home *** CD-ROM | disk | FTP | other *** search
/ Play and Learn 2 / 19941.ZIP / 19941 / PUBE / VIR04019.TXT < prev    next >
Encoding:
Text File  |  1994-02-05  |  17.3 KB  |  427 lines
  1.  
  2.  
  3.           VIRUS-L Digest   Monday,  4 Feb 1991    Volume 4 : Issue 19
  4.  ******************************************************************************
  5.  
  6.  
  7. Today's Topics:
  8.  
  9. re: Apathy and viral spread (general)
  10. Q: Do I Have a Virus? (PC)
  11. Boot sector self-check (PC)
  12. Re: Weird Thing With F-Prot (PC)
  13. Re: Text in MLTI Virus (PC)
  14. Sun workstation virii? (UNIX)
  15. We seem to have a new virus (PC)
  16. Text in MLTI Virus (PC)
  17. MSDOS viruses (PC)
  18. Weird Thing With F-Prot 1.14 (PC)
  19.  
  20. VIRUS-L is a moderated, digested mail forum for discussing computer
  21. virus issues; comp.virus is a non-digested Usenet counterpart.
  22. Discussions are not limited to any one hardware/software platform -
  23. diversity is welcomed.  Contributions should be relevant, concise,
  24. polite, etc.  Please sign submissions with your real name.  Send
  25. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  26. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  27. anti-virus, documentation, and back-issue archives is distributed
  28. periodically on the list.  Administrative mail (comments, suggestions,
  29. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  30.  
  31.    Ken van Wyk
  32.  
  33. ---------------------------------------------------------------------------
  34.  
  35. Date:    Thu, 31 Jan 91 17:02:13 -0500
  36. From:    attcan!john@uunet.uu.net
  37. Subject: re: Apathy and viral spread (general)
  38.  
  39. p1@arkham.wimsey.bc.ca (Rob Slade) writes:
  40.  
  41. >Recently, Stratford Software has started a new online information
  42. >service called SUZY.  (The service is active in Canada, and is in
  43. (text ommitted)
  44.  
  45. >What does this mean to you, and to data security?  It means that
  46. >less than 3% of all, and 20% of *active* SUZY users care enough
  47. >about data security to join the anti-virus IN.  This is the
  48. >*real* reason that computer viri are so widespread today: people
  49. >do not realize the danger.
  50.  
  51. You are drawing conclusions from personal biases. Simply because
  52. members of SUZY do not subscribe to your IN, does not mean they are
  53. unaware of the danger of viruses. It simply means that they did not
  54. want to join your IN. Rather than allowing your 'statistics' to
  55. incorrectly lead people to false assumptions, let's clarify:
  56.  
  57.         1) SUZY is a 'Pay to play' service
  58.         2) INtegrity is not an 'exclusive' source of information
  59.         3) INtegrity's user base is in all likelihood oriented
  60.            towards 'personal' systems rather than 'corporate'
  61.            systems (I draw this conclusion from my own experiences
  62.            with the SUZY network) A niche that is already well
  63.            covered by BBS systems.
  64.  
  65. Now, as a user, why would I pay good money to join a
  66. SIG/FORUM/IN/whatever wneh I can probably get the same or better
  67. information for free from a local BBS or E-MAIL list? (Better, simply
  68. because more people subscribe to 'freebies' than 'pay to play'
  69. services and also people are more likely to post information when they
  70. aren't being charged to contribute). I am a supporter of SUZY. (Though
  71. I still prefer CompuServe, BIX and even PORTAL as far as 'pay'
  72. services are concerned) But I refuse to let your biased rantings go
  73. unchallenged. The following stats came from 3 BBS's:
  74.  
  75.         Percentage of users that subscribe to the 'virus' sections
  76.  
  77.                 68%, 77% and 83%!
  78.  
  79.         Message activity (rating/number of active sections)
  80.  
  81.                 37/145, 8/63 and 10/38
  82.  
  83. Apathy? I don't think so. One anti-virus program had been retrieved
  84. more than 500 times in the past 6 months! Most corporate security
  85. precautions include some form of computer virus control. Most BBS's
  86. make a point of checking programs for viruses prior to advertising
  87. them on their systems. I wish we could be this 'apathetic' about our
  88. environment and our fellow human beings. I think it's time for a
  89. large dose of reality, Rob. Why not look at how to make your 'IN' more
  90. appealing instead of trying to convince people that it's representative
  91. of the 'real world'
  92.  
  93.                         Peace
  94.  
  95. ____Opinions expressed are my own. Transcripts available for a small fee____
  96.         ===
  97.       =--====  AT&T Canada Inc.             John Benfield
  98.      =----==== 3650 Victoria Park Ave.      Network Support Analyst (MIS)
  99.      =----==== Suite 800
  100.      ==--===== Willowdale, Ontario          attmail   : ~jbenfield
  101.       =======  M2H-3P7                      email     : uunet!attcan!john
  102.         ===    (416) 756-5221               Compu$erve: 72137,722
  103.  
  104. __Genius may have its limitations, but stupidity is not thus handicapped.___
  105.  
  106. ------------------------------
  107.  
  108. Date:    Fri, 01 Feb 91 01:06:36 +0000
  109. From:    rfink@eng.umd.edu (Russell A. Fink)
  110. Subject: Q: Do I Have a Virus? (PC)
  111.  
  112. I would like to ask this community to consider an odd symptom on two
  113. machines I use, and tell me if this anomaly is characteristic of a
  114. virus:
  115.  
  116. On two IBM PC's, one, a PS/2 Model 50; the other, an AT (circa '86), I
  117. notice that 'chkdsk' on the hard drives result in there being an
  118. identical number (and memory cost) of 'bad sectors' reported for both
  119. machines.
  120.  
  121. Now, should I worry about viruses? Is there a viable chance that there
  122. happens to be the same number of bad sectors on both machines? If this
  123. sounds like a virus, which one could it be?
  124.  
  125. I appreciate any consideration given to my problem, and thank all
  126. e-mailers in advance for any response given.
  127.  
  128. - --
  129.    //=====   //=====   Russ Fink  ===============
  130.   //        //____     rfink@eng.umd.edu
  131.  //        //          University of Maryland
  132. //=====   //=====      College Park  ============
  133.  
  134. ------------------------------
  135.  
  136. Date:    Thu, 31 Jan 91 22:16:08 -0800
  137. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  138. Subject: Boot sector self-check (PC)
  139.  
  140. gt1546c@prism.gatech.edu (Gatliff, William A.) writes:
  141.  
  142. > To help combat this, what would be the possibility of 'delibrately'
  143. > infecting ones boot-sector with a piece of code that would display
  144. > some kind of 'ok' message if it hadn't been tampered with?
  145.  
  146. Not a bad idea, although it would have to be done carefully, and wouldn't
  147. be 100% certain anyway.
  148.  
  149. You see, boot viri generally remove the original boot sector to a safe
  150. location, and then install themselves in the original boot sector
  151. location.  They are then run first.  After that, they are perfectly
  152. content to let the normal OS take over ... under supervision, as it
  153. were.
  154.  
  155. I could see your scheme working with some current viri, if the
  156. original boot sector "pointed" to another program which checked the
  157. boot sector to see if it was intact, andonly then called the OS.  This
  158. would deal with a number of current viri, including Stoned.  It would
  159. not, unfortunately, deal with "stealth" boot viri like Joshi, and I
  160. can see virus writers getting around it in other ways as well.
  161.  
  162. Still, it's a thought.
  163.  
  164.  
  165. Vancouver          p1@arkham.wimsey.bc.ca           _n_
  166. Insitute for       Robert_Slade@mtsg.sfu.ca          H
  167. Research into      (SUZY) INtegrity                 /
  168. User               Canada V7K 2G6                O=C\
  169. Security                            Radical Dude   | O- /\_
  170.                                              /-----+---/ \_\
  171.                                             / |    `  ||/
  172. "A ship in a harbour is safe, but that     /  ||`----'||
  173. is not what ships are built for."             ||      ||
  174.                      - John Parks             ``      ``
  175.  
  176. ------------------------------
  177.  
  178. Date:    Fri, 01 Feb 91 09:22:09 +0000
  179. From:    frisk@rhi.hi.is (Fridrik Skulason)
  180. Subject: Re: Weird Thing With F-Prot (PC)
  181.  
  182. > ...when F-FCHK came across the file INSTALL.EXE from the PCPANEL package
  183. > (something to do with redirecting printer output) I got an error message
  184. > saying it couldn't write to the A: drive
  185.  
  186. The reason is that INSTALL.EXE is packed, using the LZEXE program.  If
  187. it had been infected before it was packed, normal scanning would not
  188. find the virus.
  189.  
  190. I added the ability to scan LZEXE-packed files to F-PROT, but the
  191. routine for scanning LZEXE-packed file has two problems - it is a bit
  192. slow, as it is written in C - I have not had the time to rewrite it in
  193. assembly language.
  194.  
  195. The other problem, which is the cause of the above difficulties, is
  196. that F-FCHK will write a temporary file to the current drive.  If the
  197. current drive is A: and the floppy disk is write-protected, this error
  198. may occur.  I am planning to rewrite this in version 2.0 - doing the
  199. unpacking in memory.
  200.  
  201. - -frisk
  202.  
  203. ------------------------------
  204.  
  205. Date:    Fri, 01 Feb 91 18:54:23 +0200
  206. From:    public@lehtori.tut.fi (PD Software Group)
  207. Subject: Re: Text in MLTI Virus (PC)
  208.  
  209. > Regarding the discussion about "Eddie," I have always associated the
  210. > phrase,
  211. >  "Eddie die somewhere in time"
  212. > along with the action of randomly picking a location to kill with the
  213. > book Slaughterhouse 5 by Kurt Vonnegut Jr, where the hero has become
  214. > unstuck in time.
  215. >
  216. >Am I alone?
  217.  
  218. I don't know if you are alone, but the "Eddie lives somewhere in time"
  219. and the "Eddie die somewhere in time" phrases are taken from the heavy
  220. metal band Iron Maiden. Eddie is their mascot and "Somewhere In Time"
  221. is the title of their album which was released in 1986. Iron Maiden
  222. and the other heavy metal bands are really popular in the Eastern
  223. Europe.
  224.  
  225. BTW, the texts in the Anthrax virus ("Anthrax" and "Damage Inc.") are
  226. also taken from two heavy metal bands. Anthrax is a quite popular band
  227. from the USA and the Damage Inc. was the cover name used by Metallica,
  228. also from the USA. Both of these bands play so-called speed metal, but
  229. the Iron Maiden plays more old-fashioned heavy metal.
  230.  
  231.  
  232. Tapio Keihanen
  233.  
  234. public@cc.tut.fi
  235.  
  236. ------------------------------
  237.  
  238. Date:    Fri, 01 Feb 91 09:57:14 -0800
  239. From:    DAN <DAN@BART.dnet.hac.com>
  240. Subject: Sun workstation virii? (UNIX)
  241.  
  242. In the archives that I have seen so far for VIRUS-L, most of the
  243. information seems to be on PC virii. What about virii for Sun
  244. workstations? We are starting to download public domain software for
  245. our Sun 4's, and were wondering about potential virus risks. Thanks.
  246.  
  247. Daniel Schwepker
  248. <dan@hssi.dnet.hac.com>
  249.  
  250. ------------------------------
  251.  
  252. Date:    Fri, 01 Feb 91 15:08:38 -0500
  253. From:    Mark Strandskov <34HLEFG@CMUVM.BITNET>
  254. Subject: We seem to have a new virus (PC)
  255.  
  256. Hello,
  257.  
  258. We could use a little help.  We have a PC which seems to have a virus
  259. which is undetectable by SCAN6.3V72.  Like most, it infects
  260. COMMAND.COM and then procedes to infect all executables.  As far as we
  261. can tell, it changes the first 8-12 bytes and then appends about
  262. 1579-1591 bytes on the end of the file.  It does change the date and
  263. time for the file.  It doesn't display any message or signature
  264. associated with it.  If a disk is write protected, it doesn't error
  265. but it will make the drive sound like it is eating your disk for
  266. lunch.  The infected files generally seem to either lock up the
  267. computer or cause errors when executing the program.  As of this time,
  268. we have only spotted it on one computer.
  269.  
  270. I would greatly appreciate any assistance in identifying the virus.  I
  271. am going to try to get in touch with McAfee Assoc. to help with this
  272. "pain in the lower tender region."
  273.  
  274. Thanks.
  275.  
  276. Mark Strandskov
  277. Central Michigan University
  278. 34HLEFG@CMUVM
  279.  
  280. ------------------------------
  281.  
  282. Date:    Sat, 02 Feb 91 12:56:48 -0500
  283. From:    "Richard Budd" <KLUB@MARISTB.BITNET>
  284. Subject: Text in MLTI Virus (PC)
  285.  
  286. Y. Radai <RADAI@HUJIVMS.BITNET> writes in VIRUS-L V4 #18
  287. >Subject: Re: Text in MLTI virus (PC)
  288.  
  289. >  Fridrik Skulason asked about the meaning of the following text in
  290. >the MLTI virus:
  291. >>        This programm was written in the city of Prostokwashino
  292. >>        (C) 1990   RED DIAVOLYATA
  293. >
  294. >  "RED DIAVOLYATA" is a partial translation of "Krasnie Dyavolyata".
  295. >It and "Prostokvashino" are the names of well-known Soviet films.
  296. >"Dyavolyata" was apparently too hard for the virus-writer to
  297. >translate.  It means something like "little devils", and "Krasnie
  298. >Dyavolyata" refers to the youth who fought against the White Army
  299. >during the Russian Revolution.  The village "Prostokvashino" is a
  300. >fictitious one, which explains why Brian McMahon didn't find it in the
  301. >books he consulted.
  302.  
  303. Wes Morgan(morgan@engr.uky.edu) writes in VIRUS-L V4 #18
  304.  
  305. >>>The MLTI virus contains this text - clearly a reference to the "Eddie"
  306. >>>virus, but what does "RED DIAVOLYATA" mean ?  (I want to emphasize
  307. >>>that "Dark Avenger" is the name of the author of the "Eddie" virus -
  308. >>>not the name of the virus itself.)
  309. >>>
  310. >>>       Eddie die somewhere in time!
  311. >>>       This programm was written in the city of Prostokwashino
  312. >>>       (C) 1990   RED DIAVOLYATA
  313. >>>       Hello! MLTI!
  314. >
  315. >Perhaps our virus author is a heavy-metal fan.  "Eddie" is the mascot
  316. >of the group Iron Maiden.  Eddie happens to be a {corpse, undead, zom-
  317. >bie}. (I'm not sure which word to use.  That group's discography in-
  318. >cludes an album titled "Somewhere In Time".
  319.  
  320. >Hmmmm.....a techno-metalhead conspiracy, perhaps?  Subliminal messages
  321. >in rock albums inciting teenagers to digital terrorism?  Hmmmmmmm.....
  322.  
  323. Actually, it isn't anything subliminal.  Dark Avenger, according to the  |
  324. New York Times,is a Bulgarian.  Families I've stayed with in Poland and  |
  325. Czechoslovakia have explained that virtually the only "entertainment"    |
  326. available in theaters and on television in East-bloc countries before   o.
  327. 1989 were Soviet and domestic political and Communist historical films
  328. such as those mentioned by Mr. Radai.  The American films now shown on
  329. Polish and Czech television aren't exactly Academy Award classics.
  330.  
  331. There was and still is an active underground selling pirated
  332. recordings recordings of heavy-metal and 1960's groups.  Boys in
  333. villages and large cities in Poland, Czechoslovakia, and Hungary wore
  334. T-Shirts and leather jackets with Iron Maiden, Metallica, MegaDeth,
  335. and Poison on them.  Even though casettes from these groups are now
  336. available in stores in the larger cities, they are expensive (relative
  337. to their standards, cheap in relation to what the casettes cost in New
  338. York), especially when in some countries, food and other basic staples
  339. are hard to get.  This adulation from young men in Bulgaria and other
  340. former Soviet-bloc countries for heavy metal is probably for the same
  341. reason the groups enjoy wide support from young people here -
  342. rebellion against repressive establish- ment.  The only difference is
  343. the youth in Eastern Europe had a far more repressive establishment,
  344. less accessibility to outlets other than the "Party line" and more
  345. incentive to rebel than their counterparts in the West.  Since the
  346. overthrow of Communist regimes in Eastern Europe, the economies of
  347. these countries have been in a mess, something we seem to vel be
  348. ignoring as we watch CNN cover the Persian Gulf.  One wonders if those
  349. young men from Eastern Europe who are writing viruses are trying to
  350. get our attention?
  351.  
  352. I have received no reply from Budapest about the POLIMER virus and am
  353. wondering if that sentence was in Magyar.  Could somebody on the net be
  354. of help here.
  355.  
  356. Richard Budd                 | E-Mail:    - rcbudd@rhqvm19.ibm
  357. VM Systems Programmer        | All Others - klub@maristb.bitnet
  358. IBM - Sterling Forest, NY    | Phone:       (914) 578-3746
  359. - ------------------------------------------------------------------------
  360. Question of the Week: Should the United States test the neutron bomb on
  361.                       Baghdad?
  362. ========================================================================
  363.  
  364. ------------------------------
  365.  
  366. Date:    02 Feb 91 21:45:29 +0000
  367. From:    lr@cs.brown.edu (Luigi Rizzo)
  368. Subject: MSDOS viruses (PC)
  369.  
  370. Hi there,
  371. a question just to point out how things are.  Suppose the following
  372. scenario:
  373.  
  374. Given an MSDOS machine with an infected HARD DISK (no matter what
  375. kind of virus it is), and a sane floppy disk, I do the following:
  376.  
  377. 1) Boot with a sane floppy disk;
  378. 2) SYS C:
  379.         boot sector, IBMBIO.SYS, IBMDOS.SYS and COMMAND.COM
  380.         are restored from the sane disk.
  381. 3) REN C:\CONFIG.SYS C:\CONFIN.OLD
  382. 4) REN C:\AUTOEXEC.BAT C:\AUTOEXEC.OLD
  383.         avoid any infected driver/utility/whatever be called at
  384.         startup
  385. 5) Reboot from the hard disk.
  386.  
  387. At this point, am I sure that the virus cannot be installed in
  388. the PC, and that I can execute the 'internal' DOS commands ?
  389.  
  390.         Thanks
  391. Luigi Rizzo
  392. lr@cs.brown.edu, luigi@sssup2.sssup.it
  393.  
  394. ------------------------------
  395.  
  396. Date:    Mon, 04 Feb 91 09:58:39 -0400
  397. From:    pjc@sirius.melb.bull.oz.au (Paul Carapetis)
  398. Subject: Weird Thing With F-Prot 1.14 (PC)
  399.  
  400. Richard W Travsky said:
  401.  
  402. > A funny thing happened: when F-FCHK came across the
  403. > file INSTALL.EXE from the PCPANEL package (something to do with
  404. > redirecting printer output) I got an error message saying it couldn't
  405. > write to the A: drive (the familiar "abort, retry, fail"). I ran it
  406.  
  407. Yes, I have observed a similar incident when F-FCHK came across
  408. VSHIELD.EXE (We are licensed for McAfee also).  I have reported this
  409. anomoly to frisk - he is aware of this problem.
  410.  
  411. - --Paul
  412.  
  413. | Paul Carapetis, Software Advisor (Unix, DOS)  |   Phone: 61 3 4200944   |
  414. | Melbourne Development Centre                  |   Fax:   61 3 4200445   |
  415. | Bull HN Information Systems Australia Pty Ltd |-------------------------|
  416. | Internet: pjc@melb.bull.oz.au                 | What's said here is my  |
  417. | ACSnet  : pjc@bull.oz                         | opinion (so I am told!) |
  418.  
  419. ------------------------------
  420.  
  421. End of VIRUS-L Digest [Volume 4 Issue 19]
  422. *****************************************
  423.  
  424.  
  425.  
  426.  
  427.