PCSOFT

09 Nov 1989 - 22 Sep 1991

Topics

bios (50)
ms.dos (492)
unix (322)
os.2 (5)
jezici (125)
cccc (343)
clipper (273)
turbo.pascal (247)
tools (219)
grafika (189)
programiranje (156)
tekst.procesori (164)
word.perfect (222)
ventura (216)
windows (270)
spec.softver (212)
virusi (255)
zastita (44)
knjige (61)
razno (668)
mreze (75)
ms.word (42)
nabavka (153)
baze.podataka (60)
radne.tabele (2)
van.teme (17)
4dos (25)

Messages - virusi

virusi.1 dejanr, 09 Nov 89

Kompjuterska tema 1989. godine su virusi - o njima se dosta zna ali se od njih i dalje dosta strada. U okviru ove teme izložite svoja iskustva vezana za PC viruse sa kojima ste imali posla.

virusi.2 dejanr, 09 Nov 89

U IBMPC direktorijum upisani su programi FSP_16 (Flu Shot Plus) i VSCAN koji, po našem mišljenju i mišljenju stručnjaka PC Magazine-a, predstavljaju najbolju shareware bateriju za borbu protiv virusa. VSCAN će pregledati vaše diskove i pronaći fajlove zaražene virusima (prepoznaje četrdesetak vrsta virusa, verovatno više nego što će ikada stići do Jugoslavije) dok Flu Shot predstavlja rezidentnu vakcinu koja će presresti svaki (ne garantujemo!) nasrtaj na vaš hard disk ili CMOS RAM. Posebno vas upozoravamo na duhovitu dokumentaciju koja prati Flu Shot. Ukoliko na nekoj od disketa "gajite viruse", svakako je izložite dejstvu VSCAN-a i izvestite o tome šta je pronađeno a šta (eventualno) nije - da znamo čega se treba manje a čega više bojati!

virusi.3 godza, 09 Nov 89

Vscan mi se sviđa, samo ne bi bilo loše kada bi mogao da pregleda i *.APP fajlove. Probao sam ga na jednom računaru koji je bio "zaražen" virusom "STAMP", ili tako nešto ali on ga nije otkrio. Doduše radilo se o verziji 039 ,koja otkriva "samo" 39 vrsta virusa. Virus je otkriven pomoću programa serum.exe , koji je ujedno i "izlečio" dotični fajl. Toliko o VSCANU i njegovoj pouzdanosti. Flu Shot sam isto probao ali ne volim mnogo rezidentne programe. Smešno mi je što štiti i beč fajlove od ispravke, mada se to u datoteci Flushot.dat može uvek ispraviti. Pozdrav Godža

virusi.4 vkostic, 19 Nov 89

Rezidentni programi (kao FLU-SHOT) definitivno nisu zgodni. Zauzimaju memoriju i sudaraju se sa drugim rezidentnim programima. SCAN je zaista fantastican! Napraviti virus jeste izaziv. Ali napraviti virus da drugima unistava diskove, to ne razumem. Neverovatno, ali softverom je moguce napraviti dosta stete na PC-u. Moze se spaliti monitor, na primer. Moze se unistiti i motor za pomeranje glava na disk jedinici. Kako je krenulo, uskoro cemo videti i takve viruse koji bukvalno sahrane kompjuter. Predlazem da se u okviru ove konferencije izvestava o zarazenim programima koji kruze okolo (uz podatke kako prepoznati takve kopije).

virusi.5 dejanr, 20 Nov 89

Nisu tu samo virusi opasni - prave se hardverske zaštite koje, ako neko pokuša da hakeriše po programu, uništavaju podatke. Neko će možda reći "što je tražio to je i dobio" ali nije tako - čim nešto slično postoji u kodu, postoji i šansa da se zbog neke greške ili ko zna čega to i izvrši. Zbog toga bi američkoj firmi koja bi prodavala ovakav softver na sudu odrali kožu ali u manjim zemljama tog pravnog sistema nema - čuo sam da proizvođači domaćih hardverskih zaštita u program ugrađuju ovakve stvari (ili bar pričaju da ih ugrađuju... ko će ga znati) što znači da nas svašta čeka... Lično nikada ne bih koristio program zaštićen hardverskim ključem - probao sam neki Multi Lingual Scribe i bilo mi ga je dosta za sat vremena!

virusi.6 vkostic, 20 Nov 89

Dejane, dobro si informisan. Takve zaštite zaista postoje, a neke od njih sam ja lično pravio. Ti si Dejane svojevremeno na temu piratovanja rekao nešto ovako: "Ako nekome dam program za koji znam da mu treba, a da ga sigurno neće (ili ne može) kupiti, onda je to OK". Ja se slažem sa tim stavom. Amerikanac može da kupi neki C kompajler, na primer, za neznatan deo svoje plate. Jugosloven za to mora da radi mesecima. Prema tome, piratovanje je suviše kompleksna tema da bi se na to gledalo kao na crno/belo. Ali stoje i to da se u Jugoslaviji NE MOŽE prodavati program ako on nema neku zaštitu. Ako je program dobar, on će jednostavno planuti preko drugarskog davanja i piratovanja, i od prodaje nema ništa. A onaj ko je uložio veliki napor da taj program napiše ima prava da nešto i zaradi. Za jednog privatnika sam napravio vrlo zgodnu karticu za zaštitu programa. Stvar je dimenzije 5x11 cm i jednostavno se utakne u bilo koji prazan slot. Jeste da treba otvoriti kompjuter, ali zato posle iz njega ne vire nikakvi dodatci koji se priključuju na RS232. Sa tom karticom se programi vrlo jednostavno štite. Neke zaštite sa tom karticom sam zaista radio tako da program obriše hard disk ako primeti da je neko pokušavao da skine zaštitu. Moj stav je krajnje jednostavan: Ako ti prodam program, instaliraj karticu i koristi program. A ako si ti toliko drzak da pokušaš da razvališ zaštitu (verovatno da bi program piratovao), onda si stvarno SAM TRAŽIO đavola. Sećaš se da sam ti svojevremeno dao program XRD. Taj program sam napisao za svoju ličnu upotrebu. Tebi sam ga dao jer je to bila tvoja ideja. Davao sam ga i drugim ljudima jer nisam sebičan i drago mi je da što više ljudi koristi taj program. Međutim skoro sam naleteo na jednu kopiju tog programa koji se više nije zvao XRD nego nekako drukčije, i na kojem je neki majmun stavio svoje ime. XRD nažalost nije bio zaštićen, ali neke moje nove rutine jesu. Ako neko stavi svoje ime umesto mojeg, onda program obriše hard disk. Dali je to moralno? Za mene jeste. Program neće ništa uraditi onome ko ga normalno koristi. A majmunu koji pokuša da ukrade moju intelektualnu svojinu sledi ono što sledi. Ako se Dejane i dalje ne slažeš sa mnom, razmisli o ovome: šta bi radio kada bi ja nekako ukrao tvoj program RIND, stavio na njega svoje ime i počeo da ga prodajem po Beogradu? Mogao bi samo da slegneš ramenima, jer mi u takvoj situaciji ne možeš ništa. Takva je Jugoslavija. Pa zašto onda da programeri ne štite svoje programe? P.S. Dejane, imam novu verziju programa XRD (bez zaštite!). Ako još uvek koristiš tu rutinu, javi da ti pošaljem novu verziju.

virusi.7 dejanr, 20 Nov 89

Vrlo zanimljiva tema za diskusiju! >> Ali stoje i to da se u Jugoslaviji NE MOŽE prodavati >> program ako on nema neku zaštitu. Mislim da ne stoji! U Jugoslaviji u principu važe isti mehanizmi kao i u svakoj drugoj (kako tako tržišno orijentisanoj) državi, prosto su možda neke konstante drugačije. A ti mehanizmi su sledeći: ako se ja bavim nekim poslom, ako u tom poslu pokušavam da budem konkurentan i ako kupim kompjuter a onda i neki program da bi u poslu bio još konkurentniji, onda sam ja potpuno lud ako program dajem drugima! Naravno, desiće se da ja i još neko kupimo program i platimo ga po pola ali ćemo tada obojica biti ludi ako program dalje delimo. Ukoliko je program jako opšti i jeftin, potreban koeficijent ludila je manji pa će i širenje biti brže. Ako je program specijalizovan i skup, vrlo malo će se piratovati! U Americi je nekada bilo mnogo zaštićenih programa a sada ih gotovo i nema - čak ni novi Lotus i dBASE nisu zaštićeni! Naravno, i tamo ima piratstva ali ipak softverske firme vrlo lepo prolaze - kad i kod nas bude bilo više računara i više tržišta, pravila će više važiti i to je sve! Drugo, ako program za nešto stvarno koristim, *mnogo* mi znači podrška autora koju nemam ako dobijem piratovanu verziju - neka su na mom računaru YU slova malo drugačije raspoložena i piratovani tekst procesor lepo mogu da bacim! Zato mislim da se kod nas (kao i svugde drugde) program može sasvim lepo prodavati bez zaštite - štiteće ga orijentacija na uže tržište, visoka cena, dokumentacija i podrška kupcima! Navodim jedno iskustvo sa prodajom ćiriličnih fontova za laser - čovek pita "a da li ja to mogu da dam kolegi" i dobije odgovor "vaša stvar, ali onda to sami instalirajte". Naravno, kupila su obojica po jedan set! >> Za jednog privatnika sam napravio vrlo zgodnu karticu za >> zaštitu programa. Stvar je dimenzije 5x11 cm i jednostavno >> se utakne u bilo koji prazan slot. Jeste da treba otvoriti >> kompjuter, ali zato posle iz njega ne vire nikakvi dodatci >> koji se priključuju na RS232. Sa tom karticom se programi >> vrlo jednostavno štite. Zvuči zanimljivo... zgodnije nego dongle koji odbija računar od zida. Ali ima i mana - konkretno, znam jednu odličnu 386 ploču koja ima 6 slotova: jedan za memoriju, jedan za serijsko paralelnu karticu, jedan za modem, jedan za skaner, jedan za disk kontroler, jedan za grafičku karticu i... gde ćemo zaštitu? A zaštitu drugog programa drugog autora? Ali nema udobne zaštite! >> Neke zaštite sa tom karticom sam zaista radio tako da >> program obriše hard disk ako primeti da je neko pokušavao >> da skine zaštitu. Moj stav je krajnje jednostavan: Ako ti >> prodam program, instaliraj karticu i koristi program. A ako >> si ti toliko drzak da pokušaš da razvališ zaštitu >> (verovatno da bi program piratovao), onda si stvarno SAM >> TRAŽIO đavola. Ja takav program nikad ne bi stavio u računar pa ne znam kako da je koristan - ako tu negde ima kod koji briše podatke, otkud ja znam da se nekom greškom (recimo, neki drugi program "poludi" i lupi na hard disk neki podatak koji uleti u tvoj program - ja ni kriv ni dužan) neće desiti havarija! Uostalom, mislim da su sve te hardverske zaštite relativno lake za razbijanje uz dobru opremu - PCAD je pao na emulator 80286 i to za 3 sata! Nevolja sa takvim zaštitama je što se uz malo opreme može *vrlo lako* uloviti trenutak kada program pristupa periferiji a posle stvarno nije teško malo disasemblirati unaokolo i tražiti "opasan" kod. Uz to, čak i bez opreme može se instalirati Flu Shot ili neki drugi antivirus program i sasvim sigurno uloviti pokušaj brisanja podataka sa diska! >> ... šta bi radio kada bi ja nekako ukrao tvoj program RIND, >> stavio na njega svoje ime i počeo da ga prodajem po >> Beogradu? Mogao bi samo da slegneš ramenima, jer mi u >> takvoj situaciji ne možeš ništa. Ne bi to bio prvi put da se tako nešto desi i stvarno bih slegao ramenima - mislim da onaj ko to radi govori sasvim dovoljno o sebi i da će to vrlo brzo svaki potencijalni "kupac" ukapirati; ja "stradam" ali bar ostajem zapamćen kao neko ko je napravio dobar program! Ali mislim da ni zaštita tu mnogo ne pomaže - pre ili posle (verovatno pre) neko će je razbiti i tek onda počinje deljenje unaokolo - ja ostajem zapamćen kao neko ko je napravio lošu zaštitu! >> imam novu verziju programa XRD (bez zaštite!). Ako još uvek >> koristiš tu rutinu, javi da ti pošaljem novu verziju. Kako da ne, XRD stalno i vrlo rado koristim mada mi je jednom napravio havariju - naime, da bih obrisao direktorijum moram da se "popnem" iznad njega a ja sam jednom hteo da budem pametan pa otkucao XRD . (šatro, tačka je tekući dir). Nešto mi je izgledalo da brisanje predugo traje pa sam resetovao računar i našao... disk u haosu. Srećom, bio je drajv E na kome i tako nema prevažnih stvari ali mi je otišla tabela skorova u tetrisu što me je unazadilo za dva meseca! Nova verzija me itekako interesuje. Za one koji ne koriste XRD (niti taj ekvivalent "nepoznatog autora"), XRD TEMP briše direktorijum TEMP i sve datoteke u njemu; sa XRD TEMP /S možete obrisati i sve poddirektorijume - zgodno kad treba "ubiti" neki od Microsoftovih jezika ili Logitech Modulu 2...

virusi.8 vkostic, 20 Nov 89

Kako iz C-a pristupiti printeru? Vrlo Lako: #include<stdio.h> #include<stdlib.h> main() š FILE *fp; if( (fp=fopen("prn","w")) == NULL ) š printf("ERRORĐn"); exit(1); ć fprintf(fp,"TESTĐn"); fclose(fp); ć E, da. Ali program ne radi. Bar tako kažu ljudi. A kod mene radi savršeno. Dobro, kažem ja, probajte onda "prn:", "lpt", "lpt1", "lpt1:", itd. Ne ide. Probajte drugi kompajler. TC 1.0, TC 1.5, TC 2.0, MSC 5.0. Ne ide. Probajte drugi DOS - 3.10, 3.20, 3.30, 3.31. Ne ide! Pa dobro, dali taj C ne valja ništa? Ne, C je savršen. Samo što je u sistem uleteo virus koji blokira periferne uređaje! Ako ni vama ne radi gore navedeni program, vreme je za antivirus vakcinu!

virusi.9 vkostic, 20 Nov 89

Dejane, mislim da smo trebali da otvorimo novu temu - "MORALNI ASPEKTI PROGRAMIRANJA I ZAŠTITE PROGRAMA". Naša rasprava ne spada pod "VIRUSI". XRD sam unapredio prema tvojoj zadnjoj primedbi: da može da obriše sve iz direktorijuma, ali da sam direktorijum ne ukloni. Otkucaj samo XRD i dobićeš uputstva. Takođe, emituje jedno vrlo dugačko beep ako pokušaš da obrišeš ceo disk C ili D. XRD V2.1 šaljem u okviru ove poruke. Namenjen je svima koji žele da ga koriste (i nema nikakvu zaštitu). Ono sa tačkom ću sada da probam. Ako se radi o bug-u, onda ćemo uskoro imati XRD V3.0. Pozdrav, V.K.

virusi.10 dejanr, 20 Nov 89

Tema je otvorena (ZASTITA), poruke prepisane, čak je i XRD tamo... Ovde ćemo i dalje diskutovati o običnim virusima!

virusi.11 zormi, 03 Dec 89

"Nabavio" sam virus koji kruzi okolo, a ne otkrivaju ga meni poznati anti-virus programi (VSCAN48, ANTI-VIR, VSTOP, SERUM2...). Kaci se za .COM i .EXE (samo po jedanput) i produzava ih za oko 2880 bajtova. Vrlo je zarazan, u radu se ne primecuje, ne otkriva ga nijedan memory map program. Izdvojio sam deo koda virusa pomocu koga se moze otkriti: HEX: C4 08 5D C3 50 53 51 52 56 57 06 9C FA B8 08 00 Istu sekvencu sadrze i neki Vienna virusi koje VSCAN otkriva, pa pretpostavljam da je ovo neka doradjena verzija "austrijanaca".

virusi.12 dejanr, 04 Dec 89

Znaš li možda šta taj virus uradi na kraju balade? Mora da je u pitanju neki YU virus - prosto ne mogu da verujem da ga VSCAN ne prepoznaje ako je stranski. Inače, imam negde ekvivalent VSCAN-a koji IBM prodaje i koji omogućava korisnicima da sami zadaju sekvence koje karakterišu viruse što, kako sam autor kaže, ima dobrih i loših strana. Tu bismo mogli da dodamo i taj virus...

virusi.13 dejanr, 04 Dec 89

VIRSCAN.ZIP je u IBMPC direktorijumu. Svi ćemo zamoliti Zorana da ga isproba na tom virusu i, ako ne ide, ugradi u odgovarajuću datoteku šifru virusa pa nam je pošalje da se zaštitimo...

virusi.14 zormi, 05 Dec 89

Nazalost (na srecu !), ne znam sta je bio krajnji cilj virusa. U radu se ni po cemu nije primecivao, a nisam "cackao mecku" i postavljao datum na "Petak 13." i sl. Datoteku VIRSCAN.DAT sa ubacenom sekvencom (na 53. mestu) saljem u prilogu. virscdat.zip

virusi.15 vkostic, 16 Dec 89

Kako skinuti famozni ping pong virus kada se uglavi na boot sektor hard diska? Neko ce reci da treba formatirati hard disk, ali postoji jednostavnije resenje. Treba samo uzeti NDD i reci mu da hard disk napravi boot-abilnim. Posle toga NDD ce generisati novi boot sektor *bez* virusa. Jednostavno i brzo. Posle ovog otkrica ping pong virus ne smatram vise za nezgodnim za skidanje. Inace, da kucnem o drvo, ni jedan virus se jos nije uglavio na moj hard disk.

virusi.16 gnoc, 24 Dec 89

řÚZdravo svima ! Mi o virusima, virusi po nama. Kolega ljekar, dr. M.Erjavec, koji sodjeluje u evropskom projektu COST B2 - uniformizacija hard i soft ware-a u medicini i ima puno "Electronic MAIL" veza sa centrima u evropi, dostavio mi je material o veoma destruktivnom virusu. Nalazi se na disketi sa inace interesantnom tematikom : "AIDS information disk". U prilogu saljem datoteku AIDS.ZIP. Sadrzi dio EMAIL konferencije na tu temu. Pozdrav, Gorazd aids.zip

virusi.17 dejanr, 25 Dec 89

Tekst je neverovatan, za one koji nisu čitali našli su se ludaci koji su investirali $150,000 u slanje zaraženih disketa na nekoliko hiljada adresa, u okviru diskusije se opisuje kako ovaj "trojan" radi... Super stvar. U direktorijumu IBMPC je novi SCANV52 koji između ostalog testira i AIDS - probajte! Za Gorazda pitanje - diskusija koja je išla uz poruku je pre- kinuta na najinteresantnijem mestu. Može li se pribaviti još te diskusije ili bar dobiti broj tog BBS-a/mreže na kome se stvari događaju (neki VAX?) pa da skupimo sami?

virusi.18 gnoc, 26 Dec 89

I sam sam bio veoma zainteresiran za o sto Ę$9XŻć âg■ űsledi. Ali na zalost to je sve sto imam o AIDS virusu. Pozdrav, Gorazd P.S. Mozda neko u YU vec posjeduje to cudo, pa cemo njega zamoliti za printer listing.

virusi.19 gnoc, 26 Dec 89

Jos nesto oAIDS-u. U ZIP-u ima puno MAIL adresa, ali se ja na te stvari, ne razumijem bas nista. Mozda neko drugi ... Zanimljivo je, da jugosloveni ocito nismo tako zanimljivi kao Zimbabve. Radim naime na Onkoloskom institutu u LJ. i do nas ta disketa nije dosla. Bas nam je sa srecom. Pozdrav, Gorazd

virusi.20 zcvijetic, 04 Jan 90

Gorane! Molio bih te da mi posaljes taj virus STAMP (ukoliko ga jos uvijek posjedujes), jer bih ga rado analizirao i napravio vakcinu za njega. Pozdrav, Zoran

virusi.21 zcvijetic, 04 Jan 90

Zorane! Molio bih te da mi posaljes taj virus koji produzava za cca 2880 bajtova (ukoliko ga jos uvijek posjedujes), jer bih ga rado analizirao i napravio vakcinu za njega. Inace, tom virusu je ime 2885 i izgleda da potice iz nasih krajeva (pogledaj MM 1/90). Pozdrav, Zoran

virusi.22 dejanr, 04 Jan 90

Korisnik SEZAM-a je od nedavno i Zoran Cvijetić, saradnik "Računara" koji ima dosta iskustva sa virusima i koji je napisao komercijalni antivirus program. Osim nekog vida predstavljanja tog programa, bilo bi vrlo zanimljivo da dalje diskutujemo od virusima i zaštiti. Predložio bih sledeću početnu temu koja se meni kao korisnika PC-ja koji do sada (na sreću) nije imao posla sa virusima nameće. Dakle, na raspolaganju su mnogi antivirus programi koje ću ja zvati vakcine - dakle nešto što se instalira u memoriju, bude rezidentno, i kada god neki program proba nešto opasno, cap, prozor i upozorenje. Ovakve vakcine mogu da budu manje ili više efikasne ali svaka od njih je veoma dosadna (barem meni) - u normalnom radu toliko puta se pojavi upozorenje da čovek iskoči iz kože. Zato ni jedan program tipa Flu Shota kod mene nije preživeo pola sata. Sa druge strane imamo programe kao VSCAN koje ću zvati detektori: oni u sebi sadrže kod karakterističan za neke viruse i prema tome ih pronalaze u raznim datotekama na disku; neki mogu i da ga odstrane ali mi to nije toliko bitno; nek on lepo nađe virus, a ja ću ga lepo obrisati i čist račun! Za mene ovakav program predstavlja jedino upotrebljivo rešenje jer kad stavim neku novu disketu, lupim VSCAN A: i ako kaže da je sve u redu, ne treba mi nikakav rezidentni smetač. Naravno, loša strana ove kon- cepcije je što ako se pojavi novi virus, VSCAN ga ne na- lazi. Ali opet, mislim da virus do Juge stiže mnogo pos- le VSCAN-a koji ga otkriva - suočeni smo, na sreću, sa "matorim" virusima dok zahvaljujući BBS-ovima imamo naj- noviji VSCAN (ja ga skinem preko na 4089884004 čim se pojavi). Problem je i u domaćim virusima ali mislim da se i oni mogu nekako zaobići prosto pazeći šta se uzima. Dakle, ima li nekog među oblika vakcine koji ne bi smetao pri normalnom radu a otkrivao bi i stare i nove viruse? Dejan

virusi.23 dejanr, 05 Jan 90

Prilog diskusiji o virusima - razgovor sa Homebase/CVIA BBS-om, izvorom VSCAN-a. Videćete spisak PC antivirus programa koje oni nude kao i deo diskusije iz relevantne konferencije. virusi.zip

virusi.24 zcvijetic, 07 Jan 90

Zdravo! Odmah na pocetku jedna ispravka. Nisam saradnik "Racunara" vec dobrih pola godine, nego "Mog mikra". Da odmah predjemo na stvar. Predstavljanje mog programa cu ostaviti za neku drugu priliku (u izradi je demo verzija, pa cim bude gotova poslati cu je). Sada je bitnije da malo porazgovaramo o konceptima zastite. Zastita od virusa se, po meni, mora odvijati na tri nivoa (prevencija-detekcija-lijecenje) da bi bila cjelokupna, a time i efikasna. Svaki dio sam za sebe ima prednosti i nedostataka, dok sva tri zajedno pokrivaju nedostatke onih drugih, tako da ostaju samo prednosti. Bez lijecenja se ne moze, to znamo svi. Medjutim, lijecenje nije univerzalno rjesenje, a stara mudra poslovica glasi "Bolje sprijeciti nego lijeciti". U Jugoslaviji virusi kasne, to je istina, ali tko kaze da neki virus ne moze do nas doci prije nego do drugih (2885 virus je primjer upravo toga)?! I u nas ima momaka koji su sposobni i spremni napisati virus! Pri tome budimo svjesni toga da se virusi ne mogu zaobici samo tako sto pazimo sta se uzima ili sta se izvrsava na racunaru. Postoje i prefinjeniji nacini sirenja (o kojima ne bih ovdje, to spada pomalo u domen poslovne tajne) i to je ono sto me najvise brine i zbog cega cijelo vrijeme govorim da su anti-virus programi nezaobilazni. Problem je i sa "bombama". Virus je lako detektirati, ali bombu ne. Kad nju primjetis onda je vec kasno za lijecenje. Tu je, takodjer, potrebna rezidentna zastita, jer je to jedini nacin da se takve akcije sprijece. Jos jedan argument u korist rezidentnoj zastiti je da je ona korisna, cak i kad nema virusa, jer stiti korisnika od njegovih gresaka. DOBRA rezidentna zastita NECE korisnika uznemiravati i smetati mu. To je jedan od faktora koji odvajaju dobar anti-virus od losega. Cijela stvar je dakle u tome da je program efikasan, a ne preosjetljiv. Flu-Shot Plus je otisao na stranu preosjetljivosti, iako ima dobar koncept (nije to jedini program koji ima dobru ideju, a losu implementaciju, ali ovdje je to za shvatiti, jer njegov autor ne zivi od njega). Zbog toga ga mnogi ne koriste. Medjukorak postoji, ali nije efikasan, i glasi: najobicniji prosireni ceksum datoteka (provjerava se i duzina datoteke, datum itd.). Tu tehniku je upotrijebio T. Erjavec u RETROVIR-u, samo sto on nju naziva tehnika diferencijalne dijagnoze, dok je cijeli ostali svijet naziva tehnika signatura. Nije efikasan zbog toga sto, kako nije rezidentan, suvise opterecuje korisnikovo vrijeme (mora pregledati sve programe na svim tvrdim diskovima odjednom), pa se upotrijebljava rijetko (kada korisnik ima vremena i zivaca za tako nesto), a u medjuvremenu neka nam je Alah na pomoci! Rezidentna implementacija (opet lose ostvarena) tehnike signatura je ukljucena u Flu-Shot. Moj RTSC - Run-Time Signature Check (dio ANVIS-a) pravi takodjer korake u tom smjeru (opis nacina kako on funkcionira pogledajte u prikazu koji je u MM 1/90), s time sto vec sad ne ometa korisnika skoro nikad kad nije potrebno, a nadam se da ce u iducoj verziji (upravo u izradi) biti jos bolji. U razvoju imam jos par programa, koji ce kad budu gotovi pokriti sva ona 3 nivoa o kojima sam govorio. Pri tome se vodim slijedecim: malen utrosak memorije-velika brzina-ljubaznost prema korisniku bez opterecenja. Ako uspijem u ovome smatram da cu imati program kakav bi Dejan zelio, uz punu efikasnost. Mislim da je ovo put koji bi trebali slijediti i ostali autori anti-virusa. Pozdrav, Zoran P.S. Molim svakoga tko ima neki primjerak virusa da mi ga posalje radi analize, pogotovo ukoliko ga nemam (zasada imam 648, 1701/1704, 1808, 1813 i Italian). Unaprijed zahvalan!

virusi.25 rkorda, 07 Jan 90

Zorane virus 2885 postoji opisan u fajlu virusi.txt koji se nalazi u programu scanv52.zip na sezamu. Hteo sam da uputim jedno sarkasticno pismo Mom mikru (koga redovno kupujem i citam uostalom kao i Svet kompjutera i Racunare. ). Autori claNaka bi morali pazljivije da prate stranu literaturu a i programe koji se pojavljuju. Proveri mislim da se ovaj virus nalazi i u nekim ranijim verzijama programa scan. Imam viruČ└Ůž÷ ´Ýˇöŕâ┴Tăˇ┼ş]s Ping pong na jednoj disketi- to jeű▀ ű virus boot sektora. Nisam ga obrisao pa cu ti ga rado ustupiti. Ako ga zelis trazi me u radno vreme na telefon 626-235 (poz br.011) pozdrav korda

virusi.26 zormi, 09 Jan 90

:: Molio bih te da mi posaljes taj virus koji produzava za cca :: 2880 bajtova (ukoliko ga jos uvijek posjedujes), jer bih ga :: rado analizirao i napravio vakcinu za njega... Sorry, preformatirao sam disketu gde sam ga (za svaki slucaj) cuvao. Inace, virus sam "dobio" uz igru BLOCKOUT na Sajmu ucila u Beogradu (mislim da je bio stand EI). Pozdrav !

virusi.27 pcemerikic, 11 Jan 90

Dali znate za virus koji ima karakteristican kod (nadlazite ga sa PCTOOLSom) XDD, ili pa virus o kojem se u Mom Mikru od 1.'90 kaze da je izmisljen u Sloveniji? To je virus koji svira (Yankee) u 17:00 h. Ko bi hteo da ga dobije neka ostavi poruku za PREDRAG CEMERIKIC, a na raspolaganju je i ANTIDOTE - program (za ciscenje). Pozdrav ULTRA!

virusi.28 mikij, 14 Jan 90

Zamolio bih da mi neko kaze (napise) kaki sta rade antivirus programi VSTOP i VACCINE (Mace). Miki.

virusi.29 dejanr, 14 Jan 90

Koliko ja shvatam stvari, VACCINE je rezidentni program koji čuči u memoriji i čim neko nešto proba, on tup, upozorenje pa sad ti do- pusti ili nemoj (recimo, kad radiš sa Nortonom to te izludi). VSTOP u sebi ima "signaturu" nekoliko virusa - i on je rezidentan, kad naleti program kgŕh ima virus on te lepo upozori i još ga star- tuje sa isključenim virusom. Ovo je očito mnogo zgodnije rešenje od vakcine... bar do dana kada dobiješ program čija signatura nije ugrađena u VSTOP. Inače bih umesto oba preporučio VSCAN.

virusi.30 dejanr, 15 Jan 90

******** PAŽNJA, PAŽNJA, VIRUS HARA YU BBS-OVIMA ******** (sorry za ovako senzacionalistički naslov, al ako privuče pažnju bio je dobar) Fajl SIMCSS.ZIP ("Odličan simulator CGA kartice, probajte") koji je na MIPS-u ima virus. Virus je 1701/1704 tip B (tako ga VSCAN naziva), kači se na COM fajlove i produžuje ih za pomenuti broj bajtova; osim toga je rezidentan u memoriji. Nemam pojma kakav mu je konačan cilj ali do daljega svakako treba smatrati da je vrlo opasan. Jedini lek koji ja vidim (i koji sam kod sebe primenio, kako iz- gleda uspešno) je: 1) Butovati sistem sa DOS diskete koja je zaštićena od upisa. 2) Startovati VSCAN C: VSCAN D: VSCAN E: i tako za sve diskove u sistemu. Ako nemate VSCAN na DOS disketi, poslužiće i VSCAN sa zaraženog diska pošto je EXE a ne COM. 3) Sve u čemu je virus nađen, obrisati i skinuti sa backup disketa. Onda još jednom VSCAN i tako dok ne dobijete čist disk. Pošto se virus verovatno proširio i na COMMAND.COM, moraćete i ovaj fajl da skinete sa DOS diskete pri čemu treba biti oprezan. 4) Dok radite 1-3, ponavljajte ime Antun Kovačević ("pošiljalac" zaraženog fajla) uz odgovarajuće epitete i lepe želje. Inače, zanimljivo je kako se SIMCSS širio na mom računaru. Starto- vao sam ga preksinoć (ne znam šta mi bi da prvo ne uradim VSCAN), video da je simulator jad i beda (lete dve slike po ekranu), onda otkucao RELEASE da ga skinem iz memorije i, pošto to nešto nije išlo, resetovao računar i obrisao SIMCSS. Na žalost, tom prilikom se RELEASE.COM zarazio. Posle je sve bilo u redu dok danas nisam skidao neke rezidentne programe iz memorije (inače vrlo retko koristim MARK/RELEASE ali ... desilo se) posle čega je MINFO davao neke vrlo čudne podatke, neke blokove koji nisu oslobođeni i tako to. Mislio sam da je RELEASE koji koristim mator i da ne ume da se snađe sa 386 ali posle izvesnog vremena MINFO poče da daje još čudnije stvari iz čista mira. Tu ja posumljam, VSCAN i... Ne znam ni sam šta je iz ovoga zaključiti, MIPS iz nekog razloga raspakuje fajl pa ga opet ZIP-uje i ja sam živeo u ubeđenju da se tom prilikom izvrši i VSCAN (zašto bi ga inače dearhivirao i arhivirao?). Međutim, VSCAN bi primetio virus (jedino ako koriste neku staru verziju VSCAN-a) pa se očito kontrola ne vrši. Stvarno ne bih hteo da obezvredim vredne upload-e raznih korisnika ali ja od sada ne uzimam i ne koristim softver sa BBS-ova, pogotovu ne male i simpatične rutine koje treba "obavezno probati". Koga jednom ujede zmija.... Pozdrav, Dejan :-(((

virusi.31 dejanr, 15 Jan 90

Pošto je pročitao poruku, Davor Stare mi je ponudio program CLEANP55.ZIP, pandan VSCAN-a (isti autori) koji uklanja viruse koje VSCAN prethodno pronađe. Program je u IBMPC direktorijumu i, kako sam na brzinu probao, zaista uklanja ovaj virus vraća- jući fajlove na normalu (generalno je mnogo lakše ukloniti virus iz COM nego iz EXE fajla). Ja se, ipak, srećnije osećam kada zaražene datoteke obrišem ali ako je nešto čega nema na backupu...

virusi.32 mikij, 15 Jan 90

Dejane hvala. Ja inace koristim VSCAN ali sam hteo da znam informativno na sta sve mogu da se oslonim (koliko sam siguran) jer mi nije potrebno da navucem "neku zaraznu bolest". Hvala jos jednom. Miki.

virusi.33 bojt, 16 Jan 90

Virus 1701/1704 B je harao gradjevinskim fakultetom i *kači se i na EXE fajlove

virusi.34 dejanr, 17 Jan 90

Evo još malo podataka o AIDS virusu; to je, ako se sećate, onaj trojan koji su neki ludaci poslali na 9000 adresa (što košta reda veličine $150,000) a koji posle dvadesetak dana jednostavno pobriše hard disk. Izgleda da program baš i ne pobriše disk, nego ga šifruje a nji- hova ideja je da naplate dešifrovanje. Kompanija postoji, u Panami je ali vlasnik nije Norijega nego neki Nigerijci. Verovatno su se, međutim, malo "prebacili" u računu jer nisu predvideli da će USA napasti Panamu i da će se tako naći tačno tamo gde nikako nisu hteli da se nađu... Ali da vam ne prepričavam, evo izvoda sa BIX-a, konferencija SECURITY. aids2.zip

virusi.35 dejanr, 22 Jan 90

Niko, naravno, ne voli da bude zaražen virusom ali mnogi vole da čitaju o virusima. Nešto literature za njih: tema Critters sa BIX-ove konferencije SECURITY. Naći ćete svašta - koliko autor Flu Shot-a zarađuje, koliko plaća pomoćnicu, zašto od shareware-a nema ništa, zašto će od shareware-a biti nešto, da li je neko ko distribuira programe "zađaba" lud, da li se uopšte može zaraditi na antivirus programima, koliko ljudi veruje da u stvari isti ljudi prvo prave viruse pa onda antivirus programe i tako dalje... Meni je najzanimljiviji neki jadnik čija firma stalno ratuje sa nekim virusom na lokalnoj mreži - malo malo pa sve ode do đavola. Ljudi su se najzad setili da čim im nešto postane sumnjivo, brišu WordPerfect sa svih čvorova; posle opet sve OK! virusi.zip

virusi.36 dejanr, 25 Jan 90

Evo i ostatak, Critters do današnjeg dana. Novi termin 'safe hex' i slične stvarčice... critt2.zip

virusi.37 dejanr, 31 Jan 90

Vesti sa BIX-a o novim virusima - našao se jedan VRLO interesantan koji je gotovo nemoguće detektovati pošto samog sebe šifruje i ima samo 8 instrukcija koje vrše dešifrovanje na početku a i tih osam instrukcija se raspoređuju na 24 razna načina, na primer: INC SI CLC MOV AX,86FA MOV AX,F69F MOV DI,0147 MOV DI,0147 NOP INC SI INC SI MOV CX,0550 CLD CLD CLC DEC BX DEC BX Ljudska zloba je zbilja neograničena! virusi.zip

virusi.38 dejanr, 03 Feb 90

Sećate li se idiota koji su napravili AIDS virus (ili bolje Trojan) i poslali ga grdnim bolnicama po svetu potrošivši $150,000 za celu akciju? E, ukebaše ih - evo vam super friška vest o tome (još friškija kada uzmete u obzir razliku između našeg i Američkog vremena): ========================== tojerry/copy.protect #1761, from gkewney, 616 chars, Fri Feb 2 16:26:06 1990 -------------------------- TITLE: Gottim! The character who distributed the Aids Information Disk around the world has (police say) been traced to Cleveland, Ohio. His name is Dr Joseph Popps, a medical computer consultant. He distributed a disk with information about the disease, with a "copy protection" scheme which involved trashing your hard disk after 50 to 100 reboots -- whether or not you used his software -- and insisting on sending him $178 for the cure. He has been arrested on blackmail charges, demanding money with menaces, and is expected to be extradicted from Ohio to London within two months to stand trial. Guy K.

virusi.39 majkl, 07 Feb 90

Uz casopis "What micro?" februar 89 firma űStrange Software prilozila je i program TESTVACC ű koji na ű 4 nacina upisuje poruke na boot sektor. Nazalost program je pod kopirajtom... Ako ga posedujes, zanima me kako ű je tvoj antivirus program prosao na testu. U mojoj magnetnoj ba űsti drzim na oku par virusa (Viena ver.A, Jerusalem B), ako se SYSOP-i sloze da oznaceni kao ZARAZENx ´kuz promenu ekstenzija na XEE i MOC mogu da se salju uz poruke poslacu ih sledeci űput pozdrav MAJKL

virusi.40 dejanr, 07 Feb 90

Virusi?? Uh... možda da ih pošalješ na šifru !VIRUS i u svakoj poruci da naglasiš "... ovi programi su zaraženi..." A opet, možda je bolje da se ne igramo đavola.

virusi.41 zormi, 10 Feb 90

Imam sledece viruse: Vienna B (DOS 62) - ne znam sta radi 1701/1704 - "padajuca slova" Yankee Doodle - svira istoimenu melodiju Da li nekog interesuje razmena ? P.S. Koliko znam taj "Jerusalim B" je mnogo gadan (brise disk). Pozdrav !

virusi.42 dejanr, 18 Feb 90

>> Ljudska zloba je zbilja neograničena! Ali i pamet se nekako drži :-) ... Dakle, SCANV57.ZIP koji je u IBMPC direktorijumu pronalazi i ovakve "kameleonske viruse".

virusi.43 dejanr, 22 Feb 90

Nema kraja virusima - u IBMPC direktorijumu je SCANV58.ZIP za koji, u okviru dokumentacije, piše: Notes on Version 58: Version 58 contains checks for a number of new viruses. The EDV virus submitted by Dave Chess at IBM is a boot sector and Partition table virus that was identified in mid-January. It is a troublesome virus that causes program crashes and some data destruction. Another new virus, the 512, is a sophisticated virus from Bulgaria. It was discovered by Vesselin Bontchev and forwarded through Fridrk Skulasson in Iceland. The virus infects COM files, including COMMAND.COM, and can cause run time problems including program crashes and hung systems. The third new virus was sent out over the VALERT-L network accidently on February 13th to about 600 people. It is a memory resident COM and EXE infector that increases file size by 1559 bytes. It has not yet been fully analysed but it has been included in this version of scan due to the widespread distribution of the virus.

virusi.44 dejanr, 27 Feb 90

Iako znam da nije lepo smejati se nevolji, opis ovog Trojana me je ljudski nasmejao - ludaci su smisli kako da vas ZAISTA ubede da vam je računar neispravan i to na 12 raznih načina, posle svakog reseta sledi novi. Da bi stvar bila još strašnija, program je napravljen tako da "zaobilazi" Flu Shot+ i, kako izgleda, svaki drugi rezidentni antivirus program. Teško nama ako ovo stigne do Juge! Poruka je, jasno, preuzeta sa BIX-a.

virusi.45 dejanr, 27 Feb 90

========================== security/long.messages #48, from hshubs, 13259 chars, Mon Feb 26 00:55:21 1990 -------------------------- The "Twelve Tricks" trojan - alert and description We have recently received and analysed a trojan that we believe warrants an urgent alert. We are calling it the Twelve Tricks trojan, and it is very interesting, very nasty, and quite complex. This message is not meant to be a complete description of the trojan - we feel that it is important to get a warning out quickly, rather than aim for completeness. It is not a virus. The trojan consists of a program (more about this aspect later) which you run; running the program, as well as the obvious things that the program is expected to do, also replaces the partition record (also called the Master Boot Record, or MBR) on your hard disk with its own version. This can easily be recognised by inspecting the hard disk at cylinder zero, head zero, sector one, which can be done with a disk sector editor such as Peeka. If the partition has this trojan in place, it will contain the following text near the beginning: SOFTLoK+ V3.0 SOFTGUARD SYSTEMS INC At this point, let us state that we believe that the company mentioned above has nothing whatsoever to do with the trojan; perhaps the trojan author has a grudge against them. The trojan uses a far call to the hard disk Bios code in order to plant this partition. To do this, it must know the location in memory of the entry point; it tries five different ones, one of which is the one documented in the IBM PC-XT Technical reference manual, and the other four are presumably fairly common alternatives. The purpose of planting the trojan with a far call is, we believe, to escape detection by Active Monitor programs that protect a computer by monitoring the interrupt table, and preventing unauthorised writes to system areas on the hard disk. Since Twelve Tricks doesn't use an interrupt to plant the MBR, such programs won't be able to prevent it. We tested this using Flushot+, probably the most successful of the Active Monitors, and Twelve Tricks went straight through it - the same would be true, we think, of any other Active Monitor. **The Replacement MBR** When the MBR is run, which is every time you boot from the hard disk, Twelve Tricks copies 205 (d7h) bytes of itself onto locations 0:300h to 0:3d6h. This overwrites part of the interrupt vector table, but it is a part that doesn't get used very much. This means that these d7h bytes are memory resident without having to use any of the TSR calls of Dos, and without having to reserve part of high memory. Reserving part of high memory is the usual ploy used by Boot Sector Viruses, but the drawback of that route is that you might notice that a few kb from your 640 kb has disappeared (CHKDSK would reveal this). The method used by Twelve Tricks would not show up as a loss from your 640 kb. When the computer is started up, a random number generator determines which of the Twelve Tricks will be installed. It does the installation by replacing one of the interrupt vectors with a vector that points to the Twelve Tricks own code, and then chains on to the original code. The twelve tricks are: 1. Insert a random delay loop in the timer tick, so that 18.2 times per second, the computer executes a loop that is randomly between 1 and 65536 long (different each time it is executed). This slows the machine down, and makes it work rather jerkily. 2. Insert an End-Of-Interrupt in the timer tick. This interferes with the servicing of hardware interrupts, so for example, the clock is stopped, TSRs that depend on the timer tick don't work, and the floppy motor is permanently on. 3. Every time a key is pressed or released, the timer tick count is incremented by a random number between 0 and 65535. This has a variety of effects; programs sometimes won't run, when you type "TIME" you get "Current time is divide overflow", and copying files sometimes doesn't work. 4. Every time interrupt 0dh is executed, only do the routine three times out of four. Interrupt 0dh is used on PCs and XTs for the fixed disk, on ATs for the parallel port. 5. Every time interrupt 0eh is executed, only do the routine three times out of four. Interrupt 0eh is used for the floppy disk. 6. Every time interrupt 10h is called (this is the video routine), insert a delay loop that is randomly between 1 and 65536 long (different each time it is executed). This slows the video down, and makes it work rather jerkily and/or slowly. 7. Every time the video routine to scroll up is called, instead of the requested number of lines being scrolled, the entire scrolling window is blanked. 8. Every time a request is made to the diskette handler, it is converted into a write request. This means that the first time you try to read or write to a diskette, whatever happens to be in the buffer will be written to the diskette, and will probably overwrite the boot sector, FAT or directory, as these must be read before anything else can be done. If you try to read a write protected diskette, you get "Write protect error reading drive A". If you do a DIR of a write enabled diskette, you get "General Failure ...", and if you inspect the diskette using a sector editor, you'll find that the boot and FAT have been zeroed or over-written. 9. Every time interrupt 16h is called (read the keyboard) the keyboard flags (Caps lock, Num lock, shift states etc) are set randomly before the keystroke is returned. This means that at the Dos prompt, the keyboard will only work occasionally. Programs that poll interrupt 16h will be unusable. Holding down the Del key will trigger a Ctrl-Alt-Del. 10. Everything that goes to the printer is garbled by xoring it with a byte from the timer tick count. 11. Every letter that is sent to the printer has its case reversed by xoring it with 20h. Also, non-alpha characters are xored, so a space becomes a null, and line feeds don't feed lines. 12. Whenever the Time-Of-Day interrupt (1ah) is executed, do an End-Of-Interrupt instead. This means that you can't set the system clock, and the time is set permanently to one value. These are the twelve tricks. In addition there are two more things that the trojan does. It uses a random number generator; one time out of 4096, it does a low level format of the track that contains the active boot sector; this will also destroy part of the first copy of the FAT. You can recover from this by creating a new boot sector, and copying the second copy of the FAT back over the first copy. After it does the format, it will display the message "SOFTLoK+ " etc as above, and hang the computer. If it doesn't do the format, it makes a random change to a random word in one of the first 16 sectors of the FAT, which will make a slight and increasing corruption in the file system. This is perhaps the worst of the things that it does, as it will cause an increasing corruption of the files on the disk. **The Dropper program** The program that drops the trojan was, in the specimen that we analysed, a hacked version of CORETEST, a program to benchmark hard disk performance. The file is CORETEST.COM, it is version 2.6, (dated 1986 in the copyright message) had a length of 32469 bytes, and it was timestamped 6-6-86, 9:44. When we looked in more detail at this program, we found some interesting things. It looks as if the original CORETEST program was an EXE file, and the trojan author prepended his code to it. This code consists of some relocation stuff, then a decryptor, to decrypt the following 246h bytes. The decryption is a double xor with a changing byte. Those 246h bytes, when run, examine the memory to try to find one of five sets of hard disk handler code (presumably corresponding to five Bioses). When it finds one of them, (we have identified the first one as being the IBM XT Bios) it plants the trojan MBR in place, using a far call to the Bios code. The trojan MBR is 200h of the 246h bytes. The trojan is patched so that it also does disk accesses using a far call to the same location. Finally, the prepended trojan passes control to the original program. We call the combination of the prepended code, plus the original program, the Dropper. The main purpose of the encryption, we would guess, is to evade detection by programs that check code for bombs and trojans. There are no suspicious strings or interrupt calls in the code until it is decrypted at run time. As far as we can tell, it is not a virus, but a trojan. However, it is unlikely that all the patching to the original program was done by hand - it is far more likely that the trojan author wrote a prepender program (we would call this the Prepender), to automatically attach his code to the target executable. If this is the case, then there are two consequences. The first is that he might have trojanised other programs besides the one that we have examined. In other words, there might be other Droppers around besides the one we have examined. The second is that if that is the case, we cannot rely on the encryption having the same seed each time, as the Prepender might change the seed each time it operates. So it would be unsafe to search files for the encrypted MBR. Instead, we propose a search string based on the decryptor. Indeed, a further possibility exists. The Prepender program might have been placed into circulation, and people running it would unwittingly be creating additional Droppers. There is absolutely no evidence to suggest that that is actually the case, but we would ask anyone who detects this Dropper in one of their files, to also examine all the others. **Detection** Here's a variety of ways to detect the trojan. The hexadecimal string e4 61 8a e0 0c 80 e6 61 is to be found in the MBR. This string will also be found in memory if you have booted from a trojanised MBR, at location 0:38b. You can use Debug to search in memory. A useful search string to detect the Dropper is be 64 02 31 94 42 01 d1 c2 4e 79 f7 **Getting rid of it** It's easy to get rid of Droppers; just delete them and replace them with a clean copy. If you find the string above in the MBR or in memory at 0:38b, you need to boot from a clean Dos diskette and replace the partition record. DO NOT use Fdisk to do this unless you are prepared for Fdisk to zero your FAT and directory; you will lose all your data that way. One way would be to do a file-by-file backup, low-level format to get rid of the trojan MBR, then Fdisk Format and restoer your backup. We would recommend doing two backups using as different methods as possible if you use this route, in case one of them fails to restore. The other way to replace the partition is to run a program that drops a clean partition record onto the MBR, but doesn't change the partitioning data. We are currently preparing one of these - please ask if you need it. **Damage done** The whole of the MBR is used for the code. Most normal MBRs don't use more than half the space, and a number of other programs have started using this space. For example Disk Manager, and the Western Digital WDXT-Gen controllers (but the Dropper doesn't work on the WDXT-Gen). This means that the Dropper might cause an immediate problem in some circumstances. The main damage done, however, will be in the impression that this trojan creates that your hardware is suffering from a variety of faults, which usually go away when you reboot (only to be replaced by other faults). Also, the FAT gets progressively corrupted. ** Occurrences ** So far, this has only been reported in Surrey, England. It was noticed because it made a disk using Speedstor to control it, non-bootable. Disks that are controlled in the normal way, remain bootable. We would be grateful if any sightings could be reported to us, especially if the Dropper program is different from the one we have examined; we would also like a specimen of it.

virusi.46 dejanr, 08 Mar 90

Po ko zna koji put, novi SCANV999 je u direktorijumu IBMPC. Teško virusima!

virusi.47 vkostic, 09 Mar 90

Odakle kupis te silne SCAN-ove Dejane?

virusi.48 dejanr, 09 Mar 90

Najčešće sa izvora - Homebase CVIA BBS, 4089884004; tamo ih prave. Ponekad i sa MIPS-a (mnogo brže ide) ako ga Tom pre mene pokupi. Bilo kako bilo, ažurni smo :-)

virusi.49 zormi, 17 Mar 90

Nabavio sam i virus Jerusalem B (PLO)... Dobio sam ga na "poklon" od jednog naseg BBS-a u Paul Mace-ovoj vakcini koja "potpuno stiti od svih poznatih virusa" kako je pisalo u di- rektorijumu. Inace, pronasao ga je FLUSHOT (a nalaz potvrdio SCAN). Nisam znao da FLUSHOT pored zastite vrsi i detekciju...

virusi.50 dejanr, 18 Mar 90

>> Nabavio sam i virus Jerusalem B (PLO)... Dobio sam ga na >> "poklon" od jednog naseg BBS-a u Paul Mace-ovoj vakcini Kaži nam koji BBS i koji tačno fajl - da se još neko ne nasadi! Ja inače čim nešto razzipujem (makar stajalo na mojim rođenim disketama :-) ) kucam SCAN! Pozdrav, Dejan

virusi.51 zormi, 18 Mar 90

Posto zarazeni program nije skinut sa liste (ostavio sam poruku SYSOP-u pre 3 dana) evo: AB OVO BBS (Zagreb), VACCINE.COM.

virusi.52 vkostic, 18 Mar 90

>> Ja inače čim nešto razzipujem (makar stajalo na mojim >> rođenim disketama :-) ) kucam SCAN! Da, to i ja radim. Da kucnem o drvo, jos ni jedan virus nije upao na moj hard. Pozdrav, V.K.

virusi.53 zormi, 21 Mar 90

Imam i virus PING PONG version B (BOOT virus). U jednoj nasoj radnoj organizaciji su ga imali na prakticno svakoj nezasticenoj disketi. Otkriva ga SCAN. Dakle, lista virusa koji (provereno) kruze Beogradom se uvecala na 6 vrsta.

virusi.54 dejanr, 21 Mar 90

Možda bi bilo dobro da ipak skupimo te viruse radi nekakvog proučavanja. Šta mislite, da na šifru !virusi šaljemo poruke praćene datotekama sa virusima? Ja ću prikupiti par koje imam u staklenoj bašti pa ću ih danas-sutra poslati.

virusi.55 vkostic, 22 Mar 90

>> Šta mislite, da na šifru !virusi šaljemo... Dali se moze znati spisak svih javnih sifri? Ja sam do sada znao samo za !INFO. Pozdrav, V.K.

virusi.56 dejanr, 22 Mar 90

>> Dali se moze znati spisak svih javnih sifri? !ALL, !DUGI, !INFO, evo sad ćemo i !VIRUSI. Naravno, i vicevi ali to je tajna javna šifra koja se dobija kad potpišeš izjavu. Pozdrav, Dejan

virusi.57 dejanr, 22 Mar 90

Ne znam prati li to neko još, ali u IBMPC direktorijumu imamo novu verziju SCANV-a, mislim da je broj 60. Sad teško virusima :-)

virusi.58 dejanr, 24 Mar 90

Nadam se da nas neće skoro pogoditi, ali evo podataka o nekim novim virusčićima. ========================== security/alert #77, from jonr, 2058 chars, Fri Mar 23 03:25:42 1990 -------------------------- TITLE: Pretoria and Durban virus; some early details. I am still waiting for more detailed material, but have received the following, kindly FAXed by Ian Melamed, BSS FAX (011) 804-3105. I can also do a certain amount of playing postman, if necessary. We ourselves have not so far seen or suffered from either of these viruses: PRETORIA VIRUS hits .COM files only, growing them by 879 bytes (or enlarging them to 1758 bytes if they were originally under 879 bytes). When an infected file is run, the current drive (or, the drive noted in unallocated FCB1 of the PSP if there was a drive-specific first parameter on the command line) is scanned for COM files. All uninfected files are infected, wham. Obviously, on XT-machines, very long boot times have been reported at infected sites, since the scan is always a full-depth recursive directory tree scan! The Trojan is actuated only when the date is June 16th. On this date, running an infected file causes all entries in the root directory of the "selected" drive to be renamed "ZAPPED". File attributes of the affected files are all changed to 0x20 too. The virus is weedily encrypted (Caesar cipher) and doesn't "recrypt" itself when infecting files. In fact, the signature is in the encrypted part - I call it "sigma frethole", as that's what it is (chars 229,159). DURBAN VIRUS infects both .COM and .EXE files, growing them up to a paragraph boundary and then another 669 bytes. It works by indirect action, having some "Jerusalem reminiscent" aspects to its "I am already resident" function. The Trojan date is Saturday the Fourteenth (isn't that mind-splittingly funny), on which days the first 100 logical sectors of drive C, then B, then A are overwritten with rubbish. No messages, warnings or cookie requests. Paul Ducklin, CACDS, CSIR Pretoria. OK, courtesy of Mssrs Melamed & Ducklin, you now know what I know. Enjoy! Obviously many of the standard techniques will be effective against these two, but many of the static scanners will not, not till they have been updated. Jon.

virusi.59 zurh, 24 Mar 90

Povodom svih ovih novih i starih virusa, evo odgovora : CLEANP60.ZIP 45375 Heals/Removes ALL Viruses-from McAfee(03-18-90) SCANV60.ZIP 44482 Viruscan System Scanner Ver 60 (03-18-90) SCANRS60.ZIP 29651 SCANRES Infection Prevention Prog. (03-18-90) CKOT11.ZIP 49040 Checks archived files for viruses (12-23-89) sve ovo mozete naci u datoteci s&c.zip Pozdrav Svima !

virusi.60 dejanr, 24 Mar 90

Programi su prebačeni u IBMPC direktorijum. Hvala na prilogu. Pozdrav, Dejan

virusi.61 vkrstonosic, 26 Mar 90

Danas sam sa McAfee BBS-a prebacio nove verzije SCANV60 i CLEANP60. AKO je neko u redakciji zainteresovan, odnosno ako to niko nije ranije prebacio, javite da posaljem, da mogu i drugi da koriste. Na BBS-u pise da su to verzije iz marta 90. Pozdrav svima, Vlada

virusi.62 vkrstonosic, 26 Mar 90

Ja prvo ostavim poruku, pa onda vidim da su me ljudi vec pretekli, nema veze. Ipak, moram nesto da dodam, imam problema sa scanv60, slabo radi sa mojim hardom. Svaki cas prijavljuje greske, treba neko stalno da mu pritiska "R". Kazu neki, da se McAfee trudio da sto vise ubrza postupak, pa zato ima problema sa nekim diskovima. Ostavicu mu poruku u njegov licni BBS, pa cu javiti sta je bilo. Vlada řÚ

virusi.63 vkostic, 26 Mar 90

:: ... imam problema sa scanv60, slabo radi sa mojim hardom. :: Svaki cas prijavljuje greske, treba neko stalno da mu :: pritiska "R". A dali si siguran da ti je hard OK? Probaj sa PCT ili NDD da zadas da ti testira ceo hard disk - mozda imas neke BAD SECTOR-e u sred fajlova. Pozdrav, V.K.

virusi.64 vkrstonosic, 27 Mar 90

Vlado, hard mi je u reduű▀, ali imam nekih problema u komunikaciji diska i kontrolera.Nam se da cu uskoro da menjam sistem, pa sve nije ni tako bitno. Ipak hvala. Pozdrav, Vlada

virusi.65 valeksic, 03 Apr 90

Posedujem 4 virusa: 1.Bouncing ball I 2.Bouncing ball II 3.Jerusalem virus version B 4.Yankee Doodle Prva tri virusa dobio sam protiv svoje volje,dok sam poslednji dobio razmenom.Ako nekoga interesuje razmena ili informacija o pomenutim virusima,neka mi se javi na tel.(011)/192-980.

virusi.66 dejanr, 07 May 90

Rat između proizvođača virusa i asocijacije McAfee se nastavlja - u IBM PC direktorijumu je SCANV62.ZIP.

virusi.67 dejanpolo, 09 May 90

PAZNJA: Novi 'dobri' SCAN62, SCAN59, SCANRS60 ne registruju prisustvo Jerusalem Virus Vers B u memoriji, dok ga uspesno, i pod ovim nazivom nalaze na disku. Sto je jos cudnije stari SCAN45 pronalavaj virus u memoriji. Izgleda da je brzina uzela svoju zrtvu. Pozdarav Dejan Polomcic.

virusi.68 mikij, 02 Jun 90

Sada nesto zanimljivo! Demo program Zorana Zivotica LED (to je editor...) ne moze da se zarazi virusom Yenky Doodle (da li se ovako pise?). Sta drugi misle o ovome? Miki.

virusi.69 dejanr, 03 Jun 90

>> Demo program Zorana Zivotica LED (to je editor...) ne moze >> da se zarazi virusom Yenky Doodle (da li se ovako pise?). >> >> Sta drugi misle o ovome? U čemu je štos? Jel YD napada samo .COM a LED je EXE? Ili je u njega skriven neki serum... :)

virusi.70 znesovic, 06 Jun 90

Posto sam video da neko ima Zoranovu datoteku LED molio bih da je neko ostavi da bih je download-ovao. Datoteku sam video na ETF BBS-u ali verovatno zbog losih veza nikad nisam uspeo da je uzmem. Unapred puno hvala Zeljko

virusi.71 dejanr, 07 Jun 90

Loša vest: pojavio se virus STEROID, napraviće čudo svakog 6. juna (FORUM/MICROB 25.139) Dobra vest: u pitanju je virus za Maca :)

virusi.72 bulaja, 07 Jun 90

>> Posto sam video da neko ima Zoranovu datoteku LED molio bih da >> je neko ostavi da bih je download-ovao. Datoteku sam video na ETF >> BBS-u ali verovatno zbog losih veza nikad nisam uspeo da je uzmem. Stize LED. Mogao bi Sysop da ga stavi u IBMPC direktorijum, kad vec nije do sada. Pozdrav ! led.zip

virusi.73 mikij, 07 Jun 90

Ne znam. YD napada i EXE i COM programe. Hteo sam da vidim za koliko prosiruje programe da bi mozda!!! napravio vakcinu, ali LED uopste nije rastao. Po meni postoje dve mogucnosti. 1) Da LED u sebi sadrzi potpis YD pa da ovaj misli da je program vec zarazen, ali sta onda ceka SCAN koji nalazi YD u svim drugin programima (mozda koriste razlicite potpise za raspoznavanje). 2) Da Zoran Zivotic pise strasne programe (BB na primer). :-) He,he malo sale nije na odmet. Mozda bi trebale da se prave vakcine tako da se u zdrave programe ubacuje potpis virusa... Ali dokle bi to dovelo. Pozdrav, Miki. P.S. Bilo bi pozeljno da mi se javi neko ko ima viruse u svom uzgajalistu, jer sam se stvarno zainteresovao za njih.(kao programer he,he,he (a moze i :-)))))) ) ).

virusi.74 djovicevic, 07 Jun 90

Zdravo svima, Prilazem ovde fajl MYTHS.ZIP, skinut sa Exec-PC, koji treba obavezno procitati! Zdravo! Dragan myths.zip

virusi.75 znesovic, 08 Jun 90

Ja se zaista slazem sa tobom da bi tu datoteku trebalo staviti u IBMPC direktorijum. Bio sam zacudjen kada sam video da je nema na SEZAMU a daj je na ETF BBS-u odavno ima. Medjutim sta vredi sto je ima kada nisam uspeo da je skinem a probao sam najmanje 5-6 puta. Jos jednom hvala! Zeljko

virusi.76 majkl, 08 Jun 90

ű▀ Danas mi je do ruku došla disketa sa EMS drajverom, koja se isporučuje uz računar, 5.25" flopi koji sa desne strane uopšte nema prorez tj. zaštićena je od upisa. Ništa neobično, sem što se u boot sektoru nalazi Disk Killer virus (SCAN ga je odmah detektovao) !! Ne znam tačno poreklo ove diskete, ali je očigledno da se danas sve češće postavlja pitanje da li je i regularno nabavljen softver, u originalnom pakovanju 'čist'. I tamo rade ljudi, zar ne? SCAN nije svemoćan, ali vredi... Pozdrav, Majkl

virusi.77 dejanr, 09 Jun 90

>> Danas mi je do ruku došla disketa sa EMS drajverom, koja se >> isporučuje uz računar, 5.25" flopi koji sa desne strane >> uopšte nema prorez tj. zaštićena je od upisa. Ništa neobično, >> sem što se u boot sektoru nalazi Disk Killer virus (SCAN ga >> je odmah detektovao) !! Ne mora nepostojanje otvora značiti da je disketa originalna - (skoro) svaki drajv ima mikroprekidač kojim se određuje da li je write-protect kada otvor postoji ili kada ne postoji. Neko se samo malo više potrudio da disketu zarazi. >> SCAN nije svemoćan, ali vredi... Da, a od danas je u katalogu i SCANV63... zahvaljujući vzivkovicu.

virusi.78 vkostic, 09 Jun 90

>> ... u boot sektoru nalazi Disk Killer virus. Sta radi taj Disk Killer? Ja sam ga skoro skidao sa jednog harda, ali nisam primetio da je napravio neku narocitu stetu, osim sto se drajv A: cesto blokirao. Pozdrav, V.K.

virusi.79 dejanr, 11 Jul 90

Izašao ne novi SCANV64. Evo šta kažu o njemu: This version, as well as adding detection for numerous new virii, has the capability to search files compressed with LZEXE. It will first search the compressed file, then uncompress it and search again. Scan V64 identifies 111 different strains, or 186 substrains of virus. Ako ga neko ima, neka posašalje. Ako nema, ostaje samo da se download-uje iz Amerike što je sporo, dosadno, skupo... Ali ako ne bude druge... Pozdrav, Dejan

virusi.80 milan, 12 Jul 90

Dejane, na fakultetu (na onoj triosamsestici koja ima VGA u maloj sobi gde je i laser, u direktorijumu TRICKLE (na E: ili F:)) imamo sve verzije 64 anti virusa i SCAN i CLEAN i VSHIELD. Imam i ja kod sebe ali ne znam kako da ti srucim 200 kB a ne znam ni kako se upucuje jer ja uglavnom napamet lupam po tastaturi kada sam u Sezamu (kupio sam jedne tvoje novine sa uputama za uporabu ali nisam stigao da procitam). Ako ti treba javi se. Milan

virusi.81 milan, 12 Jul 90

Dejane, e sada sam shvatio (kada sam ti napisao prethodnu poruku) kako se salje datoteka - pa evo je (ili ih dok me tvoja sprava ne iskljuci) Milan

virusi.82 milan, 12 Jul 90

Evo i CLEANP64.zip milan

virusi.83 milan, 12 Jul 90

evo jos

virusi.84 milan, 12 Jul 90

Evo i poslednji put da posaljem ařÚntiřÚvirusne datoteke. 1. Ne znam kako drukcije pa svaki put moram ponovo da saljem poruku¸│ 2. Stalno mi na ekran baca neko djubre 3. Razocarenje - ! antivirusna verzija 64 proverava viruse samo u file-ovima spakovanim lzeexe metodom Pozdrav, milan

virusi.85 dejanr, 12 Jul 90

Hvala na virus detektoru i ostaloj artiljeriji - prebacio sam ih u IBMPC direktorijum. Sutra će da bude masovni download :) Pozdrav, Dejan

virusi.86 vkrstonosic, 13 Jul 90

Prebacio sam od McAfee-a program VCOPY64.ZIP duzine 30.720 bajtova. Program zamenjuje standardnu dos komandu COPY i pri kopiranju pronalazi preko 100 virusa (kao scan64). Ako je neko zainteresovan neka se javi, da ga ne saljem bez veze. Pozdrav, Vlada

virusi.87 dejanr, 13 Jul 90

VCOPY64.ZIP već imamo zahvaljujući dr Milanu Božiću. Uz poruku 6.86 u ovoj konferenciji.

virusi.88 dejanr, 10 Aug 90

========================== security/alert #87, from hshubs, 637 chars, Thu Aug 9 20:25:18 1990 There is/are comment(s) on this message. -------------------------- **COPIED FROM: ========== ibm.exchange/front.desk #213, from smckinty, 519 chars, Wed Aug 8 11:32:40 1990 ---------- TITLE: PC Today Virus (August issue) The following note has just been emailed around my office. I have no idea as to its validity, or whether it is old news or a UK only problem. I am submitting it for info, just in case. ***** VIRUS ALERT ***** The August edition of PC Today Volume 4 No. 4 published by Database Publications contains a free diskette. The diskette is infected with the OGRE virus. The diskette should not be used on any PC.

virusi.89 dejanr, 13 Aug 90

U IBMPC direktorijumu je novi SCANV - verzija 66. Skok sa 64 na 66 je objašnjen u ovom segmentu dokumentacije koji opisuje i ostale novitete nove verzije. Danas će da radi download ... :)) Notes on Version 66: We skipped version 65 since a trojan version 65 of SCAN appeared on a few bulletin boards in March of this year. Better safe than sorry. So this version logically follows version 64 of SCAN. This version of SCAN has added an option to transparently attach a CRC validation code to all of your executable files, your boot sector and your partition table. This will help protect your system in case a virus unknown to SCAN is encountered. SCAN will check these validation codes if requested and will alert the user to any files or system areas that have changed. Subsequent versions of VSHIELD (Version 67 and above) will also check this validation field if present, and will prevent programs infected with unknown viruses from executing. Version 66 has added 31 new viruses to the list of known viruses, bringing the current total to 213 viruses. We have also added the Joshi, Fish6, Vienna and Zerobug to the list of viruses that can be non-destructively removed from your system by Clean- Up. All four of these viruses are becoming widespread. Of interest in this release are two new viruses that infect both executable programs and boot sectors. The 1253 virus, which activates on December 24th, infects boot sectors of floppies, the partition table of hard disks and any COM files in the system, including COMMAND.COM. The virus originated in Eastern Europe. It is very destructive. The second virus has been named Anthrax, and is also from Eastern Europe. This virus infects COM files, EXE files and the partition table of the hard disk. Both viruses are difficult to remove without appropriate detectors and removers.

virusi.90 mikij, 02 Sep 90

Zdravo svima. Interesuje me da li jos uvek neko gaji viruse. Veoma sam se zainteresovao za njih i hteo bih da ih proucavam. Tako da bi mi bilo drago kada bi mi neko dao neki (virus). Pozdrav Miki

virusi.91 zkristek, 08 Sep 90

Prilog: podaci o virusima sa amaterskih BBS-ova virus.zip

virusi.92 zkadic, 13 Sep 90

Da li je neko mozda cuo nesto o virusima na XENIXU/UNIXU? Samo sam nacuo nesto da postoje i to mnogo opasniji nego na DOS-u. Nadam se da to nije tacno. Zoran

virusi.93 dejanr, 14 Sep 90

>> Samo sam nacuo nesto da postoje i to mnogo opasniji nego na DOS-u. >> Nadam se da to nije tacno. Teško da bi virus koji startuje običan korisnik mogao napraviti neku veću štetu. Ako ga startuje root.... bilo bi jednako opasno kao pod DOS-om.

virusi.95 dejanr, 12 Oct 90

Navali narode - u IBMPC direktorijumu je SCANV67.ZIP. Evo šta kažu o novitetima: Our apologies for the delay in releasing V67. At the last minute a major new virus -- the Invader -- was reported at multiple sites across the U.S. and in Asia. We have included a detector and remover for this virus in V67 SCAN and CLEAN. Version 67 has added a report feature to allow the creation of a report file containing a list of found infected files when scanning an infected system. We have also implemented an EXTINCT switch that defaults to not searching for viruses that have become extinct or viruses that are exclusively research viruses. Any virus that has not been reported in the public domain for more than a year has been classified as extinct. Extinct viruses are marked with an asterisk in the VIRLIST.TXT file that accompanies the SCAN program. If you are a researcher and have any of the extinct viruses, you must use the /X switch to force SCAN to search for them. In addition, 10 new viruses have been added to the list of viruses that are identified by SCAN. These viruses are outlined in the VIRLIST.TXT file. Koliko sam na brzinu pogledao, nema ni pomena o onom Frodo ili kako-se-već zvaše virusu koji kod nas na TV pretvoriše u nacionalnu tragediju (dnevnik, A.A i ostali). Pošto nisam video taj virus niti znam ikoga ko ga je video a nema ga ni u novom SCAN-u... pitam se nešto da to nije bila patka?

virusi.96 alazic, 22 Oct 90

Da li neko koristi/ili je koristio paket vakcina V.Bonchova(valjda se ovako to pise..)? Ja posedujem jednu njegovu disketu od 89 godine koja pored nekih vakcina (doduse stare ali ipak rade) i cetiri ili pet raznih programa za provere CheckSum-a datoteka, sve njihove moguce izmene , jedan sjajan int. alarm preko koga se moze sto sta podesiti (na sta da reaguje) i jos nekoliko programa za koje nisam mogao da utvrdim kako rade . Moj problem je u tome sto ti programi koriste asc kodove za rusku cirilicu (128-256 opseg) tako da je svaki rad sa njima nije moguc. Ipak kod jednoga od njih , tj nekakav Alarm4 isprobavao sam sve moguce opcije i uz pomoc stapa i kanapa (tj disk editora ) sam preveo znacenje nekih stavki . Inace smatram da je Alarm4 mnogo bolji od FSP-a i da objedinjuje funkcije vise slicnih takvih programa .. Dakle interesuje me da li neko koristi ove programe ili ima zivce da ih prevodi. Posto je to ipak 360K poslacu na Sezam ali samo ako neko to hoce ..

virusi.97 georges, 22 Oct 90

PPostoji u mojoj prirodi, dragi prijatelju, jedan izvanredan kompjuterski inat, MMMMMMHzato bih se problemom kompjuterskog rusofilstva mogao pozabaviti . Preferiram francuski (otud Georges - Zzorzz!), no kojekude sam u Provinciji ucio osam godina ruskog. Kada ne pisem i citam, "drogiram" se kompjuteristikom. Zato cu se rado pozabaviti tvojim "baljsoi" programom za tamanjenje v-irusa cirusa! Vive l'Ordinateur & comp! Votre amie Georges!

virusi.98 alazic, 23 Oct 90

Dakle evo vam obecane vakcine. Lepo se zabavljajte.... vacc.zip

virusi.99 georges, 25 Oct 90

Merci! Zahvaljujem! Sada cu se ja u medjuvremenima sa ovim dk i dr preparatima malo glavolomkati. Pokusacu da vam posaljem sh ekstrakte. Vive l'Ordinateur! GEORGES, votre ami!

virusi.100 dejanr, 06 Nov 90

======================================================================== Date: 10-22-90 (10:10) Number: 10260 Patriquin's BB To: ALL Refer#: NONE From: KIM MARTIN Read: YES Subj: NEW TROJAN DETECTED !! Conf: (0) Main Board ------------------------------------------------------------------------ Dear Telecommunicators, I recently received a file called SCANV70.ZIP on The Library! BBS. This file contains a trojan that is not detectable by the current version of McAffees Scan program (SCANV67C.ZIP). This trojan will take out your entire file system. I verified with McAffees bulletin board that the most current scan was SCANV67C.ZIP. The next available release will not be out until mid-november according to his board. I also, verified that SCANV70.ZIP contained a trojan and that he is aware of it. Please avoid using SCANV70 or passing it around as there is no defense for it. The file was uploaded under a false logon. I've talked to the person whose name it was uploaded in and he swears it wasn't him. (People, please change your passwords and make them unique by bbs.) Sincerely, Kim Martin, The Library! BBS

virusi.101 alazic, 15 Nov 90

***************************************************** ***************************************************** ***** PAZNJA ***** ***** VIRUSI NA BBS-OVIMA ***** ***************************************************** ***************************************************** Na mome racunaru pojavio se nepoznati virus, koji se ne registruje SCAN67 programom. Smatram da prethodni zakljucak (za viruse na BBS-ovima) je sasvim opravdana jer sticajem okolnosti ni jedan novi byte nije prispeo u moj racunar u zadnjih 4-5 meseci posredstvom disketa (sve datoteke koje imam na disketama(koje su uzgledbudireceno ReadOnly- imaju markice) su stare bar 4-5 meseci i sve su bile izolovan testirane). Jedine nove datoteke sam preuzeo posredstvom modema i to od: TANJUG BBS FENIKS BBS i od SEZAM-a Konkretan zakljucak ne bih mogao da izvedem odakle je ta gamad dosla ali disk mi se potpuno gusi. Takodje ovim niukome slucaju ne bih hteo da ogovaram/olajavam/optuzujem ni jedan od navednih servisa ali zelim da upozorim ostale. Verovatno se pitate kako sam otkrio virus ili vec sta je. Instalirao sam u Autoexec.bat tri programa koja su testirali na nekoliko nacina CheckSum Crc ili vec sta je. Takodje bili su aktivni FSP alarm i Alarm4 (dve godine oba programa su testirani i apsolutno sam siguran u njihovu "nevinost"). Svi su programi po svakome "dizanju" sistemu prijavljivali po desetak novih izmenejnih datoteka. Na kraju napomenucu da nemam nameru da se igram rata sa virusima i nemogu za nikoga da izolujem virus vec dok budete ovo citali kompletan sistem ce biti prebrisan AL

virusi.102 dejanr, 23 Nov 90

========================== security/long.messages #59, from roedy, 4502 chars, Fri Nov 23 00:14:36 1990 -------------------------- TITLE: Checksum virus detection I am in the middle of writing a simple, fast anti-viral program that notices infected files. It occured to me, that if my program became popular, writers of viruses might try to defeat my program. I would like some feedback on my plan. A:\CHECK.COM C:\MYSUB\MYPROG.EXE requests that the program compute a checksum of that file. It outputs it in the form: C:\CHECK.COM C:\MYSUB\MYPROG.EXE 9011234455 Co-incidentally, if you pipe this using: C:\CHECK.COM C:\MYSUB\MYPROG.EXE >> TEST.BAT C:\CHECK.COM C:\MYSUB\ALSO.COM >> TEST.BAT you could create a TEST.BAT file. Then later you might do something like this: C:\CHECK.COM C:\MYSUB\MYPROG.EXE 9011234455 C:\MYSUB\MYPROG.EXE CHECK would validate the checksum. Presumably if the checksum is the same, then MYPROG.EXE has not been tampered with. Periodically you might recheck all the checksums. Since the code is fast, you might validate the checksum just prior to invoking a program, or using a large read-only data file. Devil's Advocate **************** Now let me pretend to be a virus maker, wanting to defend myself against CHECK.COM. One first approach would be to seek out CHECK.COM and defang it. This can be slowed down by renaming it or distributing many different versions of it (make it shareware, and make every registered version substantially different). Direct attack can also be foiled by keeping a copy of CHECK.COM and the expected checksums on a write protected DOS floppy and testing all the checksums from time to time after booting from floppy. A virus maker might vigorously start distributing fake versions of CHECK.COM that was specially programmed to leave his virus intact. It might be wise to advertise CHECK and Shareware with a $5 registration fee -- just enough to cover handling. This way people might be encouraged to get a copy straight from me. I could also distribute source, so knowledgeable people could check for themselves if there is tampering. The next approach would be to attack the file MYPROG.EXE, then add bytes to the file with the sole purpose of fiddling the checksum to make it come out the same as before. This can be foiled again by distributing multiple versions of the program, or even allowing the user to generate varying algorithms. Question? How difficult would it be to fake in some bytes to force a CRC algorithm to a given value? Is there any special merit to CRC for this purpose? A crude virus will increase the length of a file. A subtler virus looks for zeros in the middle of a file and implants itself there, without changing the length. It patches the itself in to execute before the program proper, so it can zero out the area like the smile of a Chesire disappearing before handing control over to the program proper. Thus tracking the length of the file is probably not that useful. My Plan ******* My plan should not rely on secrecy. I will release source code. My algorithm calls for several fudge factors configured in at assembly time. One is the blocksize -- we process files in chunks, e.g. 32K. Another are the initial 16 bit values for checksum1 and checksum2. Next is a bit rotation amount r1 and r2 [0 .. 15] for each stage. The basic algorithm is very quick. Read a block. Compute the XOR of all the words in that block using a tight LODSW ; XOR BX,AX ; LOOP Add the XOR to sum1, then rotate left the sum1 by r1 bits. Add the XOR to sum2, and then rotate right the sum2 by r2 bits. Then read the next block. Repeat. Special handling for the last odd byte if present. The result is two 16-bit sum1 and sum2 bits of gibberish which are treated as a 32-bit number and output as the decimal unsigned checksum. Challenge ********* EVEN if the virus knows the desired checksum, and even if the virus knows the magic fudge factors, blocksize, initial sum1, sum2, r1 and r2, how could a virus adjust a tampered file to hide the damage? If some sort of trial and error were possible, perhaps I should expand this to 64 bits. Then If I gave a user TWO versions of CHECK, each with different fudge factors, does not the poor virus maker have to cry uncle? He'd have an extremely tough time fiddling things so BOTH checksums come out ok. If I released this on the world, and everyone started to use it, and you were a virus maker, how would you attack CHECK? Would you go after the BAT files, CHECK, trapping CHECK'S messages to the screen? Something else?

virusi.103 feniks, 05 Dec 90

Evo posle nepuna dva meseca vec i novog antivirus detektora SCAN 6.0V71 !!!!!!!!!!!!!!!!!!!!!!! Po mojim testovima efikasno otkriva poznate viruse i brzi je od SCAN 5.1V67 za oko 23% SYSOP-i ce se nadam se , potruditi da se nadje na H U IBMPC >>>> Sloba ////////////////////////////////////////////////////////

virusi.104 dejanr, 05 Dec 90

>> SYSOP-i ce se nadam se , potruditi da se nadje U IBMPC Tamo je. Hvala na prilogu.

virusi.105 mikij, 06 Dec 90

Pa posto ste se potrudili za Scan71, ja evo nudim CleanP71... Pozdrav Miki

virusi.106 mikij, 06 Dec 90

A tu je i rezidentni Vshield 71 , koji toplo preporucujem svima narocito 'snaznijima' sa vecom memorijom i brzim procesorom. Pozdrav Miki

virusi.107 feniks, 10 Dec 90

Posle samo 4 dana , evo novog detektora virusa SCAN 6.1B71 od 03.12.1990. U odnosu na predhodnu verziju razlika je u datotekama SCAN.EXE (normalno) i u SCAN71-B.DOC , gde su nabrojana poboljsanja. S P

virusi.108 dejanr, 12 Dec 90

Svi SCAN-ovi, CLEAN-ovi i VSHLD-ovi su u PC direktorijumu. Hvala svima koji su poslali programe.

virusi.109 dejanr, 14 Dec 90

New Virus: ZUC B Update information for altering SAM 2.0 to catch this baby: Virus Name: ZUC B Resource Type: CODE Resource ID: 1 Resource Size: ANY Search String (no spaces): 7002 A260 4E75 2014 A055 2240 String Offset: ANY

virusi.110 djovicevic, 03 Jan 91

Date: Sat, 22 Dec 90 00:25:51 PST From: Aryeh Goretsky <netcom!nusjecs!ozonebbs!aryehg@APPLE.COM> Subject: Christmas Violator Virus CHRISTMAS VIOLATOR VIRUS There has been a hacked version of Omen Technology's DSZ ZMODEM External File Protocol Module called DSZ1203.ZIP. The DSZ file inside is infected with a new variant of the Violator virus known as the Christmas Violator or Violator-B4 virus. The virus contains a an ASCII message from a group called RABID and contains a Christmas Greeting. It is not known what else the virus does. The following search string can be used by VIRUSCAN with the /EXT switch to check for the virus: "51 ba ? ? fc 8b f2 81 c6 9b 11 bf 00 01 b9 03 00" Christmas Violator If you find this virus on your system, run VIRUSCAN with the /D option to delete the infected files. Regards, Aryeh Goretsky Aryeh Goretsky, Tech Support vox (408) 988-3832 │ McAfee Associates fax (408) 970-9727 │ 4423 Cheeney Street bbs (408) 988-4004 │ Santa Clara, California 95054-0253 // │ Internet: aryehg_ozonebbs.uucp!apple.com // │ UUCP: apple!netcom!nusjecs!ozonebbs!aryehg \X/ │ ---------------------- Date: Thu, 20 Dec 90 15:02:43 CDT From: Tom Cervenka <CTCT100%UICVMC.BITNET@UICVM.uic.edu> Subject: Virus Scanners (V90 #191) The author of the note suggests that the VIRUSCAN is unsafe because of trojan versions and suggests another product instead. Actually, the problem is not with the program but with the distribution. VIRUSCAN is shareware so you are encoraged to pass it along. It is this practice that make leaves us vulnerable to the trojans. You can be sure you have an authentic version however if you simply run the validation program and call the bulletin board to verify the checksums. Since new viruses are created each month any virus defense is going to require frequent updates and direct mail is too expensive what with the price of disk media and postage. I think that the CVIA system is one of the best, safest and least expensive. Tom Cervenka - Univ of Il at Chicago, Info Cntr, Phone 6-7739 Internet: ctct100@uicvmc.aiss.uiuc.edu Prodigy: CMGB18A ------------------------------ Date: Thu, 20 Dec 90 16:03:13 cst From: riddle@hoss.unl.edu (Michael H. Riddle) Subject: Re: Virus scanners In digest V90 #191, Robert_Slade@cc.sfu.ca writes: >I suspect that the call for a "safe" virus detector, protector, >disinfector, et al was prompted by the reports that SCAN, one of the >best known, is *not* safe to use. The fact is the files purporting to >be versions 65, 68 and 70 of SCAN have been found to contain viri or >trojan programs. The latest version that I know of is 67C (67 and 67B >were functional but had bugs). >An alternate is F-PROT whose author, Fridrik Skulason,can be reached >at frisk@rhi.hi.is. This is the program that I most recommand.It is >a very complete suite of virus detection and security utilities. >Of the commerical software, I note that VirexPC is written by Ross >Greenburg, well known in anti-viral circles for Flu-Shot. Unfortunately, any utility is subject to the kind of tampering and forgery that SCAN suffered. Starting with version 72, McAfee is distributing it using the -AV autoverification function of PKZIP. I suspect an adroit villian could find a way to fake the -AV signature, but it would be a lot harder. Still, you need to know your source. For me, that means McAfee's board, or someplace like simtel20.army.mil which is known to get the product straight from McAfee.(Or Greenburg or whomever.The point is to know your source.) riddle@hoss.unl.edu │ University of Nebraska postmaster%inns@iugate.unomaha.edu │ College of Law mike.riddle@f27.n285.z1.fidonet.org │ Lincoln, Nebraska, USA

virusi.111 dejanr, 05 Jan 91

Copyright (c) 1988,90 Rob Rosenberger & Ross M. Greenberg Computer Virus Myths by Rob Rosenberger with Ross M. Greenberg A number of myths have popped up recently about the threat of computer "viruses". There are myths about how widespread they are, how dangerous they are, and even myths about what a computer virus really is. We'd like the facts to be known. The first thing to learn is that a virus is a malicious programming technique falling in the realm of "Trojan horses." All viruses are Trojan horses, but few Trojan horses can be called a virus. That having been said, it's time to go over the terminology we use when we lecture: BBS Bulletin Board System. If you have a modem, you can call a BBS and leave messages, transfer computer files back & forth, and learn a lot about computers. (What you're reading right now, for example, most likely came to you from a BBS.) Bug an accidental flaw in the logic of a program which makes it do things it shouldn't really be doing. Programmers don't mean to put bugs in their program, but they always creep in. Programmers tend to spend more time debugging their programs than they do writing them in the first place. Inadvertent bugs have caused more data loss than all the viruses combined. Hacker someone who really loves computers and who wants to push them to the limit. Hackers have a healthy sense of curiosity: they try doorknobs just to see if they're locked, and they tinker with a piece of equipment until it's "just right." The computer revolu- tion itself is a result of hackers. Shareware a distribution method for quality software available on a "try before you buy" basis. You pay for the program only if you find it useful. Shareware programs can be downloaded from BBSs and you are encouraged to give evaluation copies to friends. Many shareware applications rival the power of off-the-shelf counterparts, at just a fraction of the price. (You must pay for the shareware you continue to use -- otherwise you're stealing software.) Trojan horse a generic term describing a set of computer instructions purposely hidden inside a program. Trojan horses tell a program to do things you don't expect it to do. The term comes from a legendary battle in which the ancient city of Troy was offered the "gift" of a large wooden horse that secretly held soldiers in its belly. The Trojans rolled it into their fortified city.... Virus a term for a very specialized Trojan horse which spreads to other computers by secretly "infecting" programs with a copy of itself. A virus is the only type of Trojan horse which is contagious, like the common cold. If it doesn't meet this definition, then it isn't a virus. Worm a term similar to a Trojan horse, but there is no "gift" involved. If the Trojans had left that wooden horse outside the city, they wouldn't have been attacked. Worms, on the other hand, can bypass your defenses without having to deceive you into dropping your guard. An example is a program designed to spread itself by exploiting bugs in a network software package. Worms are usually released by someone who has normal access to a computer or network. Wormers the name given to the people who unleash destructive Trojan horses. Let's face it, these people aren't angels. What they do hurts us. They deserve our disrespect. Viruses, like all Trojan horses, are purposely designed to make a program do things you don't expect it to do. Some viruses are just an annoyance, perhaps only displaying a "Peace on earth" greeting. The viruses we're worried about are designed to destroy your data (the most valuable asset of your computer!) and waste your valuable time in recovering from an attack. Now you know the difference between a virus and a Trojan horse and a bug. Let's get into some of the myths: "All purposely destructive code comes as a virus." Wrong. Remember, "Trojan horse" is the general term for purposely destructive code. Very few Trojan horses are actually viruses. "Viruses and Trojan horses are a recent phenomenon." Trojan horses have been around since the first days of the computer. Hackers toyed with viruses in the early 1960s as a form of amusement. Many different Trojan horse techniques were developed over the years to embezzle money, destroy data, etc. The general public wasn't aware of this problem until the IBM PC revolution brought it out into the spotlight. Banks were still covering up computerized embezzlements six years ago because they believed they'd lose customers if word got out. "Viruses are written by hackers." Yes, hackers have written viruses. So has a computer magazine pub- lisher. Trojan horses were written for decades by middle-aged men wearing business suits. We call people "wormers" when they abuse their knowledge of computers. You shouldn't be afraid of hackers just because they know how to write viruses. This is an ethics issue, not a technology issue. Hackers know a lot about computers; wormers abuse this knowledge. Hackers (as a whole) got a bum rap when the mass media corrupted the term. "Computer viruses are reaching epidemic proportions." Wrong again. Viruses may be spread all over the planet but they won't take over the world. There are about 150 or so known "strains" at this time and some of them have been completely eliminated. Your chances of being infected are slim if you take the proper precautions. Yes, it's still safe to turn on your computer! "Viruses could destroy all the files on my disks." Yes, and a spilled cup of coffee will do the same thing. If you have adequate backup copies of your data, you can recover from any virus/coffee attack. Backups mean the difference between a nuisance and a disaster. It is safe to presume there has been more accidental loss of data than loss by viruses and Trojan horses. "Viruses have been documented on over 400,000 computers." This statistic comes from John McAfee, a self-styled virus fighter who seems to come up with all the quotes the media love to hear. If you assume it takes five minutes to adequately document a viral infection, you have to wonder where Mr. McAfee got almost four man-years to document a problem which is less than four years old. We further assume his statistics include every floppy disk ever infected with a virus, as well as all of the computers participating in the Christmas & InterNet worm attacks. (Worms cannot be included in virus infection statistics.) The press doesn't really understand computer crimes, so they tend to call almost anything a virus. "Viruses can be hidden inside a data file." Data files can't wreak havoc on your computer -- only an executable program file can do that. If a virus were to infect a data file, it would be a wasted effort. But let's be realistic: what you think is 'data' may actually be an executable program file. For example, batch files are text files, yet the MSDOS operating system treats them like a program. "Most BBSs are infected with viruses." Here's another scary myth drummed up in the big virus panic. Very few BBSs are really infected. It's possible a dangerous file may be available on a BBS but it doesn't mean the BBS itself is infected. If a BBS were knowingly infected with a virus, it wouldn't stay open too long after word got out, would it? "BBSs and shareware programs spread viruses." "The truth," says PC Magazine publisher Bill Machrone, "is that all major viruses to date were transmitted by [retail] packages and private mail systems, often in universities." (PC Magazine, October 11, 1988.) The Peace virus, for example, made its way into a retail product sold to thousands of customers. Machrone goes on to say "bulletin boards and shareware authors work extraordinarily hard at policing themselves to keep viruses out." Reputable sysops check every file for Trojan horses; nation- wide sysop networks help spread the word about dangerous files. You should be wary of the software you get from BBSs, that's true -- but you should also be wary of the software you get from store shelves. (By the way, some stores now have return policies for software. Do you know for sure you were the first person to use those master disks?) "My computer could be infected if I call an infected BBS." BBSs can't write information on your disks -- that's handled by the communications software you use. You can only transfer a dangerous file if you let your software do it. (This might be different if your computer is hooked up to a network, but it requires special hardware & software.) And there is no "300bps subcarrier" that lets a virus slip through a high speed modem. The rumor was started by a joker named Mike RoChenle (IBM's "micro channel" PS/2 architecture, get it?) who left a techy-joke message on a public BBS. Unfortunately, a few highly respected journalists were taken in by this joke. "My files are damaged, so it must have been a virus attack." It also could have been caused by a power flux, or static electricity, or a fingerprint on a floppy disk, or a bug in your software, or perhaps a simple error on your part. Power failures and spilled cups of coffee have destroyed more data than all the viruses combined. "Donald Burleson was convicted of releasing a virus." A recent Texas computer crime trial was hailed all over the country as a "virus" trial. Donald Burleson was in a position to release a complex, destructive worm on his employer's mainframe computer. This particular worm couldn't spread to other computers, so it couldn't possibly have been a virus. Davis McCown, the prosecuting attorney, claims he "never brought up the word virus" in the trial. So why did the media call it one? 1. David Kinney, a witness testifying for the defense (oddly enough), claimed he believed Burleson unleashed a virus. The prosecuting attorney didn't argue the point and we don't blame him -- Kinney's bizarre claim probably helped sway the jury to convict Burleson, and it was the defense's fault for letting him testify. 2. McCown gives reporters the facts behind the case and lets them come up with their own definitions. The Associated Press and USA Today, among others, used such vague definitions that any program could be called a virus. If we applied their definitions to the medical world, we could safely claim penicillin is a biological virus (which is, of course, absurd). 3. McCown claims many quotes attributed to him "are misleading or fab- ricated" and identified one in particular which "is total fiction." Reporters sometimes print a quote out of context, and McCown apparently fell victim to it. (It's possible a few bizarre quotes from David Kinney or John McAfee were accidentally attributed to McCown.) "Robert Morris Jr. released a benign virus on a defense network." It may have been benign, but it wasn't a virus. Morris, the son of a chief computer scientist at the National Security Agency, allegedly became bored and took advantage of a bug in the Defense Department's networking software. This tiny bug let him send a worm through the network. Among other things, Morris's "InterNet" worm was able to send copies of itself to other computers in the network. Due to some bugs in the worm module itself, the network became clogged in a matter of hours. The press originally called it a "virus," like it called the Christmas worm a virus, because it spread to other computers. Yet it didn't infect any computers. A few notes: 1. Reporters finally started calling it a worm (a year after the fact), but only because lawyers in the case were constantly referring to it as such. The difference between a worm and a virus is subtle, but profound. 2. This worm worked only on Sun-3 & Vax computers which run a UNIX operating system and were specifically linked into the InterNet network at the time. 3. The 6,200 affected computers cannot be counted in any virus infection statistics (they weren't infected). 4. It cost way less than $96 million to clean up the attack. An official Cornell University report claims the group behind this wild estimate "was probably serving itself" in an effort to drum up business. People familiar with the case estimated the final figure to be under $1 million. 5. Yes, Morris could easily have added some infection code to make it a worm/virus if he'd had the urge. 6. The network bug exploited in the attack has since been fixed. 7. Morris went to trial for launching the InterNet worm and was recently handed a federal conviction. "Viruses can spread to all sorts of computers." All Trojan horses are limited to a family of computers, and this is especially true for viruses. A virus designed to spread on IBM PCs cannot infect an IBM 4300-series mainframe, nor can it infect a Commodore C64, nor can it infect an Apple MacIntosh. "My backups will be worthless if I back up a virus." No, they won't. Let's suppose a virus does get backed up with your files. You can restore important documents and databases without restoring an infected program. You just reinstall programs from master disks. It's tedious work but it's not as hard as people claim. "Anti-virus software will protect me from viruses." There is no such thing as a foolproof anti-virus program: Trojan horses and viruses can be (and have been) designed to bypass them. Anti-virus products themselves can be tricky to use at times. You may make a crucial mistake deciding whether to let a "flagged" event occur. Your first line of defense should always be a good set of backups. Anti-virus software is a good second line of defense. "Read-only files are safe from virus infections." This is a common myth among IBM PC users, and it has even been published (erroneously) in some computer magazines. Supposedly, you can protect yourself by using the DOS ATTRIB command to set the read-only attribute on program files. However, ATTRIB is software -- and what it can do, a virus can undo. The ATTRIB command seldom halts the spread of viruses. "Viruses can infect files on write-protected disks." Here's another common IBM PC myth. If viruses can modify read-only files, people assume they can modify write-protected floppies. What they don't realize is the disk drive itself knows when a floppy is protected and refuses to write to it. You can physically disable the drive's sensor but you can't override it with a software command. We hope this dispels the many computer virus myths. Viruses DO exist, many of them will destroy files, and all of them can spread to other computers. But you can defend yourself with a cool head and a good set of backups. The following guidelines can shield you from Trojan horses and viruses. They will lower your chances of being infected and raise your chances of recovering from an attack. 1. Set up a procedure to regularly back up your files and follow it religiously. Consider purchasing a user-friendly program to take the drudgery out of this task. (There are plenty to choose from.) 2. Rotate between at least two sets of backups for better security (use set #1, then set #2, then set #1...). The more sets you use, the better protected you are. Many people take a "master" backup of their entire hard disk, then take "incremental" backups of those files which changed since the last time they backed up. Incremental backups might only require five minutes of your time each day. 3. Download files only from reputable BBSs where the sysop checks every program for Trojan horses. If you're still afraid, consider getting programs from a BBS or "disk vendor" company which gets them direct from the authors. 4. Let newly uploaded files "mature" on a BBS for one or two weeks before you download it (others will put it through its paces). 5. Consider using a program that creates a unique "signature" of all the programs on your computer. Run this program once in awhile to see if any of your applications have been modified -- either by a virus or by a stray gamma ray. 6. DON'T PANIC if your computer starts acting weird. It may be a virus, but then again maybe not. Immediately turn off all power to your computer and disconnect it from any local area networks. Reboot from a write-protected copy of your master DOS disk. Do NOT run any programs on a "regular" disk (you might activate a Trojan horse). If you don't have adequate backups, try to bring them up to date. Yes, you might back up a virus as well, but it can't hurt you if you don't use your normal programs. Set your backups off to the side. Only then can you safely hunt for problems. 7. If you can't figure out what's wrong and you aren't sure what to do next, turn off your computer and call for help. Consider calling a local computer group before you call for an expert. If you need a professional, consider a regular computer consultant first. Some "virus removal experts" sell their services for prices far in excess of their actual value. 8. [This should only be considered as a last resort.] If you can't figure out what's wrong and you are sure of yourself, execute both a low-level and a high-level format on all your regular disks. Next, carefully re- install all software from the master disks (not from the backups). Then, carefully restore only the data files (not the program files) from your backup disks. We'd appreciate it if you would mail us a copy of any Trojan horse or virus you discover. (Be careful you don't damage the data on your hard disk while trying to do this!) Include as much information as you can and put a label on the disk saying it contains a malicious program. Send it to Ross M. Greenberg, 594 Third Avenue, New York, NY 10016. Thank you. Ross M. Greenberg is the author of both shareware and retail virus detection programs. Rob Rosenberger is the author of various phone bill analysis applications. (Products are not mentioned by name because this isn't the place for advertisements.) They each write for national computer magazines. These men communicated entirely by modem while writing this treatise. Copyright (c) 1988,90 Rob Rosenberger & Ross M. Greenberg Rosenberger can be reached electronically on CompuServe as [74017,1344], on GEnie as R.ROSENBERGE, on InterNet as `74017.1344@compuserve.com', and on various national BBS linkups. Greenberg can be reached on MCI and BIX as `greenber', on UseNet as `c-rossgr@microsoft.com', and on CompuServe as [72461,3212].

virusi.112 chege, 09 Jan 91

Paznja !!! Na Gradjevinskom fakultetu na dva PC-a u sobi 338 se pojavio virus koji ne otkriva SCANV72. Naime juce sam zamenio stari scan novim (V72), proverio ga sa VALIDATE , odmah ga startovao i nije nista nasao. Dva sata kasnije se koleginici na istom racunaru dok je bila u editoru "dogodio virus". Napisao je poruku koju ona nije zapamtila ali je sigurna da je bila i rec VIRUS, napunio disk i dok je jos vrteo disk oni su ga ugasili. Posle su ga ponovo upalili , izbrisali veliki file i startovali scan(V72) i nista nije nasao. Meni je kasnije palo na pamet da prenesem staru verziju skana sa su- sednog racunara i to je verzija koja trazi 41 virus. Ono sto mi je odmah palo u oci je da ova verzija (V41) nije pretrazivala RAM. Odmah zatim sam startovao scan(V72) i on je u RAM-u nasao Disk Killer i porucio mi da odmah gasim racunar sto sam i uradio. Ponovo sam ga upalio, starovao scan(V72) i nista nije nasao na celom disku ukljucujuci i na scan(V41). Kad sam zatim startovo scan(V41) i odma potom scan(V72), scan(V72) je opet nasao virus u RAM-u. Da zakljucim: Postoji virus ( a ja ga na zalost imam ) kojeg ne nelazi SCANV72 dok je na file-u ali ga nalazi kad je u RAM-u i tu ga prepoznaje kao Disk Killer. Ja se za sada stitim sa scan /av sto mi omogucuje da saznam ako se na josnekom fileu prosirio ali ne znam kako da ga se oslobodim. Ako neko ima neku ideju neka pomaga. Ako neko zeli zarazen file za analizu i eventualni lek nek se javi. Pozdrav Sasa

virusi.113 vkostic, 09 Jan 91

>> Paznja !!! Na Gradjevinskom fakultetu na dva PC-a u sobi 338 >> se pojavio virus koji ne otkriva SCANV72. To je vrlo vrlo zabrinjavajuce.

virusi.114 dejanr, 09 Jan 91

>> Paznja !!! Na Gradjevinskom fakultetu na dva PC-a u sobi 338 >> se pojavio virus koji ne otkriva SCANV72. E j*** ga. >> Ako neko ima neku ideju neka pomaga. Ako neko zeli zarazen file za >> analizu i eventualni lek nek se javi. Pa, nije baš ideja ali ja bih digao računare sa DOS diskete, prekopirao data fajlove ako ih ima na prazne diskete, pa lepo low-level format.

virusi.115 nesic, 09 Jan 91

Ja želim zaraženi file

virusi.116 dejanr, 09 Jan 91

>> Ja želim zaraženi file Ali ga mi ne želimo - ili bar ne u nekoj od koferencija :)

virusi.117 kvelkovski, 06 Feb 91

Jeli postoji neki virus koji unistava ZIP-ove? Evo sta kaze PKUNZIP na pokusaj otpakovanja jedne arhive: PKUNZIP (R) FAST! Extract Utility Version 1.1 03-15-90 Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKUNZIP/h for help PKUNZIP Reg. U.S. Pat. and Tm. Off. Searching ZIP: PADETC5.ZIP Extracting: PAD00151.ZIP PKUNZIP: Warning! file fails CRC check PKUNZIP: Warning! inconsistent local header for file: PAD00152.ZIP Extracting: PAD00152.ZIP PKUNZIP: Warning! file fails CRC check PKUNZIP: Warning! inconsistent local header for file: PAD00153.ZIP Extracting: PAD00153.ZIP PKUNZIP: Warning! file fails CRC check PKUNZIP: Warning! inconsistent local header for file: PAD00154.ZIP Extracting: PAD00154.ZIP PKUNZIP: Warning! file fails CRC check PKUNZIP: Warning! inconsistent local header for file: PAD00155.ZIP Extracting: PAD00155.ZIP PKUNZIP: Warning! file fails CRC check PKUNZIP: Warning! inconsistent local header for file: PAD00156.ZIP Extracting: PAD00156.ZIP PKUNZIP: Warning! file fails CRC check PKUNZIP: Warning! inconsistent local header for file: PAD00157.ZIP Extracting: PAD00157.ZIP PKUNZIP: Warning! file fails CRC check Extracting: PAD00158.ZIP Extracting: PAD00159.ZIP PADETC5.ZIP has errors! Ovo nije usamljen slucaj, desilo mi se jos nekoliko puta. Sumnjam na virus, zbog toga sto osim u zadnjih mesec dana, to se nije desavalo. Isto sumnjam na kombinaciju PC-CACHE 4.3 i COMPRESS 5.1, ali mi nije jasno zbog cega bi samo arhive bile neispravne (mozda nisam imao srece da nabasam na neki neispravan program). Cudno je, takodje, sto CHKDSK, NDD, i njima slicni programi ne mogu da konstatuju ostecenja, cak i PKUNZIP -V ne primecuje nista cudno. Koristim SCANRES 1.4V61, SCAN 6.1B71 (sa Sezam-a), i dok sam koristio raniju verziju SCAN-a, nisam imao *nikakvih* problema (nije da sumnjam, ali...). Pozdrav, Kire

virusi.118 erin, 06 Feb 91

Ovakvu poruku javlja mi PKARC ako je arhiva bila pravljena sa passwordom ( ako ga ne upises!!!) . Danilo Godec

virusi.119 maxes, 07 Feb 91

Procitao sam skoro sve poruke i odgovore na temu virusi ali nisam primetio da je neko pomenuo 'pesacko K 'HHK skidanje virusa K pomocu programa debug.Naime debug iz dos-a treba zaraziti virusom pa se debagira onda zarazeni softver.Nakon debagiranja samo se izadje 'q' i program je ociscen.Dok nisam imao razni softver za automatsko skidanje zaraza radio sam ovako i to veoma uspesno.Jedino je problem sto kada imate mnogo zarazenioh fajlova za svaki fajl se mora pozvati debug,znaci da je dosta sporo.

virusi.120 rklinar, 08 Feb 91

>> Evo sta kaze PKUNZIP na pokusaj otpakovanja jedne arhive: >> PKUNZIP (R) FAST! Extract Utility Version 1.1 03-15-90 >> Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKUNZIP/h for help >> PKUNZIP Reg. U.S. Pat. and Tm. Off. >> Searching ZIP: PADETC5.ZIP >> Extracting: PAD00151.ZIP PKUNZIP: Warning! file fails CRC check >> PKUNZIP: Warning! inconsistent local header for file: PAD00152.ZIP Ako koristis Telix-ov Zmodem, taj nekad pravi gluposti. U vezi sa pad-ovima na SEZAM-u mi se to nije desavalo, ali kad skupljam postu sa MIPS-a u MarkMail-dooru, i ako kod DL snimam preko vec postojeceg file-a, onda mi se javlja bas to sto spominjes. RK

virusi.121 dpozaric, 08 Feb 91

************* je ociscen.Dok nisam imao razni softver za automatsko skidanje zaraza radio sam ovako i to veoma uspesno.Jedino je problem sto kada imate mnogo zarazenioh fajlova za svaki fajl se mora pozvati debug,znaci da je dosta sporo. ************* Moga bi sve zarazene fajlove izlistati u jedan tekst file, onda ga izeditirati i napisati batch (pogledaj RI.BAT) kojim pozivas debug i izvrsis odredjenu radnju sekvencijalno i nekoliko stotina puta. No, posto imas dobre cistace, nema se smisla time muciti, po mojem misljenju. dp

virusi.122 dpozaric, 08 Feb 91

*********** Ako koristis Telix-ov Zmodem, taj nekad pravi gluposti. U vezi sa pad-ovima na SEZAM-u mi se to nije desavalo, ali kad skupljam postu sa MIPS-a u MarkMail-dooru, i ako kod DL snimam preko vec postojeceg file-a, onda mi se javlja bas to sto spominjes. *********** Nije to glupost Telixovog zmodema, vec je normalno to što se dogadja jer imaš uključen error recovery pa kad ti je slijedeći file prepisan preko drugoga, tvoj .QWK, .ZIP itd ostane nekonzistentan. Ja imam uvijek isključen error recovery, a ukljucim ga samo kad mi veza pukne usred transfera pa kad slijedeci put d/l-am isti fajl. U pravilu su mi uvijek i Telix i Telemate radili ok. dp

virusi.123 terza, 14 Feb 91

>>Ako koristis Telix-ov Zmodem, taj nekad pravi gluposti. U vezi sa >>Nije to glupost Telixovog zmodema, vec je normalno to što se dogadja >>jer imaš uključen error recovery pa kad ti je slijedeći file prepisan Meni s to cesto desava,na MIPS-u skupljam postu u dooru 2,radim sa programom MTE, protokol Zmodem, d/l sam fajl ZMAIL2.zip koje provjereno nisam imao na disku kao staru verziju. Searching ZIP:ZMAIL2.ZIP UnShrinking: ZMAIL2.CAP PKUNZIP: Warning! file fails CRC check ZMAIL2.ZIP has errors! I u raspakovanom zmail2.cap pola fajla je necitljivo.Koristio sam i Telix ali se isto desavalo, ne uvijek nego ponekad.Sa Sezamom nisam imao nikakvih problema. Pozdrav Terza

virusi.124 erin, 14 Feb 91

Ko zna nesto o virusu DARK AVENGER? Ima li ko killer zanj? Navodno se DARK AVENGER siri sa SCAN V72 !!! Danilo Godec

virusi.125 nesic, 20 Feb 91

Evo nekakav novi virus scaner sa CHANNEL1 BBS-a. Video sam i verziju scan74b ali nisam imao vremena da je pokupim. Možda sutra. Nešto nisam primetio da tamo postoji i odgovarajući CLEAN. Pozdrav, Nešić

virusi.126 alazic, 20 Feb 91

Malo paznje bi vam savetovao posto po Beogradu kruzi VIRUSLJIVA verzija SCAN 74 programa koja svuda seje jedan virus koji lici na Jenkija (bar nekim drugim antivirus programima)!!!!

virusi.127 dejanr, 21 Feb 91

Zahvaljujemo se na programu koji je u direktorijumu IBMPC\VIRUSI. Evo šta u dokumentaciji kaže o novoj verziji. Version 74 of VIRUSCAN adds 51 new viruses and over one hundred new strains of existing viruses, bringing the total number of known computer viruses to 475. In addition, version 74 improves the throughput of the scanning algorithm and handling of nonstandard hard drives, and now provides the option of displaying all messages in French. The 1591 virus was sent to us from multiple sites in Quebec, Canada, Oslo, Norway, and the United States. It is a memory-resident file infector that attaches to .COM and .EXE files when a disk is accessed via internal DOS commands. The 903 virus was sent to us by Djennad Nasser from France. It is a .COM file infector. The Holocaust virus was sent to us by David Llamas of Barcelona, Spain. It is a .COM file infector that uses "stealth" type techniques. The BeBe, Kuka, Kuka/Turbo, Lozinsky, MGTU, Nina, Off Stealth, Polish-532, Sverdlov, Tiny-133, USSR-series, and Voronezh viruses were discovered in the Soviet Union and Eastern Europe and sent to us from numerous sources there and in Western Europe. They are not believed to exist in the West. The Christmas Violator, F-Word, Parity, Beeper, Best Wish, Leapfrog Destructor, Happy New Year Hymm, Justice, Label, V961, Swiss-143, Sentinel, Plague, Monxla-B, Little Pieces, IKC528, Hybrid, Dir-Vir, Stone90, Saddam, and Iraqui Warrior viruses were sent to us from various sources around the globe. For summary information about these viruses, please refer to the enclosed VIRLIST.TXT file. For a detailed description of all known viruses, please refer to the Virus Summary Document (VSUM), copyrighted by Patricia Hoffman and available and most bulletin boards. A new command line option, /FR has been added. Running VIRUSCAN with the /FR option will cause all output to be displayed in French instead of English. A trojan version of VIRUSCAN, Version 73, appeared on BBSes in Miami, Florida USA. In order to prevent confusion, we have used the next version number, Version 74.

virusi.128 chege, 21 Feb 91

Ne da se pozalim vec samo da se zna !!! Ni nova verzija scana (V74) ne otkriva na file-u onaj virus koji sam prijavio u poruci 18.112. Zato narode ako su vam podaci na file-ovima mili koristite opcije /av i /cv. P.S. jos uvek imam zarazen file i ako ga neko zeli na analizu ili neki od registrovanih korisnika scan-a zeli da ga posalje proizvodjacima scan-a neka se javi. Pozdrav Sasa

virusi.129 dejanr, 21 Feb 91

>> P.S. jos uvek imam zarazen file i ako ga neko zeli na analizu >> ili neki od registrovanih korisnika scan-a zeli da ga posalje >> proizvodjacima scan-a neka se javi. Ako je fajl mali, daj mi ga pa ću ga poslati autorima SCAN-a. Što pre ga "ugrade", to smo sigurniji!

virusi.130 dejanr, 21 Feb 91

Ima li neko voljan da odnekud download-uje ovaj tekst? Verovatno bi bio zanimljiv - opisi SVIH virusa poznatih McAfee-ju. ========== security/long.messages #88, from hshubs, 3811 chars, Wed Feb 20 01:05:34 1991 ---------- TITLE: McAfee updates for MS-DOS based machines ------------------------------------------------ vsum9102.zip 145792 Approx time: 0:19 at 2400 baud, 0:38 at 1200 baud Contributed by: mfg Date: Wed Feb 20 00:51:54 1991 Documentation on all known viruses by a researcher in connection with McAfee's SCAN series. Large file identifies and describes all viruses as of 2/15/91. Keywords: $binary mcafee protection scan shield virlist virus vshield vshield1 Home area: ibm.utils Download count: 0

virusi.131 alazic, 22 Feb 91

>Ima li neko voljan da odnekud download-uje ovaj tekst? Verovatno >bi bio zanimljiv - opisi SVIH virusa poznatih McAfee-ju. Mene bi vepma interesovalo samo mislim da zbog lose veze i sl. ne bi bilo lose da se podeli u dva dela. :(

virusi.132 alazic, 22 Feb 91

Potrebna mi je kolekcija virusa da bi testirao jedan antivirusni paket (a mozda i mala demonstracija). Dakle molim sve korisnike koji imaj po neki zarazeni fajl da mi ga posalju MAIL-om. Isto tako ako nekom zatreba bilo koji od tih poslatih virusa neka mi se javi. Unapred hvala ALAZIC

virusi.133 feniks, 23 Feb 91

>> Ne da se pozalim vec samo da se zna !!! >> Ni nova verzija scana (V74) ne otkriva na file-u onaj virus >> koji sam prijavio u poruci 18.112. Zato narode ako su vam >> podaci na file-ovima mili koristite opcije /av i /cv. Onaj tvoj "zarazeni" SCANV41.EXE aktivirao sam i zaista ga ne otkriva najnoviji SCANV74 , ali ga isto tako ne otkrivaju ni SCAN-ovi : 48 , 56 , 60 , 61 tj. nema virusa :)) Otkrivaju ga samo SCAN-ovi 71 i 72 i daju poruku: " Found Disk Killer Virus [Killer] active in memory...." Naime , o cemu se radi. Ovaj virus pojavio se u Americi pre skoro 2 godine , (kod nas nesto kasnije ) i po dejstvu je veoma opasan ( formatira disk , kvari BOOT sektor , FAT tabelu itd..) tako da bi ga i raniji SCAN-ovi otkrili ( od verzije 48 pocinje da se pretrazuje i RAM ). Verzije 71 i 72 imaju dosta bagova , tj. otkrivaju viruse gde ih zapravo i nema ili samo neki njihov deo koji sam za sebe ne moze da postane AKTIVAN ! Primera radi , kolega u firmi mi je napomenuo da mu je SCAN72 u jednom profesinalnom paketu firme HP koji uspesno koristi vec 3 godine , "pronasao" virus , sto naravno nije tacno. Sto bi rekli matematicari: "potreban ali ne i dovoljan uslov" :) Najbolji dokaz za gornje receno je da ni posle svih provera nisam uspeo da otkrijem bilo kakvo ostecenje HD niti sistemske diskete na kojoj sam eksperimentisao. PS. Bio bi zahvalan svakom ko mi posalje ZIP-ovano na MAIL zarazene files , radi testiranja SCAN-va i antivirusnih paketa. ( moguca i razmena ) Pozdrav , S.P.

virusi.134 chege, 23 Feb 91

>> Onaj tvoj "zarazeni" SCANV41.EXE aktivirao sam i zaista >> ga ne otkriva najnoviji SCANV74 , ali ga isto tako ne otkrivaju >> ni SCAN-ovi : 48 , 56 , 60 , 61 tj. nema virusa :)) >> Otkrivaju ga samo SCAN-ovi 71 i 72 i daju poruku: >> >> " Found Disk Killer Virus [Killer] active in memory...." Proverio sam i izgleda da si u pravu jer ako nakon "zaraze- nog" startujem SCAN V72 daje poruku: Scanning 640K RAM Found Disk Killer Virus [Killer] active in memory. Power down the system immediately. Reboot from a clean, write protected system diskette and then re-run SCAN to determine extent of hard disk infection. Ako medjutim ignorisem poruku i startujem SCAN V74 nista ne nalazi kao ni SCAN V72 ako se statuje nakon V74. Zao mi je ako sam izazvao laznu uzbunu ali ako je gore navedeno tacno onda bi SCAN V72 morao davati poruku da je nasao virus i kod ciste verzije SCANV41. Zato ako neko ima negde sacuvanu verziju SCANV41 neka je startuje a zatim SCAN V72 i neka se javi da kaze sta se dogadja. Ja na zalost nemam drugu verziju 41 sem ove koja je bila "osumljicena". Pozdrav Sasa.

virusi.135 kaza, 24 Feb 91

Poruka aktivan virus u memoriji (ne samo Disk Kiler), ne mora obavezno da znaci da je to istina ??? Naime meni se to desavalo sa nekim starijim verzijama SCAN-a. Cak mi se desilo da mi je prijavio tri razlicita virusa aktivna u memoriji sto je kod mene izazvalo paniku te sam sve temeljito pretresao i nisam nasao nista. Medjutim poruka da je SCAN nasao virus u fajlu ili butu je alarmantna. Ovo iz memorije vjerovatno potice od nekih rezidentnih programa. Radi vase informacije ovo mi se desavalo prije godinu dana a od tada ni traga od bilo kakvih iznenadjenja. Nadam se da sam vas malo umirio! KAZA

virusi.136 dejanr, 02 Mar 91

Zahvaljujući jtitovu, u IBMPC\VIRUS direktorijumu su novi scanv74b, clean74b i vshld74b. Koliko sam primetio u dokumentaciji, jedina razlika između verzija 74 i 74-B je: >> Version 74-B fixes a bug which caused SCAN to mis-identify the >> Stoned virus on some removable media.

virusi.138 nesic, 05 Mar 91

U datoteci SCANER75.zip se nalaze SCANV75, CLEAN75 i VSHLD75. Morao sam tako zbog stalnog NO CARRIER. Izvinite.

virusi.139 dejanr, 05 Mar 91

>> Najnoviji SCANV Hvala na prilogu, međutim sačekaćemo sa njegovim stavljanjem u direktorijum. Naime, pre izvesnog vremena je bilo virusa koji su se krili u SCANu pa je uvedena novina da se pri dearhiviranju vrši i kontrola ispravnosti. Zato je opšte mišljenje da na BBS-ove treba stavljati samo *originalne arhive* pa ćemo sačekati da nabavimo potpunu verziju. Koliko sam uspeo da proverim, ovaj VSCAN je OK pa ga ostavljamo u konferenciji dok ga ne nabavimo u obliku pogodnom za direktorijum. Hvala još jednom, Dejan

virusi.140 nesic, 06 Mar 91

Juče mi je veza sa Sezamom bila izuzetno loša. Nadam se da će sada biti bolja. Ne mogu da koristim MNP kada šaljem file. Ne znam zašto. Evo da probam da prenesem SCANV75 Authentic Version. Pozdrav, Nešić

virusi.141 nesic, 06 Mar 91

Radi. Evo CLEAN75 Authentic Version.

virusi.142 nesic, 06 Mar 91

Radi. Evo VSHLD75 Authentic Version.

virusi.143 nesic, 06 Mar 91

A sada mali ekperiment pošto je od jutros dobra veza Brišem poruku 18.137 zajedno sa datotekom SCANER75.ZIP Da li ću uspeti? Pozdrav, Nešić

virusi.144 dejanr, 06 Mar 91

Hvala, programi su u direktorijumu! Dejan

virusi.145 sdolzan, 08 Mar 91

PAZNJA !!! U fajlu MA_JONGG.ZIP koji se nalazi na Fenix BBS-u se nalazi virus koga ne prepoznaje SCANV(59, 67, 72, 74, 74b i 75 (ostale verzije nisam isprobao)). Fajl se nalazi u "recent uploads". Koliko sam mogao da zakljucim "virus" (neznam koji je) se manifestuje tako sto dodaje odredjen broj bajtova (oko 936) na kraj (nekad i u sredinu) .exe i .com fajlova. Zarazene fajlove mozete prepoznati po tekstu koji se u njima nalazi : "Hey, YOU! Something's happening to you. Guess what is it? HA HA HA HA ..." Ako neko skuplja viruse naka mi ostavi poruku na mail. Puno pozdrava od StanislaVa.

virusi.146 sdolzan, 08 Mar 91

Gore pomenuti virus se nalazi i u TCT1.ZIP i TCT2.ZIP koji se takodje nalaze u "recent uploads" na Fenix BBS-u. StanislaV

virusi.147 dejanr, 09 Mar 91

Ukoliko vam se desi (kao što je jedan korisnik danas prijavio) da po startovanju SCAN-a dobijete poruku da je "SCAN oštećen ali da nastavlja rad" a posle i da je sve Ok, to najverovatnije znači da je VAŠ SISTEM ZARAŽEN VIRUSOM. Možda je to onaj novi virus koji je stigao sa Fenixa i koji je pomenut u prethodnoj poruci. U svakom slučaju, PUN OPREZ! Posmatrajte fajlove (COM i EXE) koje svaki dan startujete i proveravajte da li rastu!

virusi.148 mikij, 09 Mar 91

Zamolio bih ljude koji imaju iskustva sa virusima da mi se jave privatnom porukom. Pozdrav Miki

virusi.149 mikij, 09 Mar 91

Evo, nakon sto je na vise mesta primecen virus kojeg ne otkriva ni SCAN niti jedan drugi virus scaner (za sada), spremio sam fajl koji omogucava njegovu detekciju uz pomoc SCAN-a. Potrebno je startovati SCAN sledecom linijom: SCAN /EXT VIR C: gde C: moze biti i ime nekog drugog diska ili direktorijuma. SRECNO!!! Pozdrav Miki vir

virusi.150 majkl, 11 Mar 91

Dobra ideja je staviti u autoexec.bat poziv programa koji ´knakon startovanja proverava svoju dužinu. Ovo "žrtveno jagnje" odmah pokazuje ima li novih virusa u sistemu, poznatih ili nepoznatih. U kombinaciji sa SCAN programom daje solidnu zaštitu. Pozdrav, Majkl

virusi.151 feniks, 11 Mar 91

Neke osobine novog virusa 936 : 1. Povecava COM i EXE datoteke za 935 do 938 bytes 2. Otkriva ga na disku SCANV75 postupkom u poruci 18.149 : >> SCAN /EXT VIR C: << koji svima najtoplije preporucujem - hvala autoru ! 3. Po aktiviranju "zarazene" datoteke , virus 936 ostaje rezidentan u osnovnoj memoriji tj. ( ako ste imali uk. 640 K ==> DOS report 639 K ! ) tacnije namesto 655360 imate ukupno 654416 bytes. Ako tada aktivirate neki zdravi COM ili EXE program , on ce se "zaraziti" ali istovremeno racunar zablokira , tj. neophodan je reset ( odnosno iskljucenje ) racunara. 4. Po podizanju sistema moguce je aktivirati samo jednu "zarazenu" datoteku i to samo jednom. Program obicno funkcionise . Ta datoteka se dalje nece povecavati. Moze se desiti ( ne uvek ) da racunar zablokira pri povratku u DOS. 5. Ako se "zarazi" COMMAND.COM ( ili odgovarajuci drugi interpreter ) , mozete podici sistem ali necete moci da aktivirate nijedan drugi program. Sve u svemu , moze se reci da je ovo dosta naivno napravljen virus i da ga je sada lako otkriti u najranijoj fazi. :) Pozdrav , S.P.

virusi.152 dejanr, 12 Mar 91

Da taj glupi virus nije neko ovde previo? ;) Hvala na zapažanjima.

virusi.153 georges, 26 Mar 91

IMA LI LEKA "HA HA HA HA HA HA" VIRUSU? =======================´==============

virusi.154 mikij, 27 Mar 91

Na zalost jos nema. Samo predostroznost (otkrivanje na vreme) pomaze. Cini mi se da sam na nekom slovenackom BBS-u video program koji leci od ovog virusa ali i on leci samo COM programe. Ostaje samo da sacekamo McAfeea da poboljsa Clean. Pozdrav Miki

virusi.155 dzakic, 28 Mar 91

********** V A Ž N O ***** V A Ž N O **** V A Ž N O ************ Ne znam da li je to već pomenuti virus u ovoj temi od pre sedmicu, dve, ne znam ni da li je tada postojao SCAN 6.9V75, uglavnom, postoji virus koji .com i .exe fajlove produžava za nećto preko 900 bajtova koga scan v75 *N E* prepoznaje, i to ovde u Beogradu! Sada vam ne mogu reći ništa preciznije, pošto je zaraženi (kolega zonjic na sezamu) trenutno zauzet, i iskreno se nadam da je sve lažna uzbuna. Virus ispisuje nešto u stilu "Hey, something is happening to you!". Ovo mi deluje prilično naivno ;), pa ne verujem da ga novi scan ne bi prepoznao. Moguće je da je i sam scan zaražen, ali je fakat da virus postoji i to na nekom od BG BBSova, jer su startovani samo programi sa Politika i Tanjug BBSa. Zato, oprez dok se stvar ne ispita. Uskoro, nadam se, više informacija... Ako je neko prepoznao o kom se virusu radi, neka mi ostavi poruku.

virusi.156 dejanr, 28 Mar 91

Da, bilo je tog virusa u nekim fajlovima na Fenix-u i Politici, za Tanjug nisam znao ali je moguće. Možda je to neki domaći virus pa ga Scan zato ne nalazi? Uzgred, poslao sam zaražen fajl McAffee-ju.

virusi.157 miha, 09 Apr 91

Jedno upozorenje svim vlasnicim Hercules monitora. -------------------------------------------------- Postoji velika vjerovatnoća da programi userdiag.com i diagnstc.com, koji trebaju da obavljaju test hercules kartice, izazivaju pregaranje monitora. Spomenuti programi se nalaze, npr. na Tanjugu u arhivi hercules.zip a pokreću se batchom test.bat... Moguće je da je u pitanju koincidencija, zato bih zamolio sve koji ili imaju dokumentaciju ili su probali osumnjičene programe da ostave komentar. miha

virusi.158 miha, 10 Apr 91

Pošto sam danas imao napad '936' virusa, koga sam uspješno uklonio, zahvaljujući mikiju, red je i ja nešto da kažem ;) Vshield75 je uočio da nešto nije Ok, a prvo su zaraženi scan, clean, validate, vshield i vshield1. miha

virusi.159 mikij, 11 Apr 91

Drago mi je da sam nekome pomogao... Nego uz to. Preporucujem svakom vlasniku jace masine (386 ili jaci 286) da koristi i CheckSum (ili CRC) opciju SCAN-a i VSHIELD-a jer se tom opcijom garantovano otkriva prisustvo svih (i buducih) link virusa. Ovde prilazem i programe PVICTIM.COM i PVICTIM.EXE koji sluze kao mamci za viruse. Imaju ugradjeni mehanizam za samo-testiranje tako da ako slucajno budu zarazeni virusom dizu uzbunu i prijavljuju duzinu virusa. Pozdrav Miki

virusi.160 mikij, 11 Apr 91

Umalo da zaboravim... PVictim sam preuzeo sa PIPSS-a 018/713-836. Pozdrav Miki

virusi.161 dristic, 15 Apr 91

HELP! HELP! HELP !! MNOGO Te molim da mi pomognes! Imam neki virus koji ni Scanv75 ne moze da prepozna, vec samo da otkrije pomocu "scan c: /av" ali ne zna mu ime. Molim te ako nesto znas da mi kazes o tome. VIRUS menja duzinu .COM i .EXE fajlovima za u proseku 933 bajta ali to nije pravilo, nekad 942, 930 itd. kada je aktivan, a aktivira ako bootam sa c: diska ili pokrenem neki zarazen fajl. Kada je aktivan nerade mi pod dos-om funkciski tasteri F1 i F3 (vracanje prosle ukuzcane naredbe ). Obrisao sam bio COMMAND.COM (i on je bio promenio duzinu za 933 bajta), zatim IBMDOS i IO.SYS i stavi na cistoj dos a:" sys a:" a sa nortonovim WIPEFILE obrisao sve zarazene fajlove, i virusa nije bilo, nije dalje ostecivao .COM fajlove a radili su F1 i F3. kada sam ponovo pustio novi SCANv75 sa sezama, tek ga raspakovao i pustio javio je da je sam SCAN ostecen ! a posle scan c: /av (dodaje verifikacione kodove CRC) i ostale fajlove je javio kao ostecene (one koje sam startovao kada sam mislio da se virus izgubio ). sada mi neda da snimim system na c: kaze "NO ROOM FOR SYSTEM ON DISK" iako sam obrisao COMMAND.COM IBMDOS.SYS i IO.SYS. Dali smem da otkucam FORMAT C: ako imam SEAGATE 157A sa DISKMANAGEROM fizdeljenim na particije, zadnji put sam imao velikih problema pa sam morao da idem u servis BG ELEKRTONIK kada sam pokuzao da formatiram C: disk Unapred hvala na pomoci. PS poslacu disketu sa programima MOM MIKRU i McAffee-ju sto pravi SCAN PSS CLEAN ne moze da uradi nista jer SCAN nezna ime virusa

virusi.162 dristic, 16 Apr 91

Epilog: PSSS Drug mi je upravo nasao na zarazenom FLUSHOT2.COM niz heksa faljova koji znace u prevodu: "Hey, YOU !!!Something's happening to you !...Guess what it is ?!... Kada sam stavio SCAN da traxi taj niz (/ext vir.txt) nasao sam i izbrisao sve, valjda je to kraj mojim mukama Jos me jedino muci sto ne mogu da prebacim system na hard disk, sys c: sa a: drajva javlja no room for system a cuo sam da to moze sa NDD da se moj NDD to ne moze, nema tu opciju. Ako neko jos nesto zna o tom virusu, nek napise Hvala.

virusi.163 mikij, 16 Apr 91

O ovom virusu je bilo vec 'dosta' reci. Evo da se podsetimo: 1) Virus povecava programske datoteke za 928 do 943 byte-a. Kao rezultat dobija se datoteka cija duzina je deljiva sa 16, sto je vazno za izvrsavanje virusa. 2) Otkruva se uz SCAN koriscenjem opcije /EXT VIR gde je VIR datoteka uz poruku 18.149. (Start: SCAN /EXT VIR C: ) 3) Sledeci text se nalazi na kraju svakog zarazenog programa: Hey, YOU !!! Something's happening to you ! Guess what it is ?! HA HA HA HA ... 4) Programi tipa MI (Memory Info) iz PCTools-a ga ne primecuju. Uocava se samo smanjenje memorije za 1K. 5) Ne preuzima vektore na uobicajen nacin tako da ga programi tipa FLUSHOT ne mogu zaustaviti pred instaliranjem. 6) Ovo nije osobina nego samo napomena. U nekoj od predhodnih poruka receno je da posle virusa moze da se startuje samo jedan program. Po mojim iskustvimaw3 to nije tacno (covek nije lagao nego...). Kod mene sistem je radio normalno (osim sto se zaraza sirila). 7) Virus ne koristi nikakvo sifrovanje. Znaci na zrtvu se kaci cist kod. 8) Ne nanosi nikakvu stetu osim povecanja duzine programa i ispisa gore navedene poruke. 9) Pokusaj zarazavanja zrtve se MOZE otkriti (i spreciti) upotrebom programa tipa FLUSHOT. Toliko o virusu (za sada). Sto se tvog diska tice... Nije mi jasno zasto ne moze da se prenese sistem. Ako ti je DOS verzija ista, problema ne sme da bude. U krajnjem slucaju, mogu da ti, uz pristanak Sys*, posaljem NDD koji automatski pravi mesto za sistem ako nije prethodno ostavljeno. I jos nesto. Ako i malo cenite svoje programe i podatke, upotrebljavajte SCAN /av i SCAN /cv. Jeste da traje duze, ali jeste i da ste 99,99% sigurni od virusa. Pozdrav Miki P.S. Prilazem i program koji predstavlja veliku pomoc u kontrolisanju virusa. Preporucujem svima koji se bave virusima (za ostale je mozda malo bucan). anti4us2.zip

virusi.164 dejanr, 17 Apr 91

Sad pročitah na BIX-u jednu strašno kvarnu forua koju možeš da "zaradiš" virus čitajući najobičniji fajl, dakle običnim TYPE ili (ne daj Bože) odgovarajućom komandom na nekom BBS-u ;( Mislio sam se da li da prenosim ili ne, ali najzad zaključih da i nije baš TAKO opasno kao što na prvi pogled izgleda, a i zanimljivo je pa... ========== security/critters #286, from dts, 515 chars, Sun Apr 14 21:35:41 1991 Comment to 282. Comment(s). ---------- Actually just connecting via modem can get you a virus, if you are on a PC with ansi.sys (or compatible screen speeder uppers). The ansi.sys driver besides driving the screen has provision for adding keyboard macros. As the text is scrolling by on you screen it could have some escape sequences embeded in it that reprogram your keys. When you press a reprogrammed key it might delete a file or modify one, or add one. This is why many people do not use ansi.sys on a system that (PC) that has a modem on it.

virusi.165 dristic, 17 Apr 91

Miki hvala ti, ja sam tek danas stigao da procitam sta ima u CONF virusi, jako sam bio zauzet ovih dana, tako da sam se kolko znam sam lecio od virusa, sam napravio svoj TXT fajl od heksa niza "HEY YOU...HA HA HA HA.." i uz SCAN75 odstranio virus. Ostaje mi da osposobim disk za bootanje, uzecu NDD v5 od druga ja ga imam na disketi aliima BAD CRC. Trebalo bi da to spreci vaskrsenje virusa i ako je u boot sektoru i onda sam miran. pozdrav Dristic

virusi.166 nesic, 17 Apr 91

Evo najnoviji SCANV Authentic Version.

virusi.167 nesic, 17 Apr 91

Evo najnoviji CLEAN Authentic Version.

virusi.168 nesic, 17 Apr 91

Evo najnoviji VSHLD Authentic Version.

virusi.169 dejanr, 17 Apr 91

Hvala, programi su u IBMPC\VIRUS.

virusi.170 feniks, 17 Apr 91

Ni novi SCANV76 ne otkriva virus 936! :(( Zato i dalje ostaje stara dobra metoda za pretrazivanje >> SCAN /EXT VIR C: << Pozdrav , S.P.

virusi.171 mikij, 17 Apr 91

Jedno zapazanje. Novi SCAN i CLEAN su znacajno kraci od verzije 75. Rezultat optimizacije ili ... ?! Nabavio sam prvo ne autenticnu verziju i odmah pomislio na TROJAN-ce, ali SEZAM-ova verzija me je ubedila da je McAffe nesto uradio. Pozdrav Miki

virusi.172 sjankovic, 18 Apr 91

That's one of the reasons for purchasing an Amiga.

virusi.173 alexa, 19 Apr 91

Pa, dečko, nije problem u PCju ili DOSu (ovaj put), nego u ANSI standardu, ako se ne varam. Na Amigi ste bezbedni samo ako niste u skladu sa standardom :)

virusi.174 sjankovic, 19 Apr 91

Ako sam dobro razumeo, reprogramiraju se macrokeys, tako da mogu da ostete programe ako se pritisnu. To verovatno znaci da im se upisu DOS-komande koje npr. brisu fajlove. Ako se daju te iste DOS-komande nekom kompjuteru koji nema isti DOS, one nece nista uspeti da ucine. Pored toga, Amige najcesce nemaju hard-disk, i kad bi DOS-komande i radile, nista ne bi uradile :))))) Decko

virusi.175 alexa, 20 Apr 91

xex, xex, pa onda je najbolje imati računar koji ne radi - on je bar bezbedan od računarskih virusa.

virusi.176 sjankovic, 20 Apr 91

Pa sad, ako Vi kvalitet racunara merite po tome koliko virusa za njega postoji i kakvu sve stetu mogu da ucine, onda ste u pravu. S.J.

virusi.177 dejanr, 20 Apr 91

Evo malo diskusije o par puta pominjanom virusu koga SCAN ne prepoznaje sa AdriaNET-a. ============================================================================== Date: 03/11/91 (15:28) Number: 2 GimVic BBS To: ALL Refer#: NONE From: DALIBOR CERAR Read: YES Subj: 928 VIRUS Conf: (13) VIRUSES ------------------------------------------------------------------------ Posiljam opis virusa 928, ki se je pojavil na MicroArt BBS-u. Oblika opisa je podobna VSUM-u (to je datoteka z opisi virusov, avtor je Patricija Hoffman), ker mi je osebno tak opis blize, kot pa opisi v MM. Za podrobnejse informacije mi pustite sporocilo. Virus Name: 928 Aliases : 933, 936 V Status : Redek Discovery : Februar, 1991 (datoteka MA-JONGG.ZIP na MicroArt-u) Symptoms : .COM in .EXE programi se podaljsajo za 928-943 bytov, virus ostane pritajen v pomnilniku, ob dolocenih pogojih okuzen program ni vec izvrsljiv (virus namesto izvrsitve programa izpise sporocilo) Origin : ??? Eff Length: 928 General Comments: Virus 928 je bil izoliran februarja 1991 v Kopru (na MicroArt BBS-u). Je residentni okuzevalec .COM in .EXE programov, vkljucujoc COMMAND.COM. Virus je napisan pregledno in preprosto ter vsebuje tudi dele iz drugih virusov. Virus okuzene programe podaljsa za najmanj 928 bytov. Pred tem se dolzina programa zaokrozi na naslednji paragraf, tako da so okuzeni programi lahko podaljsani za vrednost med 928 in 943. Ker je dolzina virusa deljiva z 16, dobimo tudi po deljenju dolzine okuzenega programa z 16 ostanek 0. Pogoji, ki morajo biti izpolnjeni, da okuzeni program ne bo vec izvrsljiv: leto okuzbe mora biti najmanj 1991, mesec mora biti najmanj februar, dan v mesecu pa vsaj 25. Med okuzbo mora biti na naslovu 0000:046C (ura realnega casa) vrednost 7 (vsebina lokacije se poveca 18.2-krat na sekundo, torej bo po okuzbi neizvrsljiv priblizno vsak 256-ti program). Ce so vsi ti pogoji izpolnjeni, program ne bo vec deloval. Namesto izvrsitve programa bo racunalnik zapiskal (^G) in na zaslon se bo izpisalo sporocilo: "Hey, YOU !!! Something's happening to you ! Guess what it is ?! HA HA HA HA ... " Tudi programi, ki prej se niso bili okuzeni, v primeru, da so med okuzbo izpolnjeni zgornji pogoji, ne bodo vec delovali (virus program namrec najprej okuzi in sele nato izvede). Virusa SCAN verzija 74B se ne najde. Zaradi tega si lahko pri iskanju pomagate tako, da v datoteko 928.DAT napisete: "E8 00 00 5B B1 04 D3 EB 8C C8" 928 virus in pozenete SCAN z : SCAN C: /M /EXT 928.DAT | | | | | dolocimo mu datoteko, ki vsebuje dodatna zaporedja | za vsak slucaj naj preisce se pomnilnik ime diska, katerega naj preisce Okuzene programe se da popolnoma razkuziti. Virus namrec vse podatke o zdravem programu shrani (vkljucno z dolzino). Upam, da je opis napisan dovolj razumljivo. Napisal bi ga lahko tudi bolj tehnicno, vendar bi ga verjetno potem le redki razumeli. Delov tega sporocila brez moje vednosti in omembe ne dovolim uporabljati. D.C. ============================================================================== Date: 03/11/91 (20:50) Number: 4 GimVic BBS To: DALIBOR CERAR Refer#: NONE From: JANEZ DEMSAR Read: NO Subj: 928 VIRUS Conf: (13) VIRUSES ------------------------------------------------------------------------ DC> Pogoji, ki morajo biti izpolnjeni, da okuzeni program ne bo vec DC>izvrsljiv: leto okuzbe mora biti najmanj 1991, mesec mora biti DC>najmanj februar, dan v mesecu pa vsaj 25. Programer ! :)))) "Normalen" clovek rece kar - po 25.2.1991 :))))) DC>Med okuzbo mora biti na DC>naslovu 0000:046C (ura realnega casa) vrednost 7 (vsebina lokacije DC>se poveca 18.2-krat na sekundo, torej bo po okuzbi neizvrsljiv DC>priblizno vsak 256-ti program). Zanimivo - podoben pogoj uporabljata tudi PingPong in (po trditvah samozvane eminence Erjavca) Stoned. Jaz sem se ukvarjal le s PingPongom - a ti, ki poznas tudi druge, opazas se kake podobnosti -> namrec, PingPongu pravijo tudi Italian, Koper pa je tudi blizu Italije - morda imata virusa istega avtorja ? JAnez --- ■ EZ 1.33 ■ Samo brez panike ! ============================================================================== Date: 03/12/91 (23:48) Number: 5 GimVic BBS To: JANEZ DEMSAR Refer#: NONE From: DALIBOR CERAR Read: NO Subj: 928 VIRUS Conf: (13) VIRUSES ------------------------------------------------------------------------ JD>DC> Pogoji, ki morajo biti izpolnjeni, da okuzeni program ne bo vec JD>DC>izvrsljiv: leto okuzbe mora biti najmanj 1991, mesec mora biti JD>DC>najmanj februar, dan v mesecu pa vsaj 25. JD> JD>Programer ! :)))) JD> JD>"Normalen" clovek rece kar - po 25.2.1991 :))))) Ne. Ce je dan npr. 12.3.1991 pogoj ne bo izpolnjen !!! (Torej si do 25.3.1991 varen ...) :) JD>DC>Med okuzbo mora biti na JD>DC>naslovu 0000:046C (ura realnega casa) vrednost 7 (vsebina lokacije JD>DC>se poveca 18.2-krat na sekundo, torej bo po okuzbi neizvrsljiv JD>DC>priblizno vsak 256-ti program). JD>Zanimivo - podoben pogoj uporabljata tudi PingPong in (po trditvah samozvane JD>eminence Erjavca) Stoned. JD>Jaz sem se ukvarjal le s PingPongom - a ti, ki poznas tudi druge, opazas se JD>kake podobnosti -> namrec, PingPongu pravijo tudi Italian, Koper pa je tudi JD>blizu Italije - morda imata virusa istega avtorja ? Deli virusov so (vsaj po mojem osebnem mnenju) pobrani iz razlicnih virusov. To lahko pomeni, da je ta virus napisal nekdo, ki se mu ni dalo na novo odkrivati stvari. Mozno pa je tudi, da je vse te viruse napisal isti clovek. Ce si kaj bral VSUM, potem ves, da je npr. iz Bolgarije ogromno razlicnih virusov in njihovih podverzij ... (Ubogi Vesselin Bontchev) "normalen" clovek D.C. --- ■ EZ 1.33 ■ No real problem has a solution ... ============================================================================== Date: 03/14/91 (19:41) Number: 6 GimVic BBS To: DALIBOR CERAR Refer#: 8097794 From: JANEZ DEMSAR Read: NO Subj: 928 VIRUS Conf: (13) VIRUSES ------------------------------------------------------------------------ DC>>> Pogoji, ki morajo biti izpolnjeni, da okuzeni program ne bo vec DC>>>izvrsljiv: leto okuzbe mora biti najmanj 1991, mesec mora biti DC>>>najmanj februar, dan v mesecu pa vsaj 25. JD>>Programer ! :)))) "Normalen" clovek rece kar - po 25.2.1991 :))))) DC> Ne. Ce je dan npr. 12.3.1991 pogoj ne bo izpolnjen !!! DC> (Torej si do 25.3.1991 varen ...) :) :))) Tolazim se s tem, da se je najbrz zmotil kar avtor virusa ... JAnez --- ■ EZ 1.33 ■ ■ EZ 1.33 ■ GimVic BBS ■ +38 61/ 267-940 ■ non-stop ■ ■ RNet 1.08D:■ AdriaNet ■ MojsteR BBS ■ Novo mesto, Sl ■ +38 68 23731/22455 Date: 04-15-91 (22:45) Number: 121 of 122 (Echo) To: ALL Refer#: NONE From: DALIBOR CERAR Read: (N/A) Subj: PRIHAJAJO VIRUSI !!! Status: PUBLIC MESSAGE Conf: VIRUSES (9) Read Type: GENERAL (+) V zadnjem mesecu so se pojavili na podrocju Slovenije najmanj stirje novi virusi (928, V2000 (verzija virusa Dark Avenger), Plastique in Liberty). Vzorce virusov sem si priskrbel pred kratkim (razen virusa 928, ki ga imam ze nekaj casa), zato jih se nisem utegnil analizirati. V prihodnjih dneh bom pogledal, kako "zlobni" so. D.C. --- ■ SLMR 1.0 ■ Smile ... Tomorrow will be worse ... ■ RNet 1.08D:■ AdriaNet ■ MojsteR BBS ■ Novo mesto, Sl ■ +38 68 23731/22455

virusi.178 alexa, 21 Apr 91

Ne vidim po čemu je ovo odgovor na moju poruku???

virusi.179 sjankovic, 21 Apr 91

Recimo da postoje dva kompjutera: Kompjuter A i kompjuter B. Kompjuter A je, npr. prosecnih performansi i za njega npr. ima puno virusa. Kompjuter B je velikih performansi, i za kompjuter B nema virusa. Zbog nekompatibilnosti, virusi sa kompjutera A ne mogu nista kompjuteru B. To ne znaci da je kompjuter B losiji, i jos manje znaci da ne treba imati nikakav kompjuter, jer bilo je pitanje kompatibilnosti softvera (pa ako softver nije kompatibilan, kako ce virusi?!). Znaci, virusi sa A nece napasti kompjuter B ne zato sto je on suvise los, vec zato sto nije kompatibilan sa A. Pitate po cemu je ono odgovor na vasu poruku? Evo zasto: Po Vama: Kad nema kompjutera => nema ni virusa. Logicno sledi: Kad je kompjuter los => ima malo virusa. Kad je kompjuter dobar => ima puno virusa. I onda je izveden vrlo glup zakljucak (oprostite na izrazu) da ne treba nabavljati racunar da ne bi bilo virusa. Mozete imati perfektan racunar koji ne reaguje na komande PC-jevog DOS-a, i bezbedni ste od svih virusa koji ovako pokusaju da Vam naprave stetu. S.J.

virusi.180 mikij, 21 Apr 91

Decko... Molim te ovo je prvo konferencija za PC, drugo pisi o virusima, trece siguran sam da si 'MNOGO' iskusan i da si u pravu i svi mi koji imamo PC trebamo odmah da se ubijemo. Pozdrav Miki

virusi.181 sjankovic, 21 Apr 91

Vidim ja da je ovo konferencija za PC, ali sta cu kad konferencije za Amigu nema. S.J.

virusi.182 alexa, 22 Apr 91

> Po Vama: > Kad nema kompjutera => nema ni virusa. > Logicno sledi: > Kad je kompjuter los => ima malo virusa. > Kad je kompjuter dobar => ima puno virusa. ???? To sigurno nije po meni, i tu *logiku* ne mogu da sledim. Nisam ja taj koji tvrdi da je neki računar dobar, a drugi nije.

virusi.183 sjankovic, 22 Apr 91

OK, onda nema problema... Mi na Amigama smo bezbedni, a gospoda sa PC-jem ce da se tresu svaki put kad se pojavi poruka:"CONNECT ...". S.J.

virusi.184 mjova, 22 Apr 91

Evo jednog pitanja: koliko treba da se dobije vrednost pri proveri scan-a sa validate? ja dobijam 1. B62A i 2. 14E2 u uputstvu piše 2. 14E4. Ne bih ja pitao za ovo da sam siguran da je sve ok. scan mi prijavljuje mogućnost da postoji virus na nekom programu i u boot sektoru D: particije??! Mada ni sam nije siguran :) čas prijavi virus čas ne :) Ako nekom nije teško nek proba. mjova

virusi.185 drakce, 23 Apr 91

Izgleda da nesto nije u redu sa SCAN-om. Meni VALIDATE za SCAN (verzija76) prijavljuje: ______________________________________________________________________ VALIDATE 0.3 Copyright 1988-89 by McAfee Associates. (408) 988-3832 File Name: scan.exe Size: 58,483 Date: 4-8-1991 File Authentication: Check Method 1 - B62A Check Method 2 - 14E4 _______________________________________________________________________ Nadam se da nije virus, pa jos u particiji. Ne d'o bog. Pu!

virusi.186 .bale., 23 Apr 91

Mamu mu, stvarno... Meni prijavljuje: File Authentication: Check Methof 1 - 3569 Check Method 2 - 10C1 Zanimljivo... Ko je stavio scanv76 u dir? Regards from .bale. ! #8*)+-<

virusi.187 mikij, 23 Apr 91

Ja dobijam isto: File Authentication: Check Methof 1 - 3569 Check Method 2 - 10C1 Jos jedna 'zanimljivost'!!!!!!!! Stavio sam SCAN C: /AV. On sve iskenira itd. Ali VSHIELD1 koji vrsi samo checksum proveru SVAKI put po ukljucenju racunara ispise nesto u stilu:'BOOT sector changed...'. Pomislio sam da je neki BUG, ali sada... Pocinjem da se pitam... Napominjem da su i SCAN i CLEAN znatno kraci od prethodne verzije! Pozdrav Miki

virusi.188 nesic, 23 Apr 91

Ja sam poslao SCAN76.ZIP, CLEAN76.ZIP i VSHLD76.ZIP u konferenciju koje sam dobio sa CHANNEL1 BBS-a, a u direktorijum ih je ostavio, naravno, SYSOP ili MODERATOR. Ne verujem da su zaraženi. Pre će biti da ćemo za koji dan imati programe ????76B.ZIP Nešić

virusi.189 mjova, 23 Apr 91

Ih, nije da me je ovo sve namučilo, ali bar sam pročitao uputstvo za scan i clean (i validate). Radi se o tome da scan na kraju svakog testiranog fajla doda 10 byta radi kasnije provere da li se nešto promenilo, lepo piše u uputstvu. (Kad se radi sa parametrom /av) Evo rezultata: Ovo je posle scan /av File Name: scan.exe Size: 58,483 Date: 4-8-1991 File Authentication: Check Method 1 - B62A Check Method 2 - 14E4 Ovo je posle scan /rv File Name: scan.exe Size: 58,473 Date: 4-8-1991 File Authentication: Check Method 1 - 3569 Check Method 2 - 10C1 naravoučenije: treba čitati uputsvo :) eh, još nešto: kako sam se tek obradovao kad se pri ponovnom startu računara startovao program PVICTIM1 (zatim i PVICTIM2) pa kad reče da je sistem zaražen i da je virus dužine 10 byta. I onda se setih da je to SCAN ostavio :)) ps. dakle, sve je u redu (hvala na pomoći onima koji su probali validate) mjova

virusi.190 zormi, 23 Apr 91

> Ja sam poslao SCAN76.ZIP, CLEAN76.ZIP i VSHLD76.ZIP u > konferenciju koje sam dobio sa CHANNEL1 BBS-a, a u > direktorijum ih je ostavio, naravno, SYSOP ili MODERATOR. > > Ne verujem da su zaraženi. Pre će biti da ćemo za > koji dan imati programe ????76B.ZIP Ima već u USA od pre nekoliko dana SCANV76C.ZIP i isto je dužine oko 58 kB, a razlika je samo što je ispravljeno lažno prijavljivanje jednog virusa...

virusi.191 dejanr, 24 Apr 91

>> ps. dakle, sve je u redu :) Ne znam da li ste primetili, ali svi novi SCANV-ovi su ZIP-ovani pomoću registrovanog PKZIP-a koji u njih ugrađuje serijski broj jedinstven za firmu McAffee. Na taj način i proveravamo autentičnost fajla pre nego što ga stavimo u direktorijum. Sad, sve na svetu se može falsifikovati pa valjda i taj CRC. Ali, ne vidim drugi način da proverimo da li u fajlu ima virusa ili ne - sve i da ima, to bi bio NOVI virus koji stari SCAN ne bi otkrio. Najzad, kako se to kaže, "od nečega se mora i umreti" :( :) Hvala na zanimljivoj diskusiji o VALIDATE-u.

virusi.192 jtitov, 25 Apr 91

>Ih, nije da me je ovo sve namučilo, ali bar sam pročitao >uputstvo za scan i clean (i validate). Radi se o tome da Bravo MJovo! :)) Biće nešto od tebe čim si počeo da čitaš uputstva. Lepo sam se zabavljao čitajući one uspaničene poruke u vezi novog SCAN-a. PA LJUDI NAUČITE ENGLESKI I ČITAJTE TA UPUTSTVA. Ona se ne pišu da bi vam koristila kao toalet-papir.

virusi.193 bulaja, 26 Apr 91

> PA LJUDI NAUCITE ENGLESKI I CITAJTE TA UPUTSTVA. Ona se ne pisu da bi > vam koristila kao toalet-papir. Objasni mi tajnu kako koristis readme file kao toalet papir? Jel na 5.25'' ili 3.5'' disketama?

virusi.194 mjova, 26 Apr 91

>> Lepo sam se zabavljao čitajući one uspaničene poruke u vezi novog >> SCAN-a. PA LJUDI NAUČITE ENGLESKI I ČITAJTE TA UPUTSTVA. Ona se ne >> pišu da bi vam koristila kao toalet-papir. Prvo što mogu da primetim to je da si sadista, baba i da se ponašaš kao PRAVI KOMUNISTA - ti se uvek nađeš da nekom deliš savete kad nikom tako nešto nije potrebno. KO SI TI BRE DA POPUJEŠ SVIMA!?!?!? Možeš li se naći negde među normalnim ljudima? Gadiš mi IME kad se kačiš na moje poruke!! Da li ti imaš ideje kako se disketa pretvara u toalet papir? (ja nemam, niti mi je pala na pamet takva budalaština, jer je pravi papir mnogo mekši i prijatniji za upotrebu od plastične diskete (ih tek hard disk?!!?)) ŠTA SE TI BRE MEŠAŠ?!? Ako već NE ZNAŠ da odgovoriš na postavljeno pitanje, što se onda praviš pametan? U principu, kad neko nešto pita, ako se ZNA odgovor, trebe mu ili odgovoriti NA PITANJE ili to PREĆUTATI! Ti NE ZANŠ a ipak odgovaraš! Po kom rezonu? OVO JE POSLEDNJA PORUKA KOJU SAM NAPISAO KAO REPLAY jTITOv-U (ps. pošto ne razumeš srpski: više ti ne odgovaram! nisam ni sad hteo, ali čitao sam stare konferencije i ovaj pseudonim sam zapamtio kao najljigviji) mjova

virusi.195 gbiocic, 26 Apr 91

> PA LJUDI NAUCITE ENGLESKI I CITAJTE TA UPUTSTVA. Ona se ne pisu da bi > vam koristila kao toalet-papir. > Objasni mi tajnu kako koristis readme file kao toalet papir? > Jel na 5.25'' ili 3.5'' disketama? Sjajno! Prvi put uzimam aktivo učešće u jednoj konferenciji SEZAMA i upadam u pravu temu :( jtitov, bulaja i mjova otvaraju nove vidike. Ali prethodno treba rešiti nekoliko hardverskih i softverskih pitanja: Ý 1. Da li se kapacitet disketa u funkciji toalet-papira meri u kilobajtovima ili u inčima ? 2. Mogu li se koristiti ako je stavljena zaštita od pišanja ? 3. Kako se obavlja formatizacija, da li 3.5 inča za decu a 5.25 za odrasle ( za moju ženu bi morao nabaviti 8-inčne) ? 4. Da li se zahteva određeni kvalitet ili se možemo osloniti i na NO NAME diskete ? 5. Mogu li se povećani troškovi smanjiti ZIP-ovanjem nuždoteka ? (Već zamišljam paket WCZIP i program WCZIPFIX koji bi se koristio za vađenje iz g...). 6. Kako organizovati zaštitu od virusa ? 7. Da li je bitno redovno raditi BACKUP ? itd. Jasno je da sva ova pitanja izlaze iz teme virusi, pa predlažem da SYSOP-i otvore novu konferenciju IBMWC i u njoj za početak dve teme : 1. WC.HARD ( za normalnu stolicu); 2. WC.SOFT ( za mekšu stolicu). Kriterijum za izbor moderatora je očigledan, a mislim da se na SEZAMU mogu naći izvanredni kandidati :). ÝyŃőŇJŠü╬biocic

virusi.196 vkrstonosic, 26 Apr 91

>> Jasno je da sva ova pitanja izlaze iz teme virusi, pa predlažem >> da SYSOP-i otvore novu konferenciju IBMWC i u njoj za početak >> dve teme : ;)))))))))))) osmeh za celu poruku. Što se tiče konferencije, ovde već postoje vicevi, pa predjite tamo, ako nastavite ovako dobićete i temu WC vrlo brzo. U konferenciji Vicevi, imate i realne šanse da za jednu ovakvu studiju dobijete nagradnih 30 minuta dnevno na Sezamu.

virusi.197 vcalic, 26 Apr 91

>> Što se tiče konferencije, ovde već postoje vicevi, pa predjite tamo, >>ako nastavite ovako dobićete i temu WC vrlo brzo. U konferenciji Vicevi, >>imate i realne šanse da za jednu ovakvu studiju dobijete nagradnih 30 minuta >>dnevno na Sezamu. Tooo, Chetka. Tako se reklamira svoja konferencija !!! ;)) WR

virusi.198 drakce, 27 Apr 91

>>jtitov, bulaja i mjova otvaraju nove vidike. Ali prethodno treba >>resiti nekoliko hardverskih i softverskih pitanja: >> >> 1. Da li se kapacitet disketa u funkciji toalet-papira meri u >> kilobajtovima ili u incima ? >> 2. Mogu li se koristiti ako je stavljena zastita od pisanja ? U principu se slazem sa time da poruke takve prirode na pripadaju ovoj konferenciji, ali samo u principu, jer se u necemu BITNO ne slazemo. A to je stavljanje Gospodina Mjove i Gospodina Bulaje u isti kos sa "drugom" jtitovim, ili jos bolje jtitovim drugom. Tesko je ne nasmejati se tvojoj duhovitosti, ali posto sam se i sam nasao pogodjenim jtitovljevom (izvinjavam se ako sam pogresio padez, ali arapskim jezikom ne vladam) u najmanju ruku ogavnom porukom, molio bih te da mi odgovoris na sledece: 1. Da li se slazes da je Gospodin Miljan koristio ovu konferenciju za svrhe za koje je i namenjena, tj. za pomoc i diskusiju oko virusa i programa koji treba da ih od istih stite? Kamo srece kad bi takvi programi postojali i za zastitu od ljudi ciji mozgovi su neizlecivo oboleli. 2. Mislis li da je poruka kamarada jtitova (steta sto ne postoji condensed mod na Sezamu) u najmanju ruku uvredljiva i prostacka? 3. Smatras li da njegova poruka (da na trenutak zanemarimo njen ulicni ton) ne sadrzi ni jednu jedinu misao od znacaja za ovu konferenciju. 4. Mozemo li se sloziti da on nije nadlezan za ocenjivanje necijeg poznavanja ili nepoznavanja engleskog jezika, jer bi prvo morao da se izrazava kulturno na maternjem jeziku (koji god da je), da bi mogao da daje ocene o stranim jezicima. 5. Da li smatras da na uvredu, nicim izazvanu, treba odgovoriti,jer tipovi kao sto su jtitov (zahtevam condensed mod!) se upravo i hrane odbojnoscu ljudi prema prljavim polemikama. Ukoliko se slazes na, barem deo postavljenih pitanja, mozda ces se sloziti, a mozda i neces, sa sledecim mojim zakljucima koje iz gore navedenih razloga izvlacim: a) DA DRUG jtitov MOZE SVOJOJ MAMI DA NUDI TOALET PAPIR, A NE MENI NI BILO KOM DRUGOM. b) DA ISTI MOZE DA KONZUMIRA UZ ODGOVARAJUCI PRILOG U NEOGRANICENIM KOLICINAMA, ALI DA NE NAVODI OSTALE DA MU SE PRIDRUZE. c) DA ME UBUDUCE ZAOBILAZI U SVIM PRILIKAMA, STO I JA NJEMU SVECANO OBECAVAM. I na kraju moram da ti se izvinem na tonu mog pisma, koji ni u kom slucaju nije upucen tebi, a takodje ni ostalim korisnicima Sezama, kojima se isto izvinjavam. Bilo je mozda bolje da mu postom uputim poruku, ili da mu direktno odgovorim, ali sam smatrao da mu treba javno odgovoriti, a bilo mi je mrsko da mu se obracam. Takodje moram da napomenem da nisam imao tu cast da upoznam Gospodu Mjovu i Bulaju, ali ni nesrecu da upoznam "onog", tako da nisam imao nikakvih licnih motiva za ovo pismo, osim gneva koji je "onaj" izazvao i nazalost me primorao da se spustim na njegov nivo. Sa postovanjem Dragan

virusi.199 gbiocic, 27 Apr 91

> a) .............. MOZE SVOJOJ MAMI DA NUDI TOALET PAPIR, A NE MENI > NI BILO KOM DRUGOM. ▀ Sa tobom se slažem u sledećem: Ne mogu se svi članovi SEZAM-a trpati u isti koš. Svakoga treba ceniti po sadržaju i tonu poruka koje šalje. Nikako se međutim ne mogu složiti sa tvojim zaključcima koje si napisao VELIKIM (a ne condensed) slovima. Želim da verujem da se ÚĆ sa njima ni sam ne slažeš. Svima ostalima koji su u ovom incidentu na bilo koji način učestvovali ili bili pomenuti, uputiću privatne poruke. Sve ostale, koji su sve ovo bili prinuđeni da čitaju molim da razumeju da je ovo bilo moje *PRVO* učešće u konferencijama SEZAMA, a osnovni cilj da, spuštanjem lopte na zemlju, doprinesem vraćanju konferencije njenoj osnovnoj temi. Nažalost ispao sam nespretan i snosim svoj deo krivice. Pozdrav, gbiocic

virusi.200 dejanr, 27 Apr 91

Nadajući se da ćemo po ovom pitanju konačno "zakopati ratnu sekiru", mogu samo da kažem da je jedna od svrha Sezama da se korisnici upoznaju sa raznim stvarima koje im nisu poznate, pa prema tome i sa stvarima koje pišu u uputstvima. Ni ja (kao ni ostali) ne čitam uputstva detaljno, tako da sam zahvalan kada mi neko skrene pažnju na nešto značajno što tamo piše. Tako nešto obično stigne i do "Bajtova lične prirode", što je i jedna od namena te rubrike. Molim vas da se vratimo konstruktivnoj diskusiji. Pozdrav, Dejan

virusi.202 ppekovic, 08 May 91

Evo novog scan-a ... Paya

virusi.203 ppekovic, 08 May 91

... i clean-a 77 (DL-ovano sa BIX-a) Paya

virusi.204 alexa, 09 May 91

Novi scan je u direktorijumu R:\IBMPC\VIRUS.

virusi.205 alexa, 09 May 91

Novi clean 77 je u direktorijumu R:\IBMPC\VIRUS. Hvala ppekovicu na prilozima.

virusi.206 mikij, 14 May 91

Zamolio bih nekoga da mi posalje source listing nekog anti-virus programa. Moze i scaner ili cleaner, nema veze vazno je da radi sa COM i/ili EXE fajlovima a ne sa BOOT sectorom. Pozdrav Miki

virusi.207 dejanr, 18 May 91

Date: Mon, 13 May 1991 17:50:16 -0400 From: Aryeh Goretsky <aryehg@darkside.com> To: Info-IBMPC@WSMR-SIMTEL20.ARMY.MIL Cc: VIRUS-L@IBM1.CC.Lehigh.Edu, aryehg@tacom-emh1.army.mil Subject: Trojan version of VIRUSCAN version 78 Message-Id: <HuNw22w164w@darkside.com> Organization: McAfee Associates TROJAN VERSION OF VIRUSCAN VERSION 78 We have received a trojan horse version of VIRUSCAN. The hacked SCAN has apparently been uploaded to BBSes in Michigan, USA under the filename SCANV78.ZIP. Running PKZIP -V on the file reveals: .PKUNZIP (R) FAST! Extract Utility Version 1.1 03-15-90 .Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKUNZIP/h for help .PKUNZIP Reg. U.S. Pat. and Tm. Off. . .Searching ZIP: SCANV78.ZIP - Fantasia BBS (313)/788-0882 . . Length Method Size Ratio Date Time CRC-32 Attr Name . ------ ------ ----- ----- ---- ---- ------ ---- ---- . 12816 Implode 5255 59% 04-08-91 14:28 08a87ed8 --w AGENTS.TXT . 9406 Stored 9406 0% 02-03-91 17:04 42cf9931 --w REGISTER.DOC . 23008 Implode 12550 46% 05-06-91 18:15 f9735dd5 --w SCAN.EXE . 6495 Implode 1895 71% 10-31-89 16:16 0449b09d --w VALIDATE.COM . 3626 Implode 1802 51% 11-29-90 01:59 ab76470f --w README.1ST . 21257 Implode 5767 73% 05-06-91 19:35 a0728a17 --w VIRLIST.TXT . 2844 Implode 1406 51% 02-14-91 14:25 aa330b57 --w VALIDATE.DOC . 24515 Implode 9188 63% 05-06-91 19:34 172a967f --w SCAN78.DOC . ------ ------ --- ------- . 103967 47269 55% 8 The number listed for the Fantasia BBS is NOT a BBS number and has no connection with the trojan horse. I have called the phone number and asked the party at the other end to contact me. Running PKUNZIP on the file reveals the following: .PKUNZIP (R) FAST! Extract Utility Version 1.1 03-15-90 .Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKUNZIP/h for help .PKUNZIP Reg. U.S. Pat. and Tm. Off. . .Searching ZIP: SCANV78.ZIP - Fantasia BBS (313)/788-0882 . Exploding: AGENTS.TXT -AV . Extracting: REGISTER.DOC -AV . Exploding: SCAN.EXE -AV . Exploding: VALIDATE.COM -AV . Exploding: README.1ST -AV . Exploding: VIRLIST.TXT -AV . Exploding: VALIDATE.DOC -AV . Exploding: SCAN78.DOC -AV . . Authentic files Verified! # TJB859 Zip Source: McAFEE ASSOCIATES While the Authentic Files Verified Message appears, the Serial Number is NOT correct. McAfee Associate's Serial Number is NWM405. Examination of the AGENTS.TXT, README.1ST, VALIDATE.*, and VIRLIST.TXT files revealed that these are straight from VIRUSCAN Version 77--the version number in the VIRLIST.TXT file was still V77. The SCAN78.DOC file had been modified so that all occurrences of V77 were switched to V78. Additionally, the following text was added for the validation data: . The validation results for Version 77 should be: . . FILE NAME: SCAN.EXE . SIZE: 23,008 . DATE: 05-06-1991 . FILE AUTHENTICATION . Check Method 1: 2C21 . Check Method 2: 022E . For the What's New section, the following text was added: . WHAT'S NEW . Version 78 of SCAN removes a few small bugs and continues . to optimize the procedures SCAN uses to find viruses, as in Version 77, . as well as adding a few more to the list of known viruses. SCAN is now much . more compressed than was previously thought possible, so please enjoy the . shortened file size, it should still work just fine. . Refer to the enclosed VIRLIST.TXT file for a schematic . description of the new viruses. For a complete description, please . refer to Patricia Hoffman's VSUM document. . Examination of the SCAN.EXE file has show that it contains the help message that VIRUSCAN displays as well as the program information message. However, the program does not contain any of the other messages that VIRUSCAN has in it. The REGISTER.DOC file distributed with the trojan version of VIRUSCAN is not a text file, but rather another .ZIP file containing a file named TB1.COM: . PKUNZIP (R) FAST! Extract Utility Version 1.1 03-15-90 . Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKUNZIP/h for help . PKUNZIP Reg. U.S. Pat. and Tm. Off. . . Searching ZIP: REGISTER.DOC . Extracting: TB1.COM -AV . . Authentic files Verified! # TJB859 Zip Source: McAFEE ASSOCIATES . When unZIPped, the REGISTER.DOC file displays the same Authentic Files Verified Message as the SCANV78.ZIP file did. Examination of the of the TB1.COM file revealed that it contains the Whale virus. This is all I currently know about the SCANV78.ZIP trojan. If you see any copies of this file, please ask the system administrator or sysop to remove it and ask them to contact the uploader to warn them that it contains a virus. Aryeh Goretsky McAfee Associates Technical Support

virusi.208 dejanr, 18 May 91

Date: Tue, 14 May 1991 22:34:00 -0400 From: Keith Petersen <w8sdz@WSMR-SIMTEL20.ARMY.MIL> To: Info-ZIP@WSMR-SIMTEL20.ARMY.MIL Cc: Info-IBMPC@WSMR-SIMTEL20.ARMY.MIL Subject: PKWare ZIP -AV cracked I have received word from a reliable source that there is now a PKWare ZIP authentication varification (-AV) cracker going around called MAKEAV. It will generate registration numbers so that people can create their own serialized ZIPs. MAKEAV was apparently used to make the bogus SCANV78.ZIP which was warned about in a recent posting by McAfee Associates. PKWare has been notified. Keith

virusi.209 dejanr, 18 May 91

========== security/alert #136, from pstephenson, 1353 chars, Wed May 15 13:30:51 1991 Comment to 133. Comment(s). ---------- I was involved with that trojan.... here's the first hand story (well, second hand, actually.... it came into my board and someone with first hand knowledge told me what was going on). It was created by a local bbser to trash a local board. I don't know who wrote it or which board they wanted to destroy. After the original upload, other users got it and it started to spread. An alert user sent the file to me (we do a lot of virus research here and have a section of our bbs dedicated to it). Meanwhile another local user reported the file to McAfee and uploaded it to him. I tore it apart and found the following which was later confirmed by an underground source. The scan.exe itself is really watered down but, itself, does very little except scan the c:command.com. It doesn't matter what drive you run it from or run it on... it coes straight to c:command.com. Then it does an exec call to the bogus doc file and unzips it. Finally, it executes the whale virus inside. The whale is zipped in as a raw virus right out of a zipfile that circulates around here containing 9 varients of the Whale virus. According to McAfee there will not be a v78 of Viruscan. So any files that purport to be Scanv78.zip or the like are not real.... If you do LD calls and are interested in this stuff, the COmputer Insider BBS is 313-375-1771

virusi.210 dejanr, 18 May 91

Kao što se vidi, u pitanju je VRLO ozbiljan pokušaj falsifikovanja SCAN-a u koji je uloženo mnogo truda i koji zaista maksimalno liči na pravi - prema tome, OPREZ! Isto tako, vidimo da se onom -AV u PKZIP-u više ne može verovati...

virusi.211 bulaja, 18 May 91

> Kao sto se vidi, u pitanju je VRLO ozbiljan pokusaj falsifikovanja > SCAN-a u koji je ulozeno mnogo truda i koji zaista maksimalno lici > na pravi - prema tome, OPREZ! Ih da mi pod ruke dodje neki od tih malih kretena sto pravi viruse... proklinjao bi boga sto ga nije pretvorio u trolejbus. ;)

virusi.212 majkl, 20 May 91

>>> Isto tako, vidimo da se onom -AV u PKZIP-u više ne može >>> verovati... > . Exploding: SCAN78.DOC -AV > . > . Authentic files Verified! # TJB859 Zip Source: McAFEE > ASSOCIATES > While the Authentic Files Verified Message appears, the Serial > Number is NOT correct. McAfee Associate's Serial Number is NWM405 Ne znam zašto je ovo različito. Možda to nije mogao da izmeni, pa ipak ima nade? Pozdrav, Majkl

virusi.213 dejanr, 20 May 91

>> Ne znam zašto je ovo različito. Možda to nije mogao da izmeni, >> pa ipak ima nade? Pa, sada kada smo upozoreni možda i ima, ali ko bi inače primetio tu razliku između serijskih brojeva? Uostalom, ako mogu da falsifikuju AV, uskoro će bez sumnje moći i broj :( Kako sada kontrolisati novi SCAN pre stavljanja u direktorijum?

virusi.214 bulaja, 20 May 91

> Kako sada kontrolisati novi SCAN pre stavljanja u direktorijum? Uzimati samo SCAN skinut sa McAfee BBSa, a cini mi se da je do sada vecina SCAN-ova tako dosla.

virusi.215 madamov, 22 May 91

BBS FILE ALERT There is a file being circulated on BBS's called PKZ120.ZIP or PKZ120. EXE or similar, and that claims to be version 1.20 of PKZIP but in fact is a hacked version of PKZIP 1.10. As of the date of this writing, the latest version of PKZIP is version 1.10. Furthermore, due to this intentional act of vandalism, PKWARE will not release any versions of PKZIP in the future with the version 1.20. If you see the files PKZ120.ZIP or PKZ120.EXE on any BBS or on-line system, please ask the SysOp of that system to remove the files IMMEDIATELY, and please contact PKWARE to report where the files were seen. PKWARE is offering a reward of lifetime free upgrades for PKZIP to anyone who can provide information leading to the identification and prosecution of the person or persons responsible for creating this bogus version 1.20 of the software. They have only served to confuse and hurt the user community, and the perpetrators of this crime are at minimum in violation of Federal Copyright Law. If you have any information about the source of PKZ120.EXE or PKZ120.ZIP, please report it to PKWARE immediately, either: by Voice at 414-352-3670, by BBS at 414-352-7176, by FAX at 414-352-3815, or by mail: PKWARE Inc., 7545 N. Port Washington Rd., Glendale, WI 53217

virusi.216 zamahajev, 02 Jun 91

Jedan moj prijatelj radi u firmi koja je pre mesec dana dobila PC računare namenjene za izradu jedne baze podataka. Planira se rad tokom ove i sledeće godine na unošenju podataka. Baza je kreirana od strane stručnjaka i ljudi su počeli da unose podatke. Uskoro su počele da dolaze razne diskete sa piratskim programima, raznim igricama ... Ja sam mu dao savete da nabavljaju isključivo legalno softver i da se zbog virusa pazi raznih igrica i programa po sistemu "probaj ovo besplatno". Ali njegov šef je čovek koji se "razume" u viruse i smatra da su to neka priča. On se plaši da će nekoliko mesici raditi pa konstatovati da je neki virus uništio masu podataka i morati da rade ponovo već obavljeni deo posla. U čitavoj stvari smo se složili da bi bilo najbolje da se što pre u sistemu pojavi neki virus i da šefovi i kolege shvate ozbiljnost situacije. Tako smo došli do jedne "pakosne" ideje da u računar ubacimo neki virus koji će u suštini biti bezazlen, ne uništavajući podatke, ali koji će napraviti veliku buku oko računara. Molim da mi neko preporuči koji bi virus za tu svrhu bio pogodan i kako ga se kasnije otarasiti. Može i preko mail da ga pošalje neki program sa virusom koji bi zadovoljavao zahtevani kriterijum. Naravno molim da mi se objasni i kako se da se oslobodim virusa. Napominjem da je virus namenjen isključivo dizanju panike, a ne bilo kakvoj zaradi na račun lečenja sistema. Šta misliti o ovoj akciji da li je u redu na primeru delovanja virusa naučiti korisnike u nekom preduzeću da se čuvaju?

virusi.217 ppekovic, 02 Jun 91

>> Molim da mi neko preporuči koji bi virus za tu svrhu bio >>pogodan i kako ga se kasnije otarasiti. Na Tanjug BBS-u postoji nekoliko fajlova koji bi mogli biti interesantni. Monster, silly dos i sl. Pogledaj na Tanjugu, video sam i nekoliko fajlova koji su opisani baš kao "bezopasni virusi". Paya

virusi.218 zormi, 05 Jun 91

Evo, za istraživače virusa, program koji bezopasno (?) zarazi boot sektor diskete (isključivo) ili napravi "zaraženi" program sa potpisima preko 200 poznatih virusa (!). Namenjen je za testiranje virusnih detektora. Posle pokretanja se raspakuje i dobije se kompletno uputstvo. virsim11.com

virusi.219 vasiljevic, 05 Jun 91

Zormi, samo mi jos nesto kazi , kako se skida taj "virus" sa sistema?? Da li ima neki program u zipu koji si ostavio ili ... ?? Marko (the anti-virusar)

virusi.220 zormi, 05 Jun 91

>samo mi jos nesto kazi , kako se skida taj "virus" sa sistema?? >Da li ima neki program u zipu koji si ostavio ili ... ?? Virus se ne razmnožava. Samo obrišeš "zaraženu" datoteku koju program formira na A:, odnosno preformatiraš disketu koju si koristio za ispitivanje (pročitaj uputstvo).

virusi.221 dejanr, 27 Jun 91

============================================================================ Note 44.0 Virusi No replies BUEF78::DZIGURSKI_O "Mihailo Dzigurski" 17 lines 20-JUN-1991 12:37 ---------------------------------------------------------------------------- Da li ste culi za novi virus sa imenom SRBIJA. Ne otkriva ga ni scan77. Izgleda ovako:(Iskustvo jedne vece slovenacke firme) U toku rada odjednom se pojavi jedalica iz pakmena koja prozdire slova. Sa svakim slovom postaje sve deblja i deblja, tj veca i veca. Kada ispuni ceo ekran napise SRBIJA koje flesira. Posedica formatiran disk, sa ostecenjem, koji klaster. Tu je prevara virus je ostao tu i ponovo ce se aktivirati. Formatiranjem se nebrise jer racunar preskace te oblasti. Sretno!!! Preuzeto sa Politika BBS Tel: 329-148 Radno vreme: 15-10 h (vikendom non stop).

virusi.222 imarusic, 29 Jun 91

Imam jedan čudan problem koji jako liči na virus. CHKDSK mi javlja "Allocation error, size adjusted" za svaki EXE fajl koji startam. Pri tome mi se promjeni dužina fajla i 21 bajt u zaglavlju EXE fajla iza "MZ". Pretpostavljam da CHKDSK za regularne slučajeve kada se pojavi gornja poruka promjeni dužinu, ali pošto se opisano dešava sa svakim EXE fajlom mislim da bi mogao biti virus. COM programi ostaju nedirnuti, isto kao i fajlovi sa bilo kojom drugom ekstenzijom. Kada se butam sa diskete, izbrišem "zaražene" fajlove, kopiram ispravne i ponovo se butam sa diska, stvar se ponavlja. Zanimljivo je da, ako se butam sa diskete, CHKDSK ne javlja ništa za programe za koje je javljao "Allocation error", kada sam se butao sa harda. Čuo sam mišljenje da se virus možda upisao u boot record hard-diska. Pošto ne znam skoro ništa o boot recordu, da li neko zna kako da provjerim sumnje na virus i kako da ga eventualno istjeram? Napominjem da SCAN ne otkriva ništa čudno. Ivica

virusi.223 dejanr, 29 Jun 91

Novi SCANV80.ZIP (mislim da će ga Bulaja danas staviti u PCSOFT) otkriva i onaj "nedokumetnovani" virus koji smo preneli ovde pre par meseci. Virus se mislim zvanično zove 923.

virusi.224 dejanr, 29 Jun 91

Uzmi novi SCAN kad ga Bulaja smesti gde treba, to je možda onaj virus što je već otkriven u YU a stari SCAN ga nije nalazio.

virusi.225 bulaja, 29 Jun 91

> Uzmi novi SCAN kad ga Bulaja smesti gde treba, ... Novi Scan ce biti stavljen u \ibmpc\virus cim mi stigne ali, nazalost, jos nije stigao. Ocekujem ga i sa bix veze i sa bitneta (poslao sam zahtev jutros), pa odakle pre stigne. Nadam se da ce to biti najkasnije sutra uvece. Inace, treba da stigne kompletan scan 80 sa svim srodnim programima tj. jos i clean80, vshld80 i netscn80 (scan za mreze). Bulaja

virusi.226 imarusic, 30 Jun 91

Ono šta sam prije opisivao bio je virus Tequilla. Scan80 ga otkriva, a Clean80 i eliminira (nadam se). Koji je to dobar osjećaj dobiti svoj kompjuter nazad!!!! Zahvalan svima za pravovremeni lijek. Ivica

virusi.227 mmihajlovic, 02 Jul 91

Da li nekog interesuje virus u C-u. Imam source pa bih ga uploadovao. Ja bas nisam neki zaljubljenik u viruse (nisam ga ni probao) ali mozda nekozeli da se malo bavi patologijom. Po dokumentu, virus je prilicno bezazlen, ali.... Potencijalni doktori neka se jave pa cu ga ostaviti. Nije velik ZIP. MM

virusi.228 djelovic, 03 Jul 91

Virus u C-u???? Molim te pošalji to.

virusi.229 mmihajlovic, 03 Jul 91

Pa dobro, evo virusa (u C-u). MM npv2.zip

virusi.230 cdragan, 01 Aug 91

Da li je slučajnost ili ne još nisam proverio ali za svaki slučaj da vam prenesem iskustvo od pre jedno sat vremena. Sa EQUINOX BBS-a sam preneo fajl SRBIJA.ZIP. Po startovanju programa se izzgubio kursor i nijedna kombinacija tastera nije reagovala, sem famoznog CTRL+ALT+DEL. E, tu me je sačekalo iznenađenje ! Program je obrisao BOOT partciju diska i sve particije na disku tako da je računar ladno konstatovao da nemam hard disk !!!!!!!!!! Usledili je ponovno formatiranje diska :( Da li je još neko imao ovakvo "zadovoljstvo" ili je ovo kod mene bila čista slučajnost ( u šta malo verujem, a nemam želju da ponovo DL taj program ). pozdrav od SRBIJA _dragana_

virusi.231 nboskovic, 02 Aug 91

>> Da li je još neko imao ovakvo "zadovoljstvo" ili je ovo kod mene >> bila čista slučajnost ( u šta malo verujem, a nemam želju da ponovo >> DL taj program ). Žalio se i meni neki ortak da je dl taj program i isto mu se desilo formatizovao je disk tako da , verovatno , nije slučajnost već se neko lepo zabavljao praveći takav program. (c) klap nikola

virusi.232 maleksic, 02 Aug 91

>> Sa EQUINOX BBS-a sam preneo fajl SRBIJA.ZIP.... >> >> Program je obrisao BOOT partciju diska i sve particije na disku >> tako da je racunar ladno konstatovao da nemam hard disk !!!!!!!! :)))))))))))))))))))))))))) Diverzija!!! Treba smesta preduzeti kontramere. Doticni fajl preimenovati u HRVATSKA.ZIP i AVSTRIJA.ZIP, i zatim isti poslati na sve hrvatske i slowenacke BBS-ove! :))))))))

virusi.233 dejanr, 02 Aug 91

Zvuči kao da je to virus, zapravo ne virus nego trojan. Moglo bi se pogledati VSCAN-om ali on verovatno ne bi ništa pronašao jer po načinu kako je taj slavni program napisan (samo tres! i ode disk) ne bih rekao da se neko oko njega mnogo trudio. To je neki domaći program, a ko mu dade ime SRBIJA.ZIP to možemo samo da pogađamo :(

virusi.234 feniks, 03 Aug 91

>> Sa EQUINOX BBS-a sam preneo fajl SRBIJA.ZIP........ >>....Program je obrisao BOOT partciju diska i sve particije na disku >> tako da je racunar ladno konstatovao da nemam hard disk !!!!!!!!!! >> Usledilo je ponovno formatiranje diska :( Izgleda da je jos desetak ljudi (medju njima i ja) imalo "zadovoljstvo" da dobije ovog "trojanca" :(( Rezultat - isti , ostecen boot sektor , C: - invalid drive , itd. Medjutim , nisam ponovo formatirao hard disk , nego sam podigao sistem sa diskete i primenio NDD (Norton Disk Doctor). Posle nekoliko pitanja ( koliko particija , velicina particije (MB) i drugih u stilu "da li zelite da vam se vrati izgubljeni boot sektor "- ma jok - necu :) ) itd ... dobijete za par minuta posla opet svoj stari hard disk sa svim podacima , ....... UH kakva sreca!!!!!!!! Inace imam samo 1 particiju od 65 MB (Nec 3142 + RLL) na MS DOS-u 4.01. Sigurno je problem spasavanja hard diska moguce resiti na vise nacina ( Diskfix iz PCTools V 6.0 , Mace utilities - sada nisam probao te pakete ) ali nikada ne zurite sa formatiranjem diska! Pozdrav , S.P.

virusi.235 dejanr, 04 Aug 91

>> ali nikada ne zurite sa formatiranjem diska! Sasvim ispravno. Sreća da je naš slavni programer pokvario samo boot sektor, da je pobrljao FAT-ove bilo bi mnooogo gore :(

virusi.236 iboris, 04 Aug 91

Cudno, ja sam (cini mi se sa EQUINOXE BBS) skinuo file SRBIJA.PCX ali mi se nesto slicno nije desilo. Slika je prilicno dobro uradjena (VGA) i evo je saljem (nema virusa sigurno). A sto se tice SRBIJA.ZIP , kakvi su tacni simptomi . JA sam upravo danas hteo da skinem taj file. Stvarno je podlo to sto se uradilo. Da li je neko procitaoÂš_▀┐~#┘ń▄Źăé_ĆOÝŕňgS9ÔŽžéÉłYž╣7ZpÁĘi1#╝đ/]_Í%š[<BŇ─"┐Ą L─oÄ"/ěR^Ú=▄╔$HdWTÜQć4S=ŚaqspčGit

virusi.237 iboris, 04 Aug 91

Pukla veza gore :((((( Elem, da li je neko procitao info o tom file-u? Tu treba da pise ko ga je poslao , pod uslovom da je dao prave podatke ! Ja sam skinuo SRBIJA.PCX, pa evo je srbija.pcx

virusi.238 dejanr, 04 Aug 91

Ovo sam pročitao na Fenix BBS-u: Date: 07-29-91 (13:22) Number: 1116 of 1145 To: ALL Refer#: NONE From: SYSOP Read: (N/A) Subj: OBAVESTENJE! Status: PUBLIC MESSAGE Conf: MAIN BOARD (0) Read Type: GENERAL (+) Obavestavam clanove Fenix-a, a i ostale BBS-ove, da je na nas Fenix, izvrsena "tiha" diverzija od strane IVAN HUTER-a... Isti je poslao fajl na Fenix pod imenom FILEM.ZIP sa komentarom ... fina stvarcica za PCB... i kada smo ga raspakovali i startovali jednostavno nam je izbrisan BOOT sektor na disku C...Sve komentare prepustam vama...Jos jedan dokaz da u ovom prljavom ratu treba svasta ocekivati ... Taj faj smo skinuli, ali postoji PISANI TRAG, odnosno informacija o njemu na sistemu... Pozdrav Sysop (56 min left), (H)elp, End of Message Command? Date: 08-02-91 (15:59) Number: 1138 of 1145 To: ALL Refer#: NONE From: PREDRAG TODOROVIC Read: HAS REPLIES Subj: SRBIJA.ZIP Status: PUBLIC MESSAGE Conf: MAIN BOARD (0) Read Type: GENERAL (+) ZDRAVO SVIMA! Zelim svima da skrenem paznju da NE UZIMAJU program SRBIJA.ZIP sa EQINOXE BBS-a jer je programprilicno nezdrav (po HD). Zelim da sprecim da se jos neko zezne kao ja i da ga uzme iz znatizelje ili neceg drugog. Puno pozdrava svima od OVCE. (56 min left), (H)elp, End of Message Command? Date: 08-02-91 (20:18) Number: 1141 of 1145 To: PREDRAG TODOROVIC Refer#: 1138 From: SYSOP Read: 08-03-91 (15:31) Subj: SRBIJA.ZIP Status: PUBLIC MESSAGE Conf: MAIN BOARD (0) Read Type: GENERAL (+) -> ZDRAVO SVIMA! -> Zelim svima da skrenem paznju da NE UZIMAJU program SRBIJA.ZIP sa -> EQINOXE BBS-a jer je programprilicno nezdrav (po HD). Ovaj program je BIO stavljen i na Fenix, poslao ga je Zoran Jevtic tel.697-283 , tek toliko da se zna ko ovaj narod hoce da zeza. Malo nam je svojih muka, jos se nadje neko JAKO pamentan i hoce da ljudima zagorca zivot na taj nacin sto mu prebrise HARD disk...Nesto slicno je uradio i Ivan Huter,tel.788-189 oba clana su ZAUVEK udaljena sa Fenix-a, a red bi bio da se isti ljudi bojkotuju na SVIM bbs-ovima... Kada smo vec kod ove teme, Fenix se unapred izvinjava svim clanovima za slicne neugodnosti zbog uzetih programa od nas... Mi zaista nismo u mogucnosti da stotine programa startujemo i kazemo koji ne valja... Dovoljno je sto smo OVA dva (SRBIJA.ZIP i FILEM.ZIP) probali i nastradali... Samo moja "dusa" zna kako se sredjuje hard disk kome je unisten FAT i BOOT sektor.... Pozdrav svima, Sysop

virusi.239 maleksic, 04 Aug 91

>> Ja sam skinuo SRBIJA.PCX, pa evo je Neka, hvala. Xexexe! Koga .EXE ujede, taj se i .PCX-a plasi :))

virusi.240 beast, 05 Aug 91

Moram konstatovati da sam uploadovao srbija.zip sa equ... BBS-a i da ga (na moju ogromnu sreću) nisam startovao (mada mi je ipak pao disk :) iz drugih razloga).Trojanca NE prepoznaje scan!! Pazite se... PS. Da je meni taj virus s***ao disk (a da imam telefon onoga ko ga je poslao) ko zna šta bi vlasniku uradio...

virusi.241 sasa, 05 Aug 91

>> Trojanca NE prepoznaje scan!! Pazite se... Da, ali zato imam jedan program CHK4BOMB koji će prolistati EXE i COM fajl i prijaviti eventualne rutine za brljanje po disku. Nešto slično se može kontrolisati sa ANTI4US2 koji pazi na pristup disku i lako se skida iz memorije. Usput, ANTI4US2 vodi i LOG o pristupima datotekama koji se može snimiti u fajl. Pozdrav, Sasa@nsd antibomb.zip

virusi.242 powderman, 31 Aug 91

Uz ovu poruku ide virusim.zip. (To su SIMULACIJE virusa). Zabavite se. Powderman virusim.zip

virusi.243 mirkot, 07 Sep 91

Da li virusi mogu da se uvuku u expanded ili extended memoriju? To pitam zato sto sam primetio da SCAN program ne skanira nista iznad 640 K.

virusi.244 dejanr, 07 Sep 91

VRLO dobro pitanje. Mislim da će teško otići u neku jako visoku memoriju, ali u onaj prostor između 640k i megabajta (high RAM odnosno UMB) bi mogao vrlo lako.

virusi.245 macak, 08 Sep 91

>>...ali u high RAM bi mogao vrlo lako. Ako je tako,onda mozes da bacis SVE (mozda ima neki izuzetak ?) SCAN i slicne programe. To je good ideja za ůpOtencijalne virus-writer -e.

virusi.246 prvul, 08 Sep 91

>> To je good ideja za potencijalne virus-writer -e Kada smo već kod toga, jel zna neko šta radi onaj virus od 75 bajta (video sam ga u nekom spisku virusa).. Ako je bezazlen, imaće veeeliku primenu ;>>.... u školstvu, pogotovo tamo gde zabranjuju rad sa flopijima ;>>>... M.

virusi.247 dejanr, 08 Sep 91

>> >...ali u high RAM bi mogao vrlo lako. >> Ako je tako,onda mozes da bacis SVE (mozda ima neki izuzetak >> ?) SCAN i slicne programe. Pa, nije tako crno, scan će i dalje nalaziti viruse na disku, problem je samo ako se neki već učitao u ram. Dakle, pre scan-a treba dići sistem sa čiste dos diskete.

virusi.248 bjankovic, 08 Sep 91

Primetio sam jednu priližno opasnu pojavu. Naime ako se program zarazen nekim virusom zapakuje pomocu nekog EXE fajl kompresora (PKLITE, LHEXE i sl.) virus, pošto se takoće kopresuje postaje nevidljiv za SCAN (do verzije 7.6V80). Po startovanju takvog programa posle, dekompresovanja EXE fajla u memoriji mehanizam startovanja i kod virusa su pot- puno očuvani kao i ceo EXE fajl. To mi se i desilo pre nekoliko dana sa disketom sa nekim programima za Soundblaster. Ako neko kontaktira sa BBS-om proizvođača SCAN-a ne bi bilo loše da vidi da li oni spremaju neki odgovor na ovo.

virusi.249 mjova, 08 Sep 91

> je samo ako se neki već učitao u ram. Dakle, pre scan-a > treba dići sistem sa čiste dos diskete. jel no name? :)

virusi.250 bulaja, 09 Sep 91

│Naime ako se program zarazen nekim virusom zapakuje pomocu │nekog EXE fajl kompresora (PKLITE, LHEXE i sl.) virus, posto │se takoce kopresuje postaje nevidljiv za SCAN (do verzije │7.6V80). │... │Ako neko kontaktira sa BBS-om proizvodaca SCAN-a ne bi bilo │lose da vidi da li oni spremaju neki odgovor na ovo. └─── Pataj problem je vec resen u verziji 80 (bar za PKLite, a on se najvise koristi), evo izvoda iz dokumentacije SCAN-a: Ć Version 80 adds several new features to VIRUSCAN: Ć The first is that SCAN now checks inside of files compressed Ćwith PKWare's PKLITE program for viruses. Files infected before Ćcompression will be reported as being infected internally. Files Ćinfected after compression will be reported as being infected Ćexternally.

virusi.251 bjankovic, 09 Sep 91

Tačno. Program na koji sam naišao bio je zapakovan sa LHEXE.

virusi.252 sandi, 14 Sep 91

Racunar mi je bio zarazen virusom YANKEE DOODLE koji sam otkrio i uklonio.Medjutim sada mi se na ekranu pojavljuju tackice i jedan znak slican sneznoj pahuljici Da li neko ima ideju o kakvom se to virusu radi jer ga nijedan SCAN ne otkriva?

virusi.253 bulaja, 14 Sep 91

│Da li neko ima ideju o kakvom se to virusu radi jer ga │nijedan SCAN ne otkriva? └─── Probaj SCAN-ovu opciju /av, tj. da jedno scan c: /av. To ce na kraj svake datoteke dodati checksum (validation code) pa ce scan sledeci put (kad opet das scan /av ili scan /cv) provaliti da li je datoteka u medjuvremenu promenjena tj. da li je zarazena virusom (bez obzira da li scan poznaje taj virus ili ne). Onda ces saznati da li ti je PC stvarno zarazen, a mozes i pobrisati datoteke za koje scan javi da su zarazene (iako ti ovo nece pomoci za datoteke koje su zarazene pre scan /av).

virusi.254 bulaja, 19 Sep 91

Stigao novi SCAN! Datoteke: \ibmpc\virus\scanv82.zip \ibmpc\virus\clean82.zip Sutra ce biti poslati i novi vshld, netscn i vcopy

virusi.255 viktor, 20 Sep 91

Zdravo, U konferenciji PC.USER poruka 11.1 kaze se da je novi clan familije program VCOPY. Nije tacno... Naime on postoji vec od verzije pedeset i kusur ... Nije da je vazno, ali ajde da se salimo i isterujemo mak na konac! Pozdrav, Viktor.