home *** CD-ROM | disk | FTP | other *** search
/ Play and Learn 2 / 19941.ZIP / 19941 / PUBE / VIR04030.TXT < prev   
Encoding:
Text File  |  1994-02-05  |  25.4 KB  |  600 lines
  1.  
  2.  
  3.          VIRUS-L Digest   Wednesday, 20 Feb 1991    Volume 4 : Issue 30
  4.  ******************************************************************************
  5.  
  6.  
  7. Today's Topics:
  8.  
  9. Hardware question (PC) (TANDY)
  10. Response to Editor's Questions
  11. F-PROT site license fee (PC)
  12. Re: Norton Antivirus (PC)
  13. Mac virus frequency & Disinfectant (Mac)
  14. Mac vulnerability vs. PCs
  15. Virus frequencies
  16. stoned again
  17. Model of "Safe" (PC)
  18. Re: STONED virus/ McAfee Associates (PC)
  19. Re: Preventing booting from floppy (PC)
  20. Viruses vs. DOS; Stoned information (PC)
  21. Mac viruses (Mac)
  22. Compucilina (PC)
  23. Re: IBM Virus Scanner. (PC)
  24. McAfee Products (PC)
  25.  
  26. VIRUS-L is a moderated, digested mail forum for discussing computer
  27. virus issues; comp.virus is a non-digested Usenet counterpart.
  28. Discussions are not limited to any one hardware/software platform -
  29. diversity is welcomed.  Contributions should be relevant, concise,
  30. polite, etc.  Please sign submissions with your real name.  Send
  31. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  32. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  33. anti-virus, documentation, and back-issue archives is distributed
  34. periodically on the list.  Administrative mail (comments, suggestions,
  35. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  36.  
  37.    Ken van Wyk
  38.  
  39. ---------------------------------------------------------------------------
  40.  
  41. Date:    19 Feb 91 16:51:32 +0000
  42. From:    lev@suned2.Nswses.Navy.Mil (Lloyd E Vancil)
  43. Subject: Hardware question (PC) (TANDY)
  44.  
  45. I have been interested in the discussion of bootsector viruses, hard drives
  46. and other beasties.
  47. And, wonder of wonders, a thought occurs.
  48. To wit:
  49.    The Tandy (radio shack) ne 80286 machines have an extra 128k of ram
  50. that is used to contain the IBMSYS & IO .coms, Command.com, Format.com
  51. and a few other things.  These files fill the 128k and allow you to
  52. bring up the machine without booting from a disk at all.  The "extra
  53. ram" is treated as a write protected disk.
  54.    The thought that occurs is, isn't this a better way?  Since the
  55. "disk" is full and write protected the bad beasties can't get in can
  56. they?  Wouldn't this stop any but the Trojan programs?
  57.  
  58. - --
  59.       *      suned1!lev@elroy.JPL.Nasa.Gov sun!suntzu!suned1!lev
  60.           .                lev@suned1.nswses.navy.mil        +      .
  61.     +          *       S.T.A.R.S.! The revolution has begun!   *
  62.       My employer has no opinions.  These are mine!
  63.  
  64. ------------------------------
  65.  
  66. Date:    Tue, 19 Feb 91 12:01:30 -0700
  67. From:    Chris McDonald <CMCDONALD@WSMR-SIMTEL20.ARMY.MIL>
  68. Subject: Response to Editor's Questions
  69.  
  70. Ken asked in a recent posting if anyone had tried PC/DACS.  I used the
  71. package for over a year.  My experience was that it did what it was
  72. supposed to do, and essentially gave a user the impression of
  73. mainframe system controls on a personal computer.  I would be happy to
  74. send anyone an electronic copy of my product test report.  Other
  75. commercial products with comparable features have been discussed in
  76. this form, but a few additional ones are Watchdog, SecurePC, Protec,
  77. etc.  Watchdog like PC/DACS has an NCSC subsystem evaluation report.
  78. I have done test reports on SecurePC and Protec.  These are not the
  79. only products available.  I have no stock or relationship with any of
  80. the vendors.  While these are software solutions, there are comparable
  81. hardware/software products available, but usually at a greater cost.
  82.  
  83. To the user who asked about site licensing for F-PROT, the answer is
  84. YES.  Fridrik has very generous agreements.  Depending upon the number
  85. of systems involved the cost may be as low as $2.00 per machine.
  86. Government agencies have to my knowledge encountered at least two
  87. cases in which the Buy American Act precluded acquisition.  I have no
  88. way of knowing how significant an obstacle this legislation may be for
  89. the government as a whole.
  90.  
  91. Chris Mc Donald
  92. cmcdonald@wsmr-simtel20.army.mil
  93. White Sands Missile Range
  94. - -------
  95.  
  96. ------------------------------
  97.  
  98. Date:    Tue, 19 Feb 91 10:03:35 -0800
  99. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  100. Subject: F-PROT site license fee (PC)
  101.  
  102. JS05STAF%MIAMIU.BITNET@OHSTVMA.IRCC.OHIO-STATE.EDU (Joe Simpson) writes:
  103.  
  104. > the anti-viral problem.  Is anyone using F-Prot.  Does Fredrik
  105. > Skullasan (appologies to FS for spelling) have a site liscence policy?
  106.  
  107. Fridrik Skulason has just changed his fee structure (with version
  108. 1.14) and the price is now *lower*.  (The bad news is that the fee is
  109. now yearly, ala McAfee.)
  110.  
  111. The yearly fee is now $1 per machine for commercial and $0.75 per machine
  112. for educational institutions.
  113.  
  114. For those good people who have been supporting frisk all along, and are
  115. cursing your fate for having paid the higher price - good news.  Your
  116. "one-time" fee is still valid.  :-)
  117.  
  118. Vancouver          p1@arkham.wimsey.bc.ca           _n_
  119. Insitute for       Robert_Slade@mtsg.sfu.ca          H
  120. Research into      (SUZY) INtegrity                 /
  121. User               Canada V7K 2G6                O=C\
  122. Security                            Radical Dude   | O- /\_
  123.                                              /-----+---/ \_\
  124.                                             / |    `  ||/
  125. "A ship in a harbour is safe, but that     /  ||`----'||
  126. is not what ships are built for."             ||      ||
  127.                      - John Parks             ``      ``
  128.  
  129. ------------------------------
  130.  
  131. Date:    Tue, 19 Feb 91 15:11:56 +0000
  132. From:    Ian Leitch <uqak940@MVS.ULCC.AC.UK>
  133. Subject: Re: Norton Antivirus (PC)
  134.  
  135. DEL2@phoenix.cambridge.ac.uk (Douglas de Lacey) writes on 25 Jan
  136. about the Norton Antivirus product:
  137.  
  138. >      ... it got a slashing review in PC Business World last
  139. >  week, for making unfair claims about its abilities ...
  140.  
  141. I understand that the review did not receive universal acclaim, as
  142. some readers suggested that it may have lacked objectivity.  I am told
  143. that its author has now parted company with PC Business World!
  144.  
  145. Ian Leitch
  146.  
  147. ------------------------------
  148.  
  149. Date:    Tue, 19 Feb 91 17:10:07 -0500
  150. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
  151. Subject: Mac virus frequency & Disinfectant (Mac)
  152.  
  153. Fred Davidson <DAVIDSON@vmd.cso.uiuc.edu> asks:
  154. >      ... there is a MAC Plus with an external drive at the monitor's
  155. >desk.  The external drive has a big note taped to the top of it:
  156. >"Check All Mac Disks For Viruses".  If you come in and use a MAC, when
  157. >you sign in, you are supposed to check any disk you bring for MAC
  158. >viruses.  What is odd is that there is no such requirement for users
  159. >of the PCs.  Does this reflect the statistical proportions of viruses
  160. >in the real world?  More on MACs than on PCs?
  161.  
  162. No this is simply a reflection of the fact that John Norstad, the
  163. author of Disinfectant, was thinking about such an environment when he
  164. wrote his program. Disinfectant has an "unattended operation" mode
  165. which allows you to simply pop in a disk and have it scanned, cleaned
  166. up, and ejected with no intervention on the part of the persons
  167. managing the lab. It's simply very convenient to do it this way.
  168.  
  169.  --- Joe M.
  170.  
  171. ------------------------------
  172.  
  173. Date:    Tue, 19 Feb 91 17:18:02 -0500
  174. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
  175. Subject: Mac vulnerability vs. PCs
  176.  
  177. Ross Miller notes (on Mac vulnerability vs. PCs):
  178. >It's not a question of Bias, the mac system is very powerful, but part
  179. >of that power comes from openness.  Openness leaves one vulnerable.
  180.  
  181. And Fridrik Skulason also notes:
  182. >David Gursky    dg@titanium.mitre.org writes
  183. >> At the time, the number of PC viruses numbered 23 distinct strains and
  184. >> over a 100 total viruses.
  185. >
  186. >That was a loooooong time ago - now we have around 150 families, and
  187. >over 400 different variants - 30-40% written in Eastern Europe.
  188.  
  189. The current Mac virus count is 10-12 families, with about 20
  190. variations total.
  191.  
  192. There are many more PCs than Macs. I think this is the only reason for
  193. the difference. As far as which is easier, I don't think it really
  194. matters, unless you plan on taking up virus-writing for a living.
  195.  
  196. *Both* Mac and PC systems, as shipped by the manufacturer, are so
  197. wide-open to attack that it's hard to say whether one or the other is
  198. "worse". Most often, a statement as to which is "worse" is simply a
  199. reflection of the expositor's prejudices about the systems in
  200. question.  Ever ask an MVS expert about unix security?
  201.  
  202.  --- Joe M.
  203.  
  204. ------------------------------
  205.  
  206. Date:    Tue, 19 Feb 91 17:12:00 -0600
  207. From:    MDCLARK@UALR.BITNET
  208. Subject: Virus frequencies
  209.  
  210. > If you come in and use a MAC, when
  211. >you sign in, you are supposed to check any disk you bring for MAC
  212. >viruses.  What is odd is that there is no such requirement for users
  213. >of the PCs.  Does this reflect the statistical proportions of viruses
  214. >in the real world?  More on MACs than on PCs?
  215.  
  216. On the contrary, there are far more PC viruses than Mac varieties.
  217. Offhand, it sounds as if the Mac systems analyst is on the ball, and
  218. I'd wager that John Norstadt's Disinfectant is being used.  Although
  219. it might be a fair argument that it is more difficult to protect
  220. against PC viruses, this is no excuse not to try.  It may simply be
  221. that the person responsible for PCs knows less about viruses than does
  222. the Mac person (or it may be the *same* person responsible for both
  223. systems).  The fact is, thanks to John Norstadt and others like him,
  224. dealing with Mac viruses is fairly painless.
  225.  
  226. ------------------------------
  227.  
  228. Date:    19 Feb 91 22:55:30 +0000
  229. From:    "William C Tom" <wct1@unix.cis.pitt.edu>
  230. Subject: stoned again
  231.  
  232. The stoned virus has cropped up again in my work-place.  I wish I had
  233. kept all the replies I got after my last infection.  Anyways, Iemoved
  234. the virus with CLEAN, but I want to restore my hard disk to its
  235. pre-infection pristine condition (just a fetish of mine).  My question
  236. is: to what sector does "Stoned" move the original partition table?  I
  237. would like to delete this "duplicate" code.
  238.  
  239. Thanks.
  240.  
  241. - --------------------------------------------------
  242. wct1@unix.cis.pitt.edu
  243.  
  244. ------------------------------
  245.  
  246. Date:    19 Feb 91 11:57:25 -0500
  247. From:    Steve Albrecht <70033.1271@CompuServe.COM>
  248. Subject: Model of "Safe" (PC)
  249.  
  250. >[Ed. I saw one product which seems (IMHO) to come close to this
  251. >-PC/DACS by Pyramid (note: I have no affiliation with them...).
  252. >It provides boot protection, optional hard disk encryption
  253. >(required to prevent absolute sector access), username/password
  254. >protection, file access control, etc.  Anyone with experience with
  255. >this, or similar, systems care to comment?]
  256.  
  257. We have evaluated the possible use of PCDACS as a security packages in
  258. our Field Offices.  One of the primary reasons why we have not
  259. installed this to date, and will likely not install this, is that
  260. computer viruses, in our opinion, are not adequately addressed by
  261. PCDACS.  In fairness to Pyramid, I don't think that PCDACS was
  262. originally intended to provide virus protection.
  263.  
  264. The earlier versions (prior to Version 2.01) did not prevent infection
  265. by the Stoned virus (and other viruses which employ absolute disk
  266. writes), and did not detect the virus once the hard disk had become
  267. infected.  Pyramid has since employed a means of detecting this virus
  268. (and I assume other similar viruses) when the computer is booted.  The
  269. program will restore the original partition table, and then force an
  270. immediate reboot.  However, even with boot protection installed,
  271. PCDACS does not prevent a boot from an unknown (and possibly infected)
  272. floppy.
  273.  
  274. The problem with this strategy seems to me to be that it may not be
  275. able to remove the "stealth" type viruses, which (I have learned via
  276. this forum) trap the Int 13 interrupt used by PCDACS.  In my
  277. conversations with Pyramid, their technical support claims that PCDACS
  278. will provide adequate protection against the 4096 virus.  Someone who
  279. has actually tested PCDACS with the 4096 virus might perhaps like to
  280. comment on this.
  281.  
  282. With regards to viruses which operate on files, PCDACS (version 2.02
  283. is the latest version which I have tested) will prevent viruses from
  284. infecting files if a user has no WRITE access to the executable files
  285. targeted by the virus, but will not prevent the virus from going
  286. resident in memory (to the best of my knowledge).  This seems to lead
  287. to a scenario where a user logs off with a virus resident in memory,
  288. only to have the virus infect the targeted files when an administrator
  289. (or other person with WRITE access to the executable files) logs on.
  290. PCDACS does not monitor the integrity of the executable files.
  291.  
  292. PCDACS does allow for the encryption of the entire hard disk, or
  293. optionally, DOS area encryption.  While the former may provide
  294. protection against absolute disk writes, the amount of time which this
  295. option requires at boot time is unacceptable.  DOS area encryption is
  296. more acceptable, but I am not convinced that boot sector viruses will
  297. not do damage which only a backup will remedy.  (As a side note,
  298. restoring a backup to a corrupted hard disk with PCDACS boot
  299. protection enabled is frought with difficulties).  Again, someone who
  300. has actually tested PCDACS with this option should comment on this.
  301.  
  302. In summary, I think PCDACS is an excellent security program if
  303. confidentiality and restricted access are the primary objectives, but
  304. I think that the "layered" protection which Padgett has described
  305. provides much more acceptable virus protection.
  306.  
  307. Steve Albrecht
  308. 70033.1271@compuserve.com
  309.  
  310. ------------------------------
  311.  
  312. Date:    Wed, 20 Feb 91 09:49:54 -0400
  313. From:    pjc@melb.bull.oz.au (Paul Carapetis)
  314. Subject: Re: STONED virus/ McAfee Associates (PC)
  315.  
  316. Wayne Bobarge said:
  317.  
  318. > I have a similar problem and a question.  The McAfee Scan program has
  319. > detected the Stone virus on some commercial software I just bought to
  320. > run some lab equipment. I called them and they were surprised to hear
  321. > about it as none of the disks they sold me were system disks yet the
  322. > SCAN program says that the virus is in the boot sector. Are these
  323. > disks infected or not?  If they are infected, will the virus infect
  324. > other machines if I do not boot from these disks.
  325.  
  326. All DOS diskettes, regardless of whether they were formatted to be
  327. system bootable diskettes or not, possess boot sectors.  The boot
  328. sector is written to the diskette by the FORMAT program (and all other
  329. commercial format programs that I know of) EVERY time, even if the
  330. diskette is not going to be bootable.
  331.  
  332. This means that your diskettes are most likely infected.  Beware of
  333. rebooting your machine if you have any of these diskettes in the A:
  334. drive as the boot sector will be loaded into memory and the code
  335. executed, thereby activating the virus if present, before the missing
  336. system files are discovered and the old "Non-system disk or boot
  337. error" message is displayed.
  338.  
  339. Either "clean" the diskettes of their virus, or copy off all of the
  340. files you want and then format them all from a known "clean" machine.
  341.  
  342. - --Paul
  343.  
  344. +-----------------------------------------------+-------------------------+
  345. | Paul Carapetis, Software Advisor (Unix, DOS)  |   Phone: 61 3 4200944   |
  346. | Melbourne Development Centre                  |   Fax:   61 3 4200445   |
  347. | Bull HN Information Systems Australia Pty Ltd |-------------------------|
  348. | Internet: pjc@melb.bull.oz.au                 | What's said here is my  |
  349. | ACSnet  : pjc@bull.oz                         | opinion (so I am told!) |
  350. +-----------------------------------------------+-------------------------+
  351.  
  352. ------------------------------
  353.  
  354. Date:    Tue, 19 Feb 91 18:04:45 -0800
  355. From:    cthulhu@arkham.wimsey.bc.ca (Jono Moore)
  356. Subject: Re: Preventing booting from floppy (PC)
  357.  
  358. padgett%tccslr.dnet@uvs1.orl.mmc.com (Padgett Peterson) writes:
  359.  
  360. > Several MS-DOS platforms can do this (Zenith, Compaq) and any PC could
  361. > impliment it by storing a flag in CMOS. However, only a few
  362. > manufacturers have chosen to impliment it in the BIOS (it must be done
  363. > in ROM).  Unfortunately in the case of my Zenith, it will only look
  364. > for disks that its BIOS can find. Failing this it will check for a
  365. > floppy even if told not to.  (I have a hardcard that uses its own ROM
  366. > extension and no matter how the CMOS is set, the Zenith will always go
  367. > for the floppy first.) Computer Shopper ads indicate that a 386 BIOS
  368. > chipset (choice of several) goes for about $70 but I do not know if
  369. > any of those replacements impliment this.
  370. >
  371. > Incidently, there must be an override somewhere or maintenance would
  372. > be a nightmare.
  373.  
  374. My 286 came with a Quadtel bios which has this feature.  You can set
  375. it up to "quickboot" your system, which skips the memory test and
  376. doesn't check the floppy drives.
  377.  
  378. It also has a password protect built into the bios.  I can see
  379. problems arising if you forget your password :-) I don't have my
  380. manual handy, but I imagine there would be a way to get around this,
  381. like disconnecting your battery for a while or something like that.
  382.  
  383. -
  384.  -------------------------------------------------------------------------------
  385. jono@{arkham.UUCP|arkham.wimsey.bc.ca}  | Fuck 'em if they can't take a joke.
  386. {uunet|ubc-cs}!van-bc!cynic!arkham!jono |  Pull the wool over your own eyes!
  387.  
  388. ------------------------------
  389.  
  390. Date:    Sun, 17 Feb 91 19:30:28 -0500
  391. From:    padgett%tccslr.dnet@uvs1.orl.mmc.com (A. Padgett Peterson)
  392. Subject: Viruses vs. DOS; Stoned information (PC)
  393.  
  394. >From:    "Olivier M.J. Crepin-Leblond" <UMEEB37@VAXA.CC.IMPERIAL.AC.UK>
  395. >Subject: Virus or DOS clash ? (PC)
  396.  
  397. >       A strange file has started appearing on some of the disks...
  398. ><delta>4<e-accent>MSDOS   3.3    0    15-00-80   12:00a
  399.  
  400. What has happened is that the boot sector of the floppy (DOS sector 1)
  401. has been copied to the first sector of the root directory (DOS sector
  402. 5) and has probably wiped out the root directory. Whether or not it is
  403. a virus or an accident is the question. In any event, the disk may be
  404. able to be recovered (if the FAT did not get wiped also) by writing
  405. all zeros to the root directory and trying CHKDSK/F. The FILExxxx.CHK
  406. entries will match the original file entries if the first FAT is
  407. intact.
  408.  
  409. This is WHAT, I cannot answer WHY, it does not match any virus I have seen
  410. but sounds like a logic bomb.
  411. - ---------------------------------------------------------------------
  412.  
  413. From:    Scott Morgan <SMORGAN@FSUAVM.BITNET>
  414. Subject: Information on the "Stoned Virus" (PC)
  415.  
  416. From:    amewalduck@trillium.uwaterloo.ca (Andrew Walduck)
  417. Subject: STONED virus (PC)
  418.  
  419. From:    Wayne Robarge <augsec@uncecs.edu>
  420. Subject: Re: STONED virus/ McAfee Associates (PC)
  421.  
  422. Boy, this must be STONED week. In simple terms (Patricia Hoffman does
  423. it MUCH better) the STONED, like BRAIN and JOSHI is a boot sector
  424. infector on floppies. EVERY PC floppy contains executable code on the
  425. boot sector if only just enough to tell you it is not bootable. Unless
  426. you have a special machine, if it boots, hot or cold, with a floppy in
  427. drive A, a PC will execute this code. (MACs are worse - put a floppy
  428. in the drive and code gets executed, you do not have to boot)
  429.  
  430. If a machine is booted with an STONED infected disk in A, the first
  431. thing that happens is that the viral code is run (it is in sector 1).
  432. After doing its thing (which may or may not include the message "Your
  433. PC is Stoned" (or some variant or none) but does include going
  434. resident at the TOM, it then runs the original boot sector that it
  435. stored in the last of the seven root directory sectors (this will
  436. occasionally corrupt a disk). To remove from a floppy, you can just
  437. use DEBUG to replace the boot sector with good code. (two keystrokes
  438. and change the disk - repeat as often as necessary). No code or data
  439. usually need be lost.
  440.  
  441. In the case of a hard disk, it still infects sector 1 but here this is
  442. the partition table. It then stores the real table in (hidden) sector
  443. 7. On boot, the same process occurs: the BIOS calls sector 1 which has
  444. the virus. It goes resident and then calls the real partition table.
  445. Again, to disinfect all that is necessary is to copy sector seven onto
  446. sector one but be sure you know what you are doing (multiple
  447. infections such as JOSHI/STONED which is possible are more tricky).
  448.  
  449. A couple of products such as McAfee's VSHIELD can protect against
  450. accidental warm boots. Again, it takes hardware to protect a cold boot
  451. though integrity checking software at the BIOS level can detect such
  452. an infection immediately.
  453.  
  454. Personally, I am now MORE sick of seeing the STONED than the
  455. JERUSALEM.
  456.  
  457.                                         Warmly, Padgett
  458.  
  459. ps Anyone know where the party at the World Trade Center is going to
  460. be ?
  461.  
  462. ------------------------------
  463.  
  464. Date:    Tue, 19 Feb 91 23:17:00 -0400
  465. From:    <LISSA@WHEATNMA.BITNET>
  466. Subject: Mac viruses (Mac)
  467.  
  468. Although Mac viruses are easier to write, they are written much
  469. simply-minded.  That is, it just has one thing in mind...to mess up a
  470. Mac.  However, if you're keeping count of viruses, there are fewer Mac
  471. viruses (I think the last count was at 16) than there are for PC's,
  472. although PC viruses are usually much more sophisticated.
  473.  
  474. - ------------------
  475.  
  476. My opinion is my very own, and does not necessarily represent the
  477.         opinion of my employers.
  478.  
  479. Melissa Jehnings
  480. Student Manager | Academic Computing Center
  481. Wheaton College's Technologist User's Group | Secretary
  482. Wheaton College
  483. Norton, MA 02766
  484. BITNET: LISSA@WHEATNMA, WUG@WHEATNMA
  485.  
  486. ------------------------------
  487.  
  488. Date:    Mon, 18 Feb 91 18:11:25 -1100
  489. From:    "Luis B. Chicaiza S." <LCHICAIZ@ANDESCOL.BITNET>
  490. Subject: Compucilina (PC)
  491.  
  492. Due to the great quantity of mail that I have receive about
  493. Compucilina, I do the next preciseness:
  494.  
  495. Compucilina vaccinates programs (.EXE, .COM, disk boots, and system
  496. programs) adding a little piece of executable code.  The net effect is
  497. that when a vaccinate-programan are executed, if in these moment a
  498. virus is installed in the computer, the vaccine (the code added to
  499. program) avoid that the virus infect the program.
  500.  
  501. Compucilina is a non-scaning anti-virus, it's works not depends of a
  502. particular virus, therefore it's equaly effective against the actual
  503. and the future viruses.
  504.  
  505.                              Luis Bernardo Chicaiza Sandoval
  506.  
  507. More information:
  508. Luis B. Chicaiza S.
  509. Phone: (91)2 02 23 78
  510. Universidad de los Andes Bogota, Colombia
  511. mail address: <LCHICAIZ@ANDESCOL.BITNET>
  512.  
  513.  
  514. PS:   Free copies are not available.  Compucilina is a comercial product and
  515.       costs US$70, plus remit costs.
  516.  
  517. ------------------------------
  518.  
  519. Date:    19 Feb 91 15:55:09 +0000
  520. From:    campbell@dev8n.mdcbbs.com (Tim Campbell)
  521. Subject: Re: IBM Virus Scanner. (PC)
  522.  
  523. CHESS@YKTVMV.BITNET (David.M.Chess) writes:
  524. > "Pete Lucas" <PJML@ibma.nerc-wallingford.ac.uk>:
  525. >>Can anyone tell me whether any new signature files have been released
  526. >>for the IBM Virus Scanner? I currently have release 1.2 of this
  527. >>program, which is at a guess around 6 months old; has there been any
  528. >>update of the program??
  529. >
  530. > The current version is 1.3; another version should be out pretty soon.
  531. > Price continues to be $35 for an enterprise-wide license, and
  532. > something like $10 for upgrades.  Available through your IBM marketing
  533. > rep, branch office, IBMLINK, etc.
  534.  
  535. I have the IBM Virscan program (don't recall version) and am looking
  536. for same files.  These files are just ascii text organized with a line
  537. which describes the virus (it's name - a short comment about it)
  538. followed by a line containing a hex-string (in the form: xx xx xx xx
  539. xx, etc.) to find indicating that this disk/file contains this virus.
  540. This makes it real easy to add new viri signatures to the library
  541. using any text editor.
  542.  
  543. My disk only has about 30 signatures.  These signatures do not need to
  544. come from IBM - they can come from anywhere.
  545.  
  546. To re-state the question - is there anywhere that I can find a list of
  547. such signatures?  Reading this forum for a while - I occasionally see
  548. one posted for an individual virus in a post.  I'm wondering if there
  549. is any list being maintained by some individual or organization.  I
  550. understand there are now more than 300 signatures.  My 30 means I'm <
  551. 10% protected.
  552.  
  553. I will search IBMLink for information on Virscan signatures and post
  554. results if I find anything.  If anybody else knows a source, posting
  555. the list, or at least the name of the source would be GREATLY
  556. appreciated.
  557.  
  558. Thanks
  559.   -Tim
  560.  
  561.   ---------------------------------------------------------------------------
  562.           In real life:  Tim Campbell - Electronic Data Systems Corp.
  563.      Usenet:  campbell@dev8.mdcbbs.com   @ McDonnell Douglas M&E - Cypress, CA
  564.        also:  tcampbel@einstein.eds.com  @ EDS - Troy, MI
  565.  CompuServe:  71631,654                  Prodigy:  MPTX77A
  566.  P.S.  If anyone asks, just remember, you never saw any of this -- in fact, I
  567.        wasn't even here.
  568.  
  569. ------------------------------
  570.  
  571. Date:    Wed, 20 Feb 91 06:20:00 -0500
  572. From:    John Perry KG5RG <PERRY@UTMBEACH.BITNET>
  573. Subject: McAfee Products (PC)
  574.  
  575.         This is just a short note to let everyone know that the new
  576. McAfee suite of products is available on beach.gal.utexas.edu.
  577.  
  578.                               John Perry KG5RG
  579.                               University of Texas Medical Branch
  580.                               Galveston, Texas  77550-2772
  581.  
  582. You can send mail to me at any of the following addresses:
  583.  
  584. DECnet   : BEACH::PERRY
  585. THEnet   : BEACH::PERRY
  586. Internet : perry@beach.gal.utexas.edu
  587. Internet : john.perry@f365.n106.z1.fidonet.org
  588. BITNET   : PERRY@UTMBEACH
  589. SPAN     : UTSPAN::UTADNX::BEACH::PERRY
  590. FIDOnet  : 1:106/365.0
  591.  
  592. ------------------------------
  593.  
  594. End of VIRUS-L Digest [Volume 4 Issue 30]
  595. *****************************************
  596.  
  597.  
  598.  
  599.  
  600.