home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / virus / 4966 < prev    next >
Encoding:
Internet Message Format  |  1993-01-23  |  2.1 KB
  1. Path: sparky!uunet!zaphod.mps.ohio-state.edu!cis.ohio-state.edu!news.sei.cmu.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: OS2SCAN99 checked (OS/2)
  5. Message-ID: <0011.9301221631.AA12947@barnabas.cert.org>
  6. Date: 14 Jan 93 12:00:49 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 38
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. KARGRA@GBA930.ZAMG.AC.AT writes:
  12.  
  13. > OS2CLEAN: at least I found no problems, when I tried to clean my system from
  14. > [JERU].
  15.  
  16. Are you -absolutely- certain about that? You see, Jerusalem makes some
  17. silly assumptions about the format of the EXE files. As a consequence,
  18. it destroys some EXE files it infects (e.g., WordPerfect). It is my
  19. understanding, that it will destroy all Windows applications, and I
  20. think that OS/2 applications have a similar structure. Therefore, no
  21. disinfector would be able to recover such files, although some
  22. intelligent disinfectors warn the user that these files are destroyed.
  23.  
  24. > Is there a reason, why you still
  25. > don't scan *.DLL?
  26.  
  27. At least I do not know any virus that could infect them... And since
  28. SCAN is able to detect only known viruses, it doesn't make sense to
  29. scan objects that the known viruses do not infect...
  30.  
  31. > You added new extensions, of which I never thought, they
  32. > would contain executable code (*.PIF). So I learned some new things. If
  33.  
  34. The .PIF files contain a pointer to an executable file. Therefore, it
  35. is possible to apply a companion-type attack to them - change the
  36. pointer to another executable that contains the virus body and let the
  37. virus itself execute the original program. However, no such virus
  38. exists yet, which means that there is no need for a scanner to scan
  39. these files. They should be checked by the integrity checkers,
  40. however.
  41.  
  42. Regards,
  43. Vesselin
  44. - -- 
  45. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  46. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  47. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  48. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  49.