. This may be FAQ, but is there any good references as to which
  53. anti-virus (SCANv85,VIRex, Central Point, etc) are the best for the
  54. money or more effective than others?  After just reading postings for
  55. this group for a few days I am disturbed how often I see the a certain
  56. virus was not detected by Product X. Does anyone have any personal
  57. opinions on this to give some help and understanding to a novice?
  58.   Thanks!
  59.  
  60. Tom Woloszyn
  61. tfw103@psuvm.psu.edu
  62.  
  63. ------------------------------
  64.  
  65. Date:    29 Jan 92 19:16:57 +0000
  66. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  67. Subject: Re: New virus????? (PC)
  68.  
  69. diaz@leland.stanford.edu (Kathy Diaz) writes:
  70.  
  71. > I have a question it seems that I have come across some sort of virus.
  72. > My Dos Machine has in every directory a file called aux. It seems also
  73.  
  74. I don't know how exactly have you managed to "find" this "file". On
  75. the previous DOS versions it usually appeared when you execute
  76. Norton's FileFind and look for aux*.*. Unfortunately, I'm using MS-DOS
  77. 5.0 right now, so I can't confirm this.
  78.  
  79. BTW, regardless what you do, use the same method to look for the
  80. "files" CON, COM1, COM2, LPT1, etc... You'll "find" them in all
  81. directories as well. Don't worry, these are just reserved names for
  82. the DOS device drivers. In many ways they behave as files. If you have
  83. any other installed device drivers, you'll be able to "find" them as
  84. well.
  85.  
  86. Just ignore them and don't touch them; everything will be OK. BTW, the
  87. "length" has nothing to do with the real size of the driver in memory.
  88. Ignore this information as well.
  89.  
  90. Hope the above helps.
  91.  
  92. Regards,
  93. Vesselin
  94. - -- 
  95. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  96. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  97. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  98.  
  99. ------------------------------
  100.  
  101. Date:    Wed, 29 Jan 92 19:31:54 +0000
  102. From:    mark@walt.CS.MsState.Edu (Mark Rauschkolb)
  103. Subject: Help: 1193 virus? (PC)
  104.  
  105. I was just asked if I knew anything about the 1193 virus.  I can't
  106. find a reference to it anywhere.  Any clues?
  107.  
  108. Mark Rauschkolb
  109. mark@cs.msstate.edu
  110.  
  111. ------------------------------
  112.  
  113. Date:    29 Jan 92 15:59:49 -0600
  114. From:    hannuk@cs.tamu.edu (Hannu H Kari)
  115. Subject: Re: Total memory available to DOS less than 655360 (PC)
  116.  
  117. UBAESQ01@EBCESCA1.BITNET (Josep Fortiana Gregori) writes:
  118.  
  119. >    After reading the note by Padgett Peterson about the
  120. >    Michelangelo virus, I checked my machines and found
  121. >    that one of them (a 486/33MHz clone AT with 8M ram)
  122. >    reports total memory = 654336 = 655360 - 1024 when
  123. >    booted from drive C: and 655360 when booted from A:
  124. >
  125. >    No other symptom of infection can be observed. (and
  126. >    SCAN '85 reports "no viruses found")
  127. >
  128. >    Does someone know if there is a possible cause of this
  129. >    behaviour, other than infection?
  130.  
  131.     One possible explanation for missing 1 kB area is that
  132.     you have e.g. SCSI disk controller that needs some 
  133.     RAM work space. The memory area is stolen from 
  134.     BIOS by setting smaller number into location of 
  135.     memory that tells the size of the memory during the
  136.     boot time of the PC. However, if you boot from the 
  137.     floppy and the size is different, then that is not the
  138.     case.
  139.  
  140.     Another explanation is that some BIOS'es take some 
  141.     memory for example for IDE/ST-506 disk type information.
  142.     My AMI BIOS is an example for this. This memory is
  143.     used for storing user defineable disk types (i.e.
  144.     if the BIOS doesn't know the disk type, you can tell
  145.     the number of head, sectors and tracks manually). 
  146.     But also in this case, it should not depend from where 
  147.     you boot.
  148.  
  149.     Have you tried to boot the PC from HD with no CONFIG.SYS and
  150.     AUTOEXEC.BAT files. Maybe you have some strange 
  151.     drivers? Is the operating system version in floppy and HD
  152.     the same?
  153.  
  154. HHK
  155. Howdy from Texas
  156.  
  157. ------------------------------
  158.  
  159. Date:    29 Jan 92 23:40:30 +0000
  160. From:    jbs@reef.cis.ufl.edu (Joe Schofield)
  161. Subject: Michelangelo Virus in Florida too! (PC)
  162.  
  163. tong@ee.ubc.ca (ONG TONY TUNG L) writes:
  164.  
  165. >   We've been hit here at the University of B.C., if anybody is
  166. >   keeping track.
  167.  
  168. Well, if there is someone keeping track, at the University of Florida
  169. approx.  half of 30 computers tested (SCANV85) had the Michelangelo
  170. Virus.  They seemed to be successfully cleaned by CLEANV85.
  171.  
  172. HOWEVER, I found the Michealangelo Virus on two of the four 5 1/4"
  173. disks in my posession.  The other two had a stoned related virus.
  174. None of my fifteen frequently used, unwrite-protected 3 1/2" disks had
  175. any viruses.
  176.  
  177. One of the two 5 1/4" disks gave strange "cleaning results".  First, I
  178. cleaned for the [Mich] virus.  CLEANV85 replied "virus removed".
  179. Second, I re-scaned the disk.  SCANV85 replied "found stoned [Stoned]
  180. related virus"
  181.  
  182. Third, I cleaned it for the [Stoned] virus.  CLEANV85 replied "virus
  183. removed" Fourth, I re-scanned the disk.  SCANV85 replied "found
  184. Michealangelo virus" Finally, I cleaned it for the [Mich] virus again,
  185. but CLEANV85 replied something like "virus could not be removed".
  186.  
  187. Has anyone else had similar results?
  188.  
  189. It would be interesting to have a list of places infected by the
  190. Michealangelo virus.  Since I don't normally read this group, I don't
  191. know if one is usually posted.  Anyway, if anyone reading this message
  192. has been infected by the Michealangelo virus, email me and tell me
  193. about it.  (I have no solutions on how to kill it (besides SCAN), but
  194. I would be interested in finding out how wide spread this virus
  195. is--especially since it was on the 6 o'clock news last night)
  196.  
  197. (The virus testing softward CLEANV85 and SCANV85 used are both
  198. licenced by the University of Florida.)
  199.  
  200. - --
  201.       -----------------------------------------------------------------------
  202.     /  jbs@reef.cis.ufl.edu  /  The Golden Rule                            /
  203.   /                        /  "Those who have the gold make the rules."  /
  204.  -----------------------------------------------------------------------
  205.  
  206. ------------------------------
  207.  
  208. Date:    Thu, 30 Jan 92 00:37:54 +0000
  209. From:    NEIL@icarus.curtin.edu.au
  210. Subject: Re: michaelangelo virus & HD's (PC)
  211.  
  212. homan@envmsa.eas.asu.edu (Thomas H. Homan (aka Bit Bucket Bandit)) writes:
  213.  
  214. >Is there some other program for removing the michaelangelo virus from
  215. >a stricken hard drive....I have a Seagate 3120A (IDE) drive that I
  216. >cannot remove this virus from.  Here's what I have tried so far:
  217.  
  218. >1 - Fprot 2.01 - nope
  219. >2 - Scan V80 - nope
  220. >3 - Scan v84 - nada
  221. >4 - Repartition drive as 40m and format - nope
  222. >5 - Return partition size to 100m and format - still there
  223.  
  224. >what can be done?
  225.  
  226. >any and all thoughts are appreciated.
  227.  
  228. >tom
  229.  
  230. Try the old mdisk.  It works ok on my ide drive.
  231.  
  232. good luck
  233.                                                              Neil Raymond
  234.  
  235. ______________________________________________________________________________
  236. IMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM;
  237. : Internet: NEIL@ICARUS.curtin.edu.au                                        :
  238. HMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM<
  239.  
  240. ------------------------------
  241.  
  242. Date:    Tue, 28 Jan 92 20:13:32 +0000
  243. From:    Chris Wells <cjw1@ukc.ac.uk>
  244. Subject: Maltese Amoeba / fao McAffe Associates (PC)
  245.  
  246. Hi all.
  247.  
  248. No peace for the wicked! Two days after finding the Green Caterpillar
  249. virus, around, a more nastier virus has been found. This virus is the
  250. Maltese Amoeba, (according to Bate's Viscan), or the Irish virus
  251. (according to Viruscan). When I ran an infected file whilst running
  252. "FluShot", the computer just hung. I don't think any infection took
  253. place.  Curiously enough, scan ALSO reported that the Brain/Asher
  254. virus was active in memory. This message only appeared once, and I
  255. assume it was a false alarm.
  256.  
  257. Has any one got any more information about this virus?
  258.  
  259. (Concerning McAffe).  I recently was "testing" the Jerusalem virus,
  260. and I noticed that Scan failed to detect it under certain
  261. circumstances. (I won't elaborate here, to avoid giving the 'worms'
  262. ideas). Version 85 was used.  If McAffe associates would post their
  263. e-mail address, I'll send some private mail.
  264.  
  265. Many thanks,
  266.  
  267. Chris
  268.  
  269. ------------------------------
  270.  
  271. Date:    Thu, 30 Jan 92 14:08:27 +0700
  272. From:    Nigel Tan <MED40009@NUSVM.BITNET>
  273. Subject: Ohio Virus? (PC)
  274.  
  275. This is my 1st posting... excuse me for any foul-ups!
  276.  
  277. Last weekend, I encountered a strange situation using McAfee's Scan84.
  278. When scanning a disk, it said : [Stoned] related virus found.  And on
  279. the next line, it said: 3 viruses found.  Well, I cleaned off the
  280. [Stoned] with Clean84, then re-scanned the disk.  It then said: [Ohio]
  281. virus found in boot sector.  When I tried to use Clean84 to clean it
  282. off, it said: [Ohio] virus cannot be safely removed.  So I formatted
  283. the disk.  The funny thing was I later checked Virlist84, and could
  284. not find any mention of the [Ohio] virus.  3 questions:
  285.   1. is there an Ohio virus or not?  Was it accidentally left out in Virlist84?
  286.   2. what is the 3rd virus on the diskette?  (it said 3 viruses initially)
  287.   3. can boot sector viruses be safely removed with clean84?
  288. Thank you!
  289.  
  290. ------------------------------
  291.  
  292. Date:    30 Jan 92 10:05:39 +0000
  293. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  294. Subject: Re: Pentagon and Keypress virus found (PC)
  295.  
  296. NVCARLE@VCCSCENT.BITNET (Eric Carlson) writes:
  297.  
  298. > Pentagon and Keypress viruses were found on floppys in one of our labs.
  299.  
  300. Pentagon?! You said Pentagon? Not possible, must be a false positive.
  301. This virus does not exist in live form - nobody has succeeded to make
  302. it replicate. It -must- be a false positive.
  303.  
  304. > Pentagon virus was NOT FOUND by SCANv84, but it was found with SCANv69.
  305.  
  306. This explains the problem. Scan version 69 is a pretty old thing and
  307. certainly contains bugs. FYI, the latest official version I know about
  308. is 85, but I have heard about something, called Scan version 86-beta
  309. to float around. Could we get a comment on this from McAfee
  310. Associates?
  311.  
  312. Regards,
  313. Vesselin
  314. - -- 
  315. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  316. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  317. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  318.  
  319. ------------------------------
  320.  
  321. Date:    30 Jan 92 10:17:06 +0000
  322. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  323. Subject: Re: Plastique Virus... (PC)
  324.  
  325. VEYIS@TRERUN.BITNET (Veyis MUEZZINOGLU) writes:
  326.  
  327. > Hi everybody!
  328.  
  329. Hi!
  330.  
  331. > We have trouble with a virus whose name is PLASTIQUE.
  332.  
  333. The real trouble is that there are about at least 10 different virus
  334. variants, which are called by this name... :-(
  335.  
  336. > I think it infect both .EXE and .COM files and place itself to FAT.
  337.  
  338. Naw, doesn't put itself in the FAT. It infects COM & EXE files and the
  339. boot sector.
  340.  
  341. > Once a file infected, then it does not working and operating
  342. > system (or virus itself) gives
  343. > "Sector not found..."
  344. > or
  345. > "File allocation table error on drive...."
  346.  
  347. Hmm, to my knowledge, most of the variants of this virus play a
  348. melody. If you press Ctrl-Alt-Del while the melody is being played,
  349. some of the variants will overwrite the beginning of the hard disk.
  350. But then the damage will be much more serious, not just slight FAT
  351. corruption or bad sectors...
  352.  
  353. > Also, it doesn't possible to copy it.
  354.  
  355. To copy -what-? The virus? If it cannot copy itself, it won't spread
  356. and therefore is no virus. Or do you mean the bad sector? Then it
  357. probably means that the sector is indeed bad, and this has nothing to
  358. do with the virus... BTW, how did you identify the virus? What program
  359. reported the name Plastique? McAfee's SCAN?
  360.  
  361. > After this information, does anybody know where can we get
  362. > an antivirus program which remove this virus from our PCs.
  363.  
  364. At least the following programs are able to remove the virus: Fprot
  365. 2.02, Dr. Solomon's Anti-Virus ToolKit, McAfee's CLEAN 85.
  366.  
  367. Regards,
  368. Vesselin
  369. - -- 
  370. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  371. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  372. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  373.  
  374. ------------------------------
  375.  
  376. Date:    Thu, 30 Jan 92 10:08:00 -0500
  377. From:    "Jeffrey S. Payne" <JSP105@PSUVM.BITNET>
  378. Subject: Scramble (PC)
  379.  
  380. We have had an outbreak of what appears to be some sort of trojan,
  381. that has been described to me as a program called scramble.  This
  382. program renames the first part of every .com file on the hard drive to
  383. a random 8 character string.
  384.  
  385. I would like some sort of confirmation that this is a trojan or just a
  386. malicous program as opposed to a virus.  Also, is there any known way
  387. to defend against it?
  388.  
  389. we are currently running f-prot 2 on IBM PS/2 computers.
  390.  
  391. Jeffrey S. Payne        JSP105@PSUVM(.psu.edu)
  392. Penn State Ogontz Campus / Woodland Computer Center
  393.  
  394. "Any significantly advanced technology is indistinguishable from magic"
  395.     -A.C. Clarke,Murphy,Jean-Luc Picard, and other significant intellects
  396.  
  397. ------------------------------
  398.  
  399. Date:    30 Jan 92 11:22:54 -0500
  400. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  401. Subject: re: Stoned (PC)
  402.  
  403. >From:    "V70D::HUNTRESS" <HUNTRESS%V70D.decnet@npt.nusc.navy.mil>
  404. >  ...      I have no idea how long it had been resident, and since I
  405. >never saw it trigger (never got the message "You have been stoned"), I
  406. >started to wonder what causes it to trigger.  A date?  A number of
  407. >boots?  Random?
  408.  
  409. It's basically random (about one boot in eight boots) BUT it only
  410. happens when the system is booted from an infected *floppy*.  Booting
  411. from an infected hard disk never displays the message.  That's
  412. probably why you didn't see it, and why people in general can have the
  413. virus for a long time without suspecting...
  414.  
  415. DC
  416.  
  417. ------------------------------
  418.  
  419. Date:    29 Jan 92 15:42:26 +0000
  420. From:    peter@sysnext.library.upenn.edu (Peter C. Gorman)
  421. Subject: Re: very strange Mac behavior (Mac)
  422.  
  423.  
  424. In article <0012.9201282044.AA25406@ubu.cert.sei.cmu.edu> I write:
  425.  
  426. > I've got a Mac IIsi, system 6.0.7, that's behaving very strangely:
  428. > - - When anyone tries to access the Page Setup or Print functions from
  429. > just about any application, Gatekeeper says that the application is
  430. > trying to violate res(system) privileges against the System -
  431. > RsrcMapEntry(DRVR2).
  432.  
  433. Thanks to all who replied.  It seems that older versions of Gatekeeper
  434. do not get along well with System 6.0.7.  Upgrading to GK 1.2.1 fixed
  435. everything.  Thanks again.
  436.  
  437. - ---
  438. Peter Gorman
  439. University of Pennsylvania
  440. Library Systems Office
  441. peter@sysnext.library.upenn.edu
  442.  
  443. ------------------------------
  444.  
  445. Date:    Wed, 29 Jan 92 13:48:00 -0500
  446. From:    "dholland@husc10.harvard.edu"@HUSC3.HARVARD.EDU
  447. Subject: Re: very strange Mac behavior (Mac)
  448.  
  449. The strange behavior you describe is, as far as I can tell, exactly
  450. the same as the strange Mac behavior I posted about around the
  451. beginning of January.  Same Gatekeeper alert, in particular, under
  452. similar circumstances.
  453.  
  454. Since the Mac I posted about has nothing particular in common with
  455. yours (it was a Classic, for starters) it sounds like it's time to
  456. raise the virus alarm after all.
  457.  
  458. - --
  459.    - David A. Holland            dholland@husc.harvard.edu
  460.  
  461.    *** "Hi! I'm a signature virus. Copy me into your .sig to join in!" ***
  462.  
  463. ------------------------------
  464.  
  465. Date:    Wed, 29 Jan 92 18:29:43 -0500
  466. From:    cowan@aqua.pc.ocunix.on.ca (Darin Cowan)
  467. Subject: "Commercial safety" myth
  468.  
  469. > Every major microcomputer operating system except CP/M has had at least
  470. > one instance of a major commercial software vendor distributing infected
  471. > programs or media.  They take precautions, of course, but apparently
  472. > still don't give virus checking a high enough priority.
  474. > Besides which, there are other possibilities for obtaining viral
  475. > infections from "commercial" sources.  Most commercial software is still
  476. > distributed on writable media.  Software retailers will often accept
  477. > "returned" software, re-wrap it (shrink wrapping is easy to do) and
  478. > resell it - often without checking for any incidental infection.
  479. > Hardware or system retailers are all too often selling infected systems
  480. > these days, not knowing or caring that they are doing so.
  481.  
  482. I have seen instances where vendors have distributed software on disks
  483. manufactured to not be writable (no notch on a 5.25", no tab in the
  484. 3.5") and STILL contain a virus that was picked up and put on the
  485. master during development.
  486.  
  487. Anybody who puts ANY software on a machine without checking it for
  488. viruses is assuming a risk.
  489.  
  490. Another of my favourite virus infection vehicles is the "infected
  491. backup"...  in my work I have seen incidents of reinfection due to
  492. failure to screen bckup disks/tapes when the virus was first
  493. discovered.
  494.  
  495. I have also encountered people with virus infections who were
  496. oblivious to it.  One user I asked "how long has your computer been
  497. saying 'you are now stoned'"?  He replied that it had done that since
  498. he had been there (over 2 years) and that it was "just some joke that
  499. someone put in my startup so I never bothered to take it out".  That
  500. cost us a lot of man hours scanning about 500 disks.
  501.  
  502. I guess that the key is not so much for a bunch of propeller heads
  503. (:-) to sit around and discuss that viruses exist with each other, but
  504. to educate the non-power user that there are dangers out there and
  505. those dangers are real.
  506.  
  507. ------------------------------
  508.  
  509. Date:    30 Jan 92 09:48:57 +0000
  510. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  511. Subject: Re: Iraqi Virus Question?
  512.  
  513. 379BMWMASQ@sacemnet.af.mil (379BMWMASQ) writes:
  514.  
  515. >  I have been watching in the list the message treads on the Iraqi printer
  516. > virus, and I have a question to pose to the group.
  517.  
  518. >     1. Postscript printers receive printouts in the form of Postscript
  519. >        Program Code, which is in turn run by the printer to printout
  520. >        the Page. Now if that Postscript printer is on a Network and
  521. >        is capable of sending information to the network, then could
  522. >        the printer CPU be programmed to access the well known and
  523. >        some not so well known security features of the network to
  524. >        plant code or overload the system with bogus traffic.
  525.  
  526. Well... There's no an easy answer to this. First, don't expect your
  527. laser printer to infect your PC this way. However, there are printers,
  528. which can be connected to a network as separate devices (not attached
  529. to any particular computer). These printers are quite intelligent and
  530. in fact are computers themselves. There's a very interesting
  531. discussion about this on comp.risks, I'm just wondering why nobody has
  532. forwarded the appropriate messages here. (Ken?) Such a networked
  533. printer can do a lot of things, probably log as an active computer, or
  534. impersonate one of the computers on the network, or even locate the
  535. computer which is usually used to boot the network and instruct it to
  536. write something on its disk.
  537.  
  538. Again, this does not hold for simple PCs, Novell LANs, or laser
  539. printers, but it is theoretically possible and while it's certainly
  540. not true that it has been used in the Gulf war, it poses a particular
  541. security problem, with which we'll have to deal in the future.
  542.  
  543. Unfortunately, my knowledge on networking is not enough to provide a
  544. more detailed information, sorry.
  545.  
  546. >  I know that this requires the information on the type of network and
  547. > the types of computing platforms in use, but seems to me that they
  548.  
  549. Exactly...
  550.  
  551. > bought most of thier computers from us, over the last 10 years and it
  552. > would only be smart for one of the watchers (CIA, FBI, NSA, DIS) to
  553. > keep track of this.
  554.  
  555. Right, but as Prof. Spafford has pointed out on comp.risks, they could
  556. do much better without actually using a virus. For instance, a small
  557. trojan horse, which causes inpredictable delays, which youd be
  558. critical for a computer used in an air defence system. (E.g. suppose
  559. the computer pauses for a moment to display the "printer out of paper"
  560. message just while in the middle of tracking an attacking bomber...
  561. <grin>) Or a small device in the printer, which just broadcasts
  562. everything that is said by the people around...
  563.  
  564. Regards,
  565. Vesselin
  566. - -- 
  567. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  568. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  569. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  570.  
  571. ------------------------------
  572.  
  573. Date:    Sat, 01 Feb 92 09:38:46 +0200
  574. From:    ts@uwasa.fi (Timo Salmi)
  575. Subject: McAfee virus scanner Windows version at garbo.uwasa.fi (PC)
  576.  
  577. - -From: hv@garbo.uwasa.fi (Harri Valkama)
  578. To: mcafee@netcom.netcom.com
  579. Date: Sat, 1 Feb 92 09:28:38 +0200
  580. Forwarded-by: ts@uwasa.fi (Timo Salmi)
  581.  
  582.    I have uploaded to garbo.uwasa.fi:
  583.  
  584.    pc/incoming
  585.    WSCAN86B.ZIP   Windows version of SCAN.            Version 86B
  586.  
  587.    Aryeh Goretsky
  588.    McAfee Associates Technical Support
  589.  
  590. Thanks Aryeh. Available now as:
  591.  
  592. garbo.uwasa.fi:/pc/win3/misc/wscan86b.zip
  593.  
  594. - -harri-
  595.  
  596. "If you do not know how to go about getting this package you are
  597. welcome to email me for the prerecorded garbo.uwasa.fi instructions,
  598. Keith Petersen (w8sdz@wsmr-simtel20.army.mil) for SIMTEL20
  599. information, or Craig Warren (ccw@deakin.oz.au) for Oceanian garbo
  600. mirror information.  North American users are advised first to search
  601. on SIMTEL20 or its mirror wuarchive.wustl.edu.  Oceanian users are
  602. referred to rana.cc.deakin.oz.au (for recent files)."
  603.  
  604. ...................................................................
  605. Prof. Timo Salmi
  606. Moderating at garbo.uwasa.fi anonymous ftp archives 128.214.87.1
  607. School of Business Studies, University of Vaasa, SF-65101, Finland
  608. Internet: ts@chyde.uwasa.fi Funet: gado::salmi Bitnet: salmi@finfun
  609.  
  610. ------------------------------
  611.  
  612. Date:    30 Jan 92 12:48:06 -0500
  613. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  614. Subject: IBM Anti-Virus Product 2.1.9 (PC)
  615.  
  616. A new level of the IBM Anti-Virus Product now exists.   It should
  617. be available now or shortly from IBM Marketing Reps, Branch Offices,
  618. the Electronic Software Delivery section of IBMLINK, and on Promenade
  619. (the PS/1 support BBSy-thing).   I'll attach the contents of the
  620. WHATIS.NEW file.   As I said a bit ago, I'm not an Official Anything,
  621. so don't send me your money!   *8)
  622.  
  623. As before, the U.S. terms are $35 for an original license, $10
  624. for an upgrade (for terms outside the U.S., contact your country
  625. IBM).  Note that these prices are for an *enterprise* license, so
  626. if you are a company with a thousand employees, it's $35 for all
  627. thousand copies.
  628.  
  629. The last released version was 2.1.5, this is 2.1.9.   Versions
  630. in between were internal IBM versions, and not released.
  631.  
  632. One of the large items, as usual, is a whole bunch of new
  633. signatures.  Many are from our usual analysis of viruses, of
  634. course, but some are from the UK magazine Virus Bulletin.  I'd
  635. like to thank VB for their permission to use their signatures (or,
  636. more accurately, their emphatic statement that no permission is
  637. necessary, since they don't consider the signatures to be their
  638. property!).  We ran all the new signatures through our usual
  639. false-positive screening first, of course.  *8)
  640.  
  641. DC
  642.                The IBM Anti-Virus Product, Version 2.1.9
  643.           Copyright (C) IBM Corporation 1989, 1990, 1991, 1992
  644.  
  645. The following are the highlights of the changes and enhancements made
  646. to the IBM  Anti-Virus Product, since the release of Version 2.1.5:
  647.  
  648.     - Added approximately 250 new 
  649. Downloaded From P-80 International Information Systems 304-744-2253
  650.