home *** CD-ROM | disk | FTP | other *** search
/ Play and Learn 2 / 19941.ZIP / 19941 / PUBE / VIR04029.TXT < prev    next >
Encoding:
Text File  |  1994-02-05  |  26.3 KB  |  624 lines
  1.  
  2.  
  3.           VIRUS-L Digest   Tuesday, 19 Feb 1991    Volume 4 : Issue 29
  4.  ******************************************************************************
  5.  
  6.  
  7. Today's Topics:
  8.  
  9. Virus or DOS clash ? (PC)
  10. Mouse working while PC goes crazy - explanation (PC)
  11. more on 'Virus Protection and Universities'
  12. Re: Disinfecting an AppleShare File Server (Mac)
  13. Information on the "Stoned Virus" (PC)
  14. Re: Reporter seeks help on story about a Mac virus (Mac)
  15. STONED virus (PC)
  16. Re: Observation On An Observation
  17. Re: STONED virus/ McAfee Associates (PC)
  18. Viruses and Comics
  19. MS-DOS anti-virals uploaded to SIMTEL20
  20. Protection Model (PC)
  21. Re: VAX/VMS and Viruses
  22. The virus-ability of a machine...
  23. Repair Shops
  24. Re: Viruses in text files
  25. Re: Request for info on the Ohio virus (PC)
  26. Re: Virus Protection and Universities
  27.  
  28. VIRUS-L is a moderated, digested mail forum for discussing computer
  29. virus issues; comp.virus is a non-digested Usenet counterpart.
  30. Discussions are not limited to any one hardware/software platform -
  31. diversity is welcomed.  Contributions should be relevant, concise,
  32. polite, etc.  Please sign submissions with your real name.  Send
  33. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  34. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  35. anti-virus, documentation, and back-issue archives is distributed
  36. periodically on the list.  Administrative mail (comments, suggestions,
  37. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  38.  
  39.    Ken van Wyk
  40.  
  41. ---------------------------------------------------------------------------
  42.  
  43. Date:    Fri, 15 Feb 91 18:13:00 +0100
  44. From:    "Olivier M.J. Crepin-Leblond" <UMEEB37@VAXA.CC.IMPERIAL.AC.UK>
  45. Subject: Virus or DOS clash ? (PC)
  46.  
  47.         A strange file has started appearing on some of the disks
  48. of one student over here. Although I do not think that it is a virus,
  49. I have remote fears that it could be. Having never come across this
  50. phenomenon before, could someone please enlighten me about the
  51. causes of the event:
  52.  
  53. The file appears in the directory listing of 5 1/4in floppies:
  54.  
  55. <delta>4<e-accent>MSDOS   3.3    0    15-00-80   12:00a
  56.  
  57. where:
  58.  
  59. <delta> is the delta sign
  60. <e-accent> is a capital E with an accent over it
  61.  
  62.  
  63. I unfortunately have not got a copy of any anti-viral programs in
  64. my hand at the moment (it's friday evening [...]). So I do not know
  65. it this happening is actually recognised as a virus or not.
  66.  
  67. My guess would be some clash between MSDos 3.3 format and 4.1 format.
  68.  
  69. Olivier M.J. Crepin-Leblond,     Internet: <umeeb37@vaxa.cc.ic.ac.uk>
  70. Communications & Signal Processing , Electrical Engineering Dept.,
  71. Imperial College of Science, Technology and Medicine, London, UK.
  72. >> If nothing else works: take disk. take knife, use knife on disk.
  73.  
  74. ------------------------------
  75.  
  76. Date:    Fri, 15 Feb 91 22:08:27 +0000
  77. From:    Rotan <HANRAH88@IRLEARN.BITNET>
  78. Subject: Mouse working while PC goes crazy - explanation (PC)
  79.  
  80. Mikael Lindberg Mortensen recently described a problem where a PC
  81. appeared to crash in a peculiar manner, leaving the keyboard locked
  82. and the speaker making beeping noises. Since the mouse appeared to
  83. remain operational, it was suspected that a virus had in some manner
  84. *partially* disabled the PC.
  85.  
  86. Let me point out that most mouse device handlers (software to manage
  87. the low level operations of i/o devices, such as movement or button
  88. operation) are interrupt driven and so, if the interupt and its
  89. associated software remain intact in memory, it is quite possible for
  90. peripheral devices to exhibit normal behaviour despite a primary
  91. system failure. I cannot speculate on the cause of Mikael's PC crash
  92. (it might just have been an electrostatic discharge) but as I have
  93. illustrated, the survival of the mouse does not mean that the PC
  94. remains operational and certainly does not prove the presence of a
  95. viral infection.
  96.  
  97. - --- Rotan Hanrahan, Department of Computer Science, UCD, Ireland.
  98.  
  99. ------------------------------
  100.  
  101. Date:    Fri, 15 Feb 91 16:32:05 -0600
  102. From:    Fred Davidson <DAVIDSON@vmd.cso.uiuc.edu>
  103. Subject: more on 'Virus Protection and Universities'
  104.  
  105. An interesting thing on this topic, protecting against viruses at
  106. universities, is the policy in the quasi-public micro lab in the
  107. basement of my building.  It has about 15 MACs and about 15 PCs.  Upon
  108. entering, there is a MAC Plus with an external drive at the monitor's
  109. desk.  The external drive has a big note taped to the top of it:
  110. "Check All Mac Disks For Viruses".  If you come in and use a MAC, when
  111. you sign in, you are supposed to check any disk you bring for MAC
  112. viruses.  What is odd is that there is no such requirement for users
  113. of the PCs.  Does this reflect the statistical proportions of viruses
  114. in the real world?  More on MACs than on PCs?
  115.  
  116. ------------------------------
  117.  
  118. Date:    Fri, 15 Feb 91 17:07:57 -0600
  119. From:    jln@casbah.acns.nwu.edu (John Norstad)
  120. Subject: Re: Disinfecting an AppleShare File Server (Mac)
  121.  
  122. Jim Fish writes:
  123.  
  124. >Can anyone give me some advice on how to disinfect an Appleshare
  125. >fileserver and protect it from further infection?
  126.  
  127. I go into great detail on this issue in my Disinfectant online manual.  See
  128. especially the section titled "Recommendations."
  129.  
  130. John Norstad
  131. Academic Computing and Network Services
  132. Northwestern University
  133. jln@casbah.acns.nwu.edu
  134.  
  135. ------------------------------
  136.  
  137. Date:    Fri, 15 Feb 91 16:28:22 -0500
  138. From:    Scott Morgan <SMORGAN@FSUAVM.BITNET>
  139. Subject: Information on the "Stoned Virus" (PC)
  140.  
  141. Felow Networkers,
  142.  
  143. Recently we have had a student on campus here contract the Stoned
  144. virus on her floppy disk.  Well, it sent a shock wave through most of
  145. our students and staffs who use our computers, to say the least.
  146.  
  147. Not knowing very much about this particular virus, I was wondering if
  148. anyone on this list could provide me with some info on it (prevention,
  149. eradication, etc.).  Any info would be greatly appreciated.
  150.  
  151. Thanks,
  152.  
  153. Scott Morgan
  154. Programmer/Analyst
  155. Florida State University
  156. Panama City Campus
  157. BITNET: SMORGAN@FSUAVM
  158.  
  159. ------------------------------
  160.  
  161. Date:    Fri, 15 Feb 91 17:40:34 -0500
  162. From:    fasfax!ross@cert.sei.cmu.edu
  163. Subject: Re: Reporter seeks help on story about a Mac virus (Mac)
  164.  
  165. ... background info deleted...
  166.  
  167.  
  168. >So, does anybody know what kind of virus this might be and how common
  169. >it is?
  170.  
  171. Viruses are in general more common that people would like to think.  I
  172. am in general responsible for security on machines other than Mac's,
  173. unix mostly, but have enough years in this that I can perhaps give you
  174. a different perspective from your other replies.
  175.  
  176. >And is it true that Mac viruses are easier to write than PC
  177. >ones (one of our PC people told me that; maybe she's biased :-) ).
  178.  
  179. It's not a question of Bias, the mac system is very powerful, but part
  180. of that power comes from openness.  Openness leaves one vulnerable.
  181. (I am generally biased against macs, with the exception of their
  182. usefullness for desktop publishing)
  183.  
  184. >And, on the Dumb Question of the Week category: how might the virus
  185. >have gotten into the network in the first place?
  186.  
  187. Someone inserted an infected disk onto a machine on the network, or
  188. that machine itself.
  189.  
  190. >I assume it would be somebody
  191. >bringing an infected disk in from home (the LAN is not tied to any other
  192. >network), but might there be other ways (short of the Dukakoids
  193. >sabotaging the system, which I doubt, given they had no idea it was going
  194. >to be used to write the budget, since they did all that on their Wangs).
  195.  
  196. Dukakoids aren't smart enough to do something like this, but I
  197. wouldn't put it past them if they knew how :-(
  198.  
  199. Ross (I don't speak for my company) Miller
  200. - --
  201. Ross Miller                                             FasFax Corporation
  202. email:  fasfax1!ross@decvax.dec.com (until registration complete)
  203. alt-email:      ross@dino.ulowell.edu
  204.  
  205. ------------------------------
  206.  
  207. Date:    Sat, 16 Feb 91 03:59:23 +0000
  208. From:    amewalduck@trillium.uwaterloo.ca (Andrew Walduck)
  209. Subject: STONED virus (PC)
  210.  
  211. I seem to have contracted a case of the STONED virus on my PC. So...I'm
  212. looking for the following information:
  213.  
  214. 1. How to get rid of it from my machine.
  215. 2. How to ensure I can't get it from my backups.
  216. 3. How it is transmitted...
  217. 4. How many variants are known.
  218. 5. What it does!
  219. + any other info that you think that I may need. Especially on recommended
  220. virus checkers so I don't catch another one of these!
  221.  
  222. Thanx
  223. Andrew Walduck
  224. amewaldu@orchid.uwaterloo.edu
  225.  
  226. P.S. I used to be a regular reader of this group...but haven't had time lately.
  227.      But keep up the great work...these things are a DAMNED nuisance!
  228.  
  229. ------------------------------
  230.  
  231. Date:    16 Feb 91 15:15:04 +0000
  232. From:    frisk@rhi.hi.is (Fridrik Skulason)
  233. Subject: Re: Observation On An Observation
  234.  
  235. David Gursky    dg@titanium.mitre.org writes
  236. > At the time, the number of PC viruses numbered 23 distinct strains and
  237. > over a 100 total viruses.
  238.  
  239. That was a loooooong time ago - now we have around 150 families, and
  240. over 400 different variants - 30-40% written in Eastern Europe.
  241.  
  242. - -frisk
  243.  
  244. ------------------------------
  245.  
  246. Date:    Sat, 16 Feb 91 22:43:22 +0000
  247. From:    Wayne Robarge <augsec@uncecs.edu>
  248. Subject: Re: STONED virus/ McAfee Associates (PC)
  249.  
  250.  
  251. I have a similar problem and a question.  The McAfee Scan program has
  252. detected the Stone virus on some commercial software I just bought to
  253. run some lab equipment. I called them and they were surprised to hear
  254. about it as none of the disks they sold me were system disks yet the
  255. SCAN program says that the virus is in the boot sector. Are these
  256. disks infected or not?  If they are infected, will the virus infect
  257. other machines if I do not boot from these disks.
  258.  
  259. I am basically a Mac person but have to use an XT to run this
  260. software. The software is hanging for no apparent reson, which is why
  261. I decided to look for a vrius. Will the Stone virus cause exe files to
  262. just hang?
  263.  
  264. Thanks for any help anyone can provide.  This is a bummer situation
  265. and it looks like I'm stuck with it. By the way, I agree with the o
  266. previous comment, the McAfee software seems very nice and I will be
  267. sending in my shareware fee.
  268.  
  269. wayne robarge
  270. soil science, ncsu
  271. nsarah@ncsumvs.ncsu.edu
  272.  
  273. ------------------------------
  274.  
  275. Date:    Sat, 16 Feb 91 18:26:58 -0500
  276. From:    stanley@phoenix.com (John Stanley)
  277. Subject: Viruses and Comics
  278.  
  279.    This is marginally related, but the April issue of the Mighty Mouse
  280. comic has our hero being abducted into a computer (by a femme of the
  281. name Dot Matrix), in order to battle a computer virus. The virus looks
  282. amazingly like a worm (segmented). MM does not want anything to do
  283. with it until Dot tells him how it can escape onto the network. He
  284. finally stops it before it interfaces to the external modem juncture.
  285.  
  286.    So, how soon do we start to get drawings in THIS digest?
  287.  
  288. ------------------------------
  289.  
  290. Date:    Sun, 17 Feb 91 12:26:00 -0700
  291. From:    Keith Petersen <w8sdz@WSMR-SIMTEL20.ARMY.MIL>
  292. Subject: MS-DOS anti-virals uploaded to SIMTEL20
  293.  
  294. The following files were obtained from the McAfee BBS and uploaded to
  295. SIMTEL20:
  296.  
  297. pd1:<msdos.trojan-pro>
  298. CLEAN74B.ZIP    Universal virus disinfector, heals/removes
  299. NETSCN74.ZIP    Network compatible - scan for 217 viruses, v74
  300. SCANV74B.ZIP    VirusScan, scans disk files for 217 viruses
  301. VCOPY74.ZIP     Copy utility checks for viruses as it copies
  302. VSHLD74B.ZIP    Resident virus infection prevention program
  303.  
  304. Keith
  305. - --
  306. Keith Petersen
  307. Maintainer of SIMTEL20's MSDOS, MISC & CP/M archives [IP address 26.2.0.74]
  308. Internet: w8sdz@WSMR-SIMTEL20.Army.Mil    or     w8sdz@vela.acs.oakland.edu
  309. Uucp: uunet!wsmr-simtel20.army.mil!w8sdz              BITNET: w8sdz@OAKLAND
  310.  
  311. ------------------------------
  312.  
  313. Date:    27 February, 1991
  314. From:    Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
  315. Subject: Protection Model (PC)
  316.  
  317. > I saw one product which seems (IMHO) to come close to this -
  318. >PC/DACS by Pyramid (note: I have no affiliation with them...).  It
  319. >provides boot protection, optional hard disk encryption (required to
  320. >prevent absolute sector access), username/password protection, file
  321. >access control, etc.
  322.  
  323. It can preclude unauthorized access to a disk but cannot prevent data
  324. destruction (only hardware can pprevent loss), Fischer's PC-Watchdog,
  325. Certus' CERTUS, and Enigma-Logic's PC-SAFE are also all good products
  326. for this function but all require administration. Weighing the
  327. tradeoffs between CIA and system effectiveness/response is always a
  328. difficult proposition.
  329.  
  330. Consider the model a "first pass" for the platform integrity
  331. maintenance that we expect from a robust OS such as VMS or MVS that
  332. does not currently exist in MS-DOS and a tool for evaluating proposed
  333. solutions rather than an end-all.
  334.  
  335. Incidently, it should not cost more than $5.00 per PC as an add-on.
  336.  
  337. - ------------------------------
  338. >From:    <wiw72@rz.UNI-KIEL.DBP.DE>
  339. >Subject: Sunday virus detection (PC)
  340. >Now my question: What is the trigger condition and
  341. >the damage effect of this virus?
  342.  
  343. The original version is supposed to trigger on any Sunday, print a
  344. little message (Today is Sunday, why do you work so hard ?), and
  345. delete all executables run. The one I have seen has a bug in it that
  346. prevents it from triggering. It is a Jerusalem variant with a 2xxx
  347. byte un-named TSR and .COM & .EXE files grow (.EXE many times).
  348.  
  349. - ------------------------------------------------------------------------
  350. >From:    jackz@izuba.ee.lbl.gov (Jack Zelver)
  351.  
  352. >Since we don't like to spend the taxpayer's money frivously (that's
  353. >YOUR money, folks!) we decided not to offer McAfee this huge windfall
  354. >for the privilege of locally distributing his software.  We ended up
  355. >negotiating a site license with IBM for their VIRSCAN software.  The
  356. >price is right for that one!
  357.  
  358. This attitude bothers me a bit considering what is being compared.
  359. Certainly, the IBM product is a reasonably good detector and is rarely
  360. more than six months out of date, but what do you do then ? Format the
  361. infected disks ? On the other hand, the McAfee utilities provide
  362. detection AND recovery capabilities as well as being able to check out
  363. a network server that is not even running DOS. You might also look
  364. into the "service license" which authorizes a limited number of
  365. technicians to use the utilities on any machine. Also part of the
  366. McAfee license includes two years of updates and on-line service help
  367. with disinfecting - IBMSCAN does not include this.
  368.  
  369. What is really wanted is a protection mechanism for the users that is
  370. like the idiot lights on a car - it tells them that SOMETHING is
  371. wrong.  Then the technician is called in with the high-powered (and
  372. tricky) tools for use in recovery. In most cases you do not want the
  373. user to "clean" his own machine because then you loose all tracking
  374. capability (and most I have seen do their own disinfecting just wind
  375. up reinfected.) Putting all of the tools on every machine is a bit
  376. like equipping every car with its own service station.
  377.  
  378. >You might consider getting virus protection packages for a few people
  379. >and put them on special write-protected system floppies.  Then they
  380. >could be moved from system to system to check for suspected
  381. >infections.
  382.  
  383. This is hat the service license is for.
  384. - ---------------------------------------------------------------------
  385. From:    rfink@eng.umd.edu (Russell A. Fink)
  386.  
  387. Many thanks to those who responded. As you recall, I had two machines
  388. with identical numbers of bad bytes on their hard drives, which made
  389. me suspect viral infection (vi).
  390.  
  391. Incidently, on my home PC there is a ST-251-1 and a ST-225. Both have four
  392. sector clusters and four "bad" heads (but different ones) consequently
  393. both report 40960 bytes in bad sectors.
  394.  
  395. Almost made it down to freezing last night - Padgett
  396.  
  397. ------------------------------
  398.  
  399. Date:    Mon, 18 Feb 91 10:53:36 +0000
  400. From:    tommyp@isy.liu.se (Tommy Pedersen)
  401. Subject: Re: VAX/VMS and Viruses
  402.  
  403. bert@medley.ssdl.com (Bert Medley) writes:
  404.  
  405. >Does anyone know of any virus protection software for VAX/VMS or UNIX
  406. >(Sun, DG Aviion, DEC ULTRIX)?  Please e-mail to bert@medley.ssdl.com
  407. >or post.  I will summarize and repost if there are answers.  I NEEDD
  408. >any answers you might can give.  Thanks in advance.
  409.  
  410. The answer is **TCell**.
  411.  
  412. My company SECTRA manufactures a system-surveillance tool called TCell
  413. which checks a unix system for different kinds of changes. The changes
  414. may have been done by an intruder, a virus or by misstake of a authorized
  415. person.
  416.  
  417. Depending on what security level the TCell administrator has put on a
  418. specific item, the system will do specific tasks like mailing owners of
  419. damaged/changed files or shutting the system down.
  420.  
  421. TCell currently is ported to sun and HP-UX, but will be ported to other
  422. unix systems or other operative systems if so desired.
  423.  
  424. /Tommy Pedersen
  425.  ________________________________________________________________
  426. |E-mail: tommyp@sectra.se        ||    Telephone: +46 13 235214  |
  427. |S-mail: Tommy Pedersen          ||          FAX: +46 13 212185  |
  428. |        SECTRA                  ||------------------------------|
  429. |        Teknikringen 2          ||                              |
  430. |        S-583 30 Linkoping      ||                              |
  431. |        SWEDEN                  ||                              |
  432. |________________________________||______________________________|
  433.  
  434. ------------------------------
  435.  
  436. Date:    18 Feb 91 10:52:07 +0000
  437. From:    lan@bucsf.bu.edu (Larry Nathanson)
  438. Subject: The virus-ability of a machine...
  439.  
  440. The basic reason why mac viruses are harder to write, is the
  441. standardization philosophy behind the mac.  First, the standardization
  442. requires learning how to use the toolbox - not an easy task for the
  443. average hack.  As was mentioned- there's a series of 5 manuals that
  444. comprise just the documentation.
  445.  
  446. Second, the standardization makes it a lot easier to spot a program
  447. pulling a fast one.  If some code tries to write to the boot sectors of
  448. a disk, by making direct low level os calls, a program like SAM will
  449. pick this up, and let the user know that something is making system
  450. calls, bypassing the file manager.  If a virus tries to use the file
  451. manager, then SAM gives a message saying something to the effect of
  452. "Pagemaker is trying to install an code resource".  If you are in the
  453. middle of loading a letter to your brother, you would hopefully note
  454. that this is not appropriate.  If you are installing a new version of
  455. pagemaker into your system, then the system call is appropriate.
  456.  
  457. On PC, there is no standardization - every program runs differently..
  458. It's very hard to figure out when someone is doing something they
  459. shouldn't.
  460.  
  461. Three other major factors are the number of machines out there, the
  462. stability of the DOS, and the number of boot sources available.  The
  463. IBM is very widespread, and since most have hard drives, they get
  464. booted off of the same drive.  Also, the dos tends to be stable, and
  465. the boot sequence is long.  This discourages frequent rebooting.  The
  466. same thing on the mac- many hard drives, a stable dos, and long boot
  467. sequences.  It is not uncommon to run 5 or 6 mac programs without a
  468. reboot.  My old apple //e does not follow this pattern.  Most //e's
  469. have floppy disks, and most apple// floppies (DOS 3.3) are bootable,
  470. and boot quickly.  Also, many apple programs destroy the memory
  471. resident dos, after they have loaded.  To continue, you simply reboot
  472. the machine.  If I reboot every time I insert a new program to run, a
  473. virus is going to have a VERY hard time propagating.
  474.  
  475.  
  476. An interesting sideline- I work in a service beureau, and we have LOADS
  477. of people who come in with a mac disk, looking for the machine to make
  478. magic happen.  They don't know anything about the mac, and DONT WANT to
  479. learn.  They just want to wave the mouse, and see 300dpi typeset magic.
  480.  So, they sign on to the machine, pop in the disk, and get a message
  481. onscreen that they have a virus.  So, of course, they make the OBVIOUS
  482. leap of logic, and decide that since they didn't get this message on
  483. their machine at home, they MUST have gotten this virus from us!!!
  484. ARRRRGGHH!!  I've had people get outright belligerent, insisting that
  485. we are to blame!  Either that, or they decide this whole virus thing is
  486. a scam, to get them to spend more time and money on our machines.
  487.  
  488. The danger isn't viruses- I can kill them quickly with any of half a
  489. dozen programs.  The danger is ignorance!
  490.  
  491. - --Larry
  492. - --
  493. // Larry Nathanson . 726 Comm Av #5J . Boston, MA 02215 . 617 266 7419 \\
  494.     I've heard they just built a tunnel from England to France.  The French
  495. drive on the right hand side, the English on the left.  Can they save
  496. money by building only one lane?
  497.  
  498. ------------------------------
  499.  
  500. Date:    Mon, 18 Feb 91 09:18:12 -0700
  501. From:    rtravsky@CORRAL.UWyo.Edu (Richard W Travsky)
  502. Subject: Repair Shops
  503.  
  504. When your site experiences a viral infestation, or has ongoing
  505. problems with viruses with no seeming lull between one outbreak and
  506. the next, do you notify local vendors? Like repair shops?  Our site, a
  507. university town, is currently being swamped with the Stoned virus.
  508. It's all over the darn place.  Since I work for the computer center
  509. here, I talked to our local vendors and warned them to check stuff
  510. (there's only four businesses that really count so it was easy).  Only
  511. one so far has said people came in thinking something was wrong with
  512. their machine when in fact it was Stoned.
  513.  
  514. I think some sort of communication is necessary between local
  515. businesses and oneself to help prevent the spread of viruses.  In case
  516. it hasn't dawned on you yet, we really haven't had much of a problem
  517. with viruses before recently, so many of the do's and don'ts aren't
  518. necessarily obvious to us.  So, comments anyone?
  519.  
  520. Richard Travsky                        Bitnet:   RTRAVSKY @ UWYO
  521. Division of Information Technology     Internet: RTRAVSKY @ CORRAL.UWYO.EDU
  522. University of Wyoming                  (307) 766 - 3663 / 3668
  523.  
  524. ------------------------------
  525.  
  526. Date:    Mon, 18 Feb 91 21:37:23 +0000
  527. From:    qualcom!news@UCSD.EDU
  528. Subject: Re: Viruses in text files
  529.  
  530. XPUM04@prime-a.central-services.umist.ac.uk (Anthony Appleyard) writes:
  531. >With reference to this message:-
  532. >From:    millerje@holst.tmc.edu (jeffrey scott miller)
  533. >..........
  534. >True. Viruses cannot infect text files, as they are never executed. Viruses
  535. >CAN look to see if a certain filetype is being accesses  (i.e.  .DBF),  but
  536. >since  there  is no executable code in a text file, there is no way a virus
  537. >can "latch" onto the file.
  538. >..........
  539. >::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
  540. >There was a long discussion in Virus-L in the past about viruses  infecting
  541. >text  files.  Some  systems and programs when reading text files treat some
  542. >character sequences as escape sequences to tell them to obey the  following
  543. >characters   specially,   e.g.  reading  them  as  binary  into  store,  or
  544. >trojanizing keyboard keys by altering what those keys do. So viruses  <can>
  545. >infect or trojanize text files.
  546.  
  547. Strictly speaking, I believe it's only a trojan, as these "ANSI bomb"s
  548. don't spread.  However, they can be rather dangerous.  Someone can add
  549. a command in one of the ubiquitous ANSI picture files to have your
  550. ENTER key redefined to format your hard disk.  I find that the best
  551. solution to this is to view them on-line from my terminal program, as
  552. these usually have their own ANSI handlers and will thwart any
  553. keyboard redefinition codes.
  554.  
  555. Be aware, though, that they can easily sneak these into README files,
  556. and you will have no way of knowing that your keyboard has been
  557. redefined unless you either don't have an ANSI driver, or it hits you.
  558.  
  559. ------------------------------
  560.  
  561. Date:    Tue, 19 Feb 91 13:19:18 +0000
  562. From:    treeves@magnus.ircc.ohio-state.edu (Terry N Reeves)
  563. Subject: Re: Request for info on the Ohio virus (PC)
  564.  
  565.         The ohio virus exists in several varieties, 5 or 6 at least. Our local
  566. varient will spread to 5.25" floppies only, does not contain any deliberately
  567. destructive code, and causes no major problems. This is reportedly true of all
  568. varieties. So far.
  569.         It is a boot sector virus, so files are not infected. In a university
  570. computer lab environment it may be easiest jut to recopy infected disks from
  571. masters and WRITE PROTECT THEM. This keeps out ALL viruses.
  572.         Disks can be cleaned up with f-prot's f-disinf.exe, or the mdisk
  573. program. You can also copy all the files to another disk, format the disk and
  574. copy them back.
  575.  
  576. - --
  577.  _____________________________________________________________________________
  578. |                   That's my story, and I'm sticking to it!                  |
  579. |_____________________________________________________________________________|
  580. | Microcomputer software support,     |  treeves@magnus.IRCC.OHIO-STATE.EDU   |
  581.  
  582. ------------------------------
  583.  
  584. Date:    Tue, 19 Feb 91 14:01:34 +0000
  585. From:    treeves@magnus.ircc.ohio-state.edu (Terry N Reeves)
  586. Subject: Re: Virus Protection and Universities
  587.  
  588. JS05STAF%MIAMIU.BITNET@OHSTVMA.IRCC.OHIO-STATE.EDU (Joe Simpson) writes:
  589.  
  590. >Is anyone using F-Prot.  Does Fredrik Skullasan (appologies to FS for
  591. >spelling) have a site liscence policy?
  592.  
  593. Yes and yes. We use f-prot at Ohio State. To be candid I think it's
  594. the second best anti virus software if price is ignored, but given
  595. price it is #1.  version 2.0 due soon sounds like it will be #1 in ALL
  596. categories.  It is FREE fro individual use and a university license
  597. for INFINITE copies is only $500 or $1 per pc for less than 500 pcs.
  598.  
  599. It has a wide range of tools in the package but in labs we just
  600. install f-driver.sys which will alert us to any infection - and refuse
  601. to allow the infected program to run. we then use f-fchk & f-disinf to
  602. clean up infections.
  603.  
  604. we get a lot of viruses here - Ohio,brain,ping-pong,korea,stoned,disk
  605. killer, den zuk,jerusalem,alemeda - but f-prot tells us as soon as we
  606. get one and we don't spread it. If only we could reach the great
  607. masses of students here (50,000+) to clean up their disks!
  608.  
  609. - --
  610.  _____________________________________________________________________________
  611. |                   That's my story, and I'm sticking to it!                  |
  612. |_____________________________________________________________________________|
  613. | Microcomputer software support,     |  treeves@magnus.IRCC.OHIO-STATE.EDU   |
  614.  
  615. ------------------------------
  616.  
  617. End of VIRUS-L Digest [Volume 4 Issue 29]
  618. *****************************************
  619.  
  620.  
  621.  
  622.  
  623.  
  624.