virusi.1bulaja,
U \ibmpc\virus direktorijumu su nove verzije (82) SCAN, CLEAN, VSHIELD
i NETSCAN, a takodje i novi deo McAfee SCAN serije VCOPY. Da vidite cemu
sluzi VCOPY, evo izvoda od dokumentacije:
│ VCOPY is a replacement for the DOS COPY command for IBM PC and
│compatible machines. VCOPY will search a PC for known computer
│viruses in memory, then search the partition table and boot sector
│of the source and destination disks, in addition to the files being
│copied. This prevents viruses from entering your system and
│identifies infected diskettes. VCOPY functions identically to the
│MS-DOS 3.30 COPY command, with the exception of the COPY CON
│function. For a list of viruses detected by VCOPY see the
│accompanying VIRLIST.TXT file.
└───
virusi.2bulaja,
│... a takodje i novi deo McAfee SCAN serije VCOPY.
└───
Whoops, ovo ipak i nije tako nova stvar (dobio sam ispravku u
pc.soft/20.255). Sorry, al' sam ja ipak VCOPY prvi put sada
video ;), a verovatno i vecina od vas (nisam ga primetio nigde
na okolnim BBS-ovima). Anyway, thanks na ispravci, it's never
too late.
virusi.3lazo,
Evo odlučih da i ja doprinesem večoj zaštiti naših kompjutera od virusa. Kako
sam tek odnedavno pristupio Sezamu, čitajući sve poruke iz konferencije pc.soft
na temu virusi, vidio sam da niko ne spominje Karmelov anti-virus program pod
nazivom TNTVIRUS. E sad kako je osnovni program suviše dugačak, a pakovanjem
se ne dobija skoro ništa na uštedi što se može vidjeti i na arhivi koju šaljem,
to sam zasad odlučio da pošaljem samo programe koji su preventiva za zarazu od
virusa. To su BOOTSAFE.EXE i TSAFE.COM koji sami sebe u slučaju zaražavanja či-
ste i uvjek provjeravaju svoju dužinu. Ako ne vjerujete dodajte im SCAN-om po-
datak o validejtu naredbom /AV i zatim startujte. Rezultat ćete vidjeti sami.
Kako sam program dobio na poklon, na disketi na kojoj je bio nije se nalazio
README nego sam dobio listing na papiru. U njemu se uglavnom nalaze opisi viru-
sa koje TNTVIRUS prepoznaje i uklanja. Ovdje ću navesti samo one koje prepozna-
je, ali ne eliminiše. To su: Doodle B, Kennedy, AIDS II, Amoeba 1392, Agiplan,
Eddie 2 (Dark Avenger 2), Pixel 1 i 2, Polish virus, 1210 virus, 1559 virus,
VComm virus, ItaVir, Solano, 12 Tricks Trojan A i B, Joker, Icelandic 3,
Virus-90, Jerusalem 1 i 2 (Friday 13th variety), Vacsina X, Devil's Dance i
DataCrime D COM (DataCrime II-B). Tu su još slijedeći Boot virusi:Korea, EDV,
Pentagon, Ohio, Falling letters / Israeli BOOT i Chaos.
Navedene viruse, da pomenem još jednom program otkriva, ali ne uklanja.
Kako je broj BOOT virusa koje pronalazi i uklanja mali (16) navešću i njih :
Ping Pong A B C i D, The MisSpeller, The Disk Killer, The Stoned (A B), The
Yale
(poznati kao Alameda i Merritt), The Ghost Boot, The Den-Zuk virus, The
Pakistan
Brain, dakle ukupno 16 sa varijacijama. Postoji još 108 virusa koje nalazi i
uk-
lanja, mada koliko sam primjetio nije baš pogodan za to jer ne govori sa kojeg
fajla može uspješno da ukloni virus, a sa kojeg ne. Naime virus 100% uklanja
vi-
rus za koji je sposoban, ali zato niste 100% sigurni i da će se taj fajl
kasnije
moći startovati. Dakle možete biti sigurni da će očistiti disk i memoriju ali
ne
i u ispravnost očišćenih EXE, COM i ostalih fajlova koje virusi napadaju.
Navešću još par sitnica iz uputstva koji se odnose na TSAFE i BOOTSAFE.
Turbo Anti-Virus v6.80A
New command line parameters were added to TSAFE:
A. The '/Ax' parameter allows specification of the hot-key used to activate
the control window. If TSAFE is activated, the hot key will be <Alt-x>
instead of default <Alt-T>. For example, To set the hot key to
<Alt-S> type: TSAFE /AS
B. The /X parameter will Disable / Enable the write protection of executable
file, (e.g. When a virus is trying to infect it).
The default for this warning is ON.
A new option in the WARNING window of TSAFE allows the user to simulate
an error and cause the operation to FAIL.
For example: If a virus tries to write to the boot sector - TSAFE will
open the warning window. Pressing the 'F' key (FAIL) will cause the
termination of the writing routine causing the virus to "think" that
the disk is write protected (Smart ah...).
Za BOOTSAFE je potrebno da stavite u autoexec npr. c:\virus\bootsafe c: d: itd.
, ukoliko ima te više diskova. Prije nego što kreirate bootsafe image file
budi-
te sigurni da disk nije zaražen to jest boot sector. Na ovaj način pri uključe-
nju kompjutera bootsafe stalno prgleda boot sector i particiju. Također stavite
u autoexec i TSAFE sa ili bez navedenih parametara.
Ukoliko iz uprave, a bogami i ostali za glavni dio programa poslaću i njega.
Naravno potrudiću se da nabavim README kako bi i vi znali koje viruse nalazi i
uklanja, a takođe u njemu se nalaze detaljni opisi tih virusa.
Još da napomenem da sa SCAN-om V60 nisam mogao da uklonim Doodle 1 iz memorije,
dok sa ovim paketom za viruse nije bilo problema. Vjerovatno to rade verzije
SCAN-a novijeg datuma.
Eto toliko!!! Pozdrav od MICKEY-a! ili ti Laze.
virusi.4bulaja,
-> #3, lazoDatoteka je obrisana. Razlozi:
1) uopste nisam siguran da li je PD/shareware. Na osnovu uvodnog screena
bi se moglo zakljuciti da je shareware (pise nesto poput "Order the
complete package from..."), ali ga npr. nisam nasao na Trickle-u. A
posto nema nikakve dokumentacije, nisam mogao da proverim sta tamo pise.
2) ako program ipak jeste PD, onda ne moze stojati na Sezamu iz
jednostavnog razloga - dat je samo deo arhive, bez ikakve dokumentacije
i pratecih datoteka. Kod PD programa, obavezna je distribucija
iskljucivo kompletnih arhiva.
Bulaja
virusi.5lazo,
-> #4, bulajaEvo nasao sam dokumentacioni fajl README.DOC za TNTVIRUS.
tntvirus.arjvirusi.6bulaja,
-> #5, lazo Pogledao sam dokumentaciju za taj antivirusni prg i nisam bas previse
odusevljen. Verzija koju imas nosi datum od oktobra '90. godine, a
godinu dana je izuzetno velika starost za jedan antivirusni program. Po
dokumentaciji, sposoban je da otkrije 154 virusa, sto je zanemarljivo u
odnosu na SCAN. Na trickle-u nema ni traga tom programu, dok ima npr.
jos nekoliko drugih antivirusnih prg, koji se takodje prilicno redovno
obnavljaju, kao i SCAN. Nisam imao pri ruci ni jedan virus da proverim
kako radi, ali oba filea koji si poslao prosli put se instaliraju kao
rezidentni. Iz principa mrzim rezidentne antiviruse, jer uglavnom dzabe
zauzimaju memoriju i sluze uglavnom za zamajavanje pocetnika, a ponekad
prave gluposti i ne sluze nicemu (secam se kako me jednom davno tako
zeznuo Mace vaccine tzv. antivirusni prg), a tu je i VSHIELD kome ipak
vise verujem ;). A i u readme fileu sto je poslat se spominju jos neki
programi koje nisam video, a cak i da odlucimo da tnt nesto valja ;)
stavljanje nekompletne arhive na Sezam ne dolazi u obzir.
Mene ce vrlo tesko neko naterati da zamenim SCAN nekim drugim
antivirusnim programom. Prednosti ne mogu uociti tako lako kao kod npr.
ZIP->ARJ, ali SCAN lepo radi, do sada me nije zeznuo, a izvukao je stvar
nekoliko puta (na svu srecu ne na mojoj masini). Nove verzije su vrlo
redovne i lako ih je nabaviti, pa zaista nevidim razloge za promenu.
Pozdrav,
Bulaja
virusi.7lazo,
-> #6, bulaja* Pogledao sam dokumentaciju za taj antivirusni prg i nisam bas previse
*odusevljen. Verzija koju imas nosi datum od oktobra '90. godine, a
*godinu dana je izuzetno velika starost za jedan antivirusni program. Po
Tu si u pravu, ali zato i nisam poslao glavni antivirus program, jer i ja
smatram da je SCAN što se otkrivanja i čišćenja tiče bolji. Ali zato mi-
slim da su programi koje sam poslao za zaštitu boot sektora i particije
dobri i da bi ih možda trebao svako imati.
kako radi, ali oba filea koji si poslao prosli put se instaliraju kao
*rezidentni. Iz principa mrzim rezidentne antiviruse, jer uglavnom dzabe
*zauzimaju memoriju i sluze uglavnom za zamajavanje pocetnika, a ponekad
*prave gluposti i ne sluze nicemu (secam se kako me jednom davno tako
*zeznuo Mace vaccine tzv. antivirusni prg), a tu je i VSHIELD kome ipak
To i nisu antivirus programi, ali između ostalog samo je TSAFE rezidentan
i ne dozvoljava da se po disku i programima radi "neovlašteno", kao što to
virusi rade. Dakle kad virus pokuša da zarazi EXE ili COM fajl on prikaže
kontrolni prozor i upozori da se nešto dešava. Ako si svjestan da je sve
u redu kažeš mu da nastavi, a ako nisi siguran pritisneš F ili N za buto-
vanje kompjutera. Nešto je kao FLUSHOT, ali bolji. Služi kao preventiva od
zaražavanja nekim novim virusom, koje recimo ni SCAN ne prepoznaje, pa tako
ni VSHIELD. Isto sam primjetio da VSHIELD usporava izvršavanje programa, što
opet zavisi od brzine kompjutera, ali... Sve u svemu, mislio sam da će se
postići bolja zaštita od virusa u kombinaciji sa SCAN-om.
Naravno mogu poslati još TNTVIRUS.EXE i INSTALL.EXE pa da se paket kompleti-
ra, ali mi prije toga javi da li imaš još one programe što sam posalo, da ne
bih trošio vrijeme na njihovo ponovno slanje.
Još jednom da napomenem: Od cijelog paketa mislim da je interesantan TSAFE i
donekle BOOTSAFE. Za sve ostalo bolji je SCAN i njegovi prateći programi.
Pozdrav!!!
P.S. Ukoliko ocjeniš da ne treba da stoji na Sezamu taj paket samo zbog TSAFE
koji po mojoj ocjeni jedini vrijedi u tom paketu, svako ko je zainteresovan
za taj program koji troši 27.2K memorije, neka se javi pa ću mu ga ostaviti u
pošti, pošto djelovi prg. paketa ne mogu da stoje na Sezamu.
virusi.8bulaja,
-> #7, lazo│P.S. Ukoliko ocjenis da ne treba da stoji na Sezamu taj paket samo zbog TSAFE
│koji po mojoj ocjeni jedini vrijedi u tom paketu, svako ko je zainteresovan
│za taj program koji trosi 27.2K memorije, neka se javi pa cu mu ga ostaviti u
│posti, posto djelovi prg. paketa ne mogu da stoje na Sezamu.
└───
Da, to sa mailom ce biti najbolje (tj. najlegalnije ;) resenje. Ja cu se
ipak potruditi da nadjem negde kompletnu arhivu, ili eventualno neku
noviju verziju, ako uspem u tome javicu.
virusi.9mgajic,
-> #6, bulaja U direktorijumu za viruse imate program VIRSCAN za koji
tvrdite da je IBMov. A on osim imena nema ama bas nista sa IBMom. Ako ne
verujete a vi ga raspakujte i pogledajte. Uz to je program POD COPYRI-
GHTom !!!! Tekuca verzija PRAVOG IBMog AntiVirus programa je 2.0.2 i "pod
svoje" ga je uzeo McAfee bar prema fajlu VREGISTER.DOC
*> Mene ce vrlo tesko neko naterati da zamenim SCAN nekim drugim
*> antivirusnim programom. Prednosti ne mogu uociti tako lako kao kod npr.
*> ZIP->ARJ, ali SCAN lepo radi, do sada me nije zeznuo, a izvukao je stvar
*> nekoliko puta (na svu srecu ne na mojoj masini). Nove verzije su vrlo
*> redovne i lako ih je nabaviti, pa zaista nevidim razloge za promenu.
Razni ljudi, razni ukusi. Sve za SCAN stoji ali nije rec samo o tra-
zenju virusa. Ima ljudi koje zanimaju i ostale stvari kod samih programa.
Dugo sam razmisljao o RELATED virusima (McAfee) a kada sam pogledao IBM VI-
RUSCAN shvatio sam da su identicne viruse (Vienna-648 virus, 648 Vienna
(2) virus, 648-overwritten-COM-file; identicne po signaturi) strpali u isti
kos mada neki rade razlicite stvari. Mislim da zato i CLEAN ne da restaurira
fajlove od mnogih virusa. A kad smo kod ukusa meni se mnogo vise svidja pome-
nuti VIRSCAN-IBM.
I jos nesto. VCOPY v.XX imate vec od decembra meseca '89 na DURLAN
BBSu: 018 46 515 1200/2400 - 21:30h - 08:00h. Isto vazi i za IBMov VIRUSCAN
- VIRSC202.ZIP
Pozdrav, MGAJIC
virusi.10mgajic,
-> #8, bulaja*> svako ko je zainteresovan za taj program koji trosi 27.2K memorije,
*> neka se javi pa cu mu ga ostaviti u posti, posto djelovi prg. paketa
*> ne mogu da stoje na Sezamu.
Voleo bih da dobijem programe koje pomonjes. Ja imam NET verziju
TNT-a pa ako si zainteresovan mozemo da ih menjamo. Posalji ih na DURLAN BBS
018 46 515 21:30h-08:00h a tu mozes odmah i da uzmes [N] - PC AV programi &
tekstovi - II: CARMELAN.ZIP
Pozdrav, Miki Gajic.
virusi.11bulaja,
-> #9, mgajic│U direktorijumu za viruse imate program VIRSCAN za koji tvrdite da je
│IBMov. A on osim imena nema ama bas nista sa IBMom. Ako ne verujete a vi
│ga raspakujte i pogledajte. Uz to je program POD COPYRIGHTom !!!!
│Tekuca verzija PRAVOG IBMog AntiVirus programa je 2.0.2 i "pod svoje" ga
│je uzeo McAfee bar prema fajlu VREGISTER.DOC
└───
1) program je PD, evo sta pise u dokumentaciji:
Í─
║ VirScan version 1.0, programmable virus scanner. **PUBLIC DOMAIN SOFTWARE**
Ë─ ^^^^^^^^^^^^^^^^^^^^^^
2) da, program ocigledno nema nikakve veze sa IBMom. Na Sezamu se nalazi
jos od njegovih pocetaka (kraj '89.) pa pojma nemam otkud on tamo i
zasto je opis onakav kakav jeste. U svakom slucaju to "IBM" je sad
izbaceno iz opisa.
Ne znam sta trazi virscan u \ibmpc\virus posto je ocigledno
zastareo, ali posto jos nemamo nameru da brisemo ponesto sto se sada
nalazi po PC direktorijumima (mozda bi trebalo?) ostace tamo do daljneg.
virusi.12lazo,
▄▄▄▄▄ ▄▄▄▄▄ ▄▄▄▄▄ ▄▄▄▄ ▄▄▄▄▄ ▄ ▄ ▄
█ █ █▄▄▄█ █▄▄▄█ █▄▄▄ ▄▀ █ █ █
█ █ █ █▀▄ █ ▄ ▀ ▀ ▀ ▀
▀▀▀▀▀ ▀ ▀ ▀ ▀▀▀▀ ▀▀▀▀▀ ▀ ▀ ▀
Na Sezamu virus, molim bez panike. Naime, sasvim slučajno sam otkrio da je
arhiva u IBMPC/FUN/ direktoriju zaražena virusom. Riječ je o arhivi DASH.ZIP.
Što je najčudnije u svemu, kad se dearhivira i SCAN-iraju programi iz arhive
SCAN kaže da nema virusa. Mađutim kad se arhiva pregleda sa CHECKOUT programom
za skaniranje arhiva taj isti SCAN u arhivi nađe virus. Evo poslednjed dijela
izvoda iz CHECKOUT.LOG datoteke.
--testing C:\TELIX\RECV------9/26/91
NETSCN82.ZIP ok 9/26/91
--testing C:\TELIX\RECV------10/04/91
DASH.ZIP Virus detected
--testing C:\TELIX\RECV------10/04/91 2 put testirano
DASH.ZIP Virus detected
--testing C:\VIRUS------10/04/91 ž────────────────────┐
│
Kad sam ovo isto uradio u direktoriju gdje se nalaze anti-virus programi i
startovao CHECKOUT program je detektovao slijedeće. Pri tom je virus pokušao
da zarazi sve i jedan program u direktorijumu, ali zahvaljujući TSAFE-u koji
je detektovao pokušaj zaražavanja, to je spriječeno. Evo izvoda iz drugog LOG
fajla:
DASH.ZIP Virus detected
TSAFE.COM ok 10/04/91
VALIDATE.COM ok 10/04/91
BOOTSAFE.EXE ok 10/04/91
CHECKOUT.EXE ok 10/04/91 ovo je po US , a po našem 04.10.1991
CLEAN.EXE ok 10/04/91
INSTALL.EXE ok 10/04/91
SCAN.EXE ok 10/04/91
TNTVIRUS.EXE ok 10/04/91
Ni sam ne znam utkud mi pade na pamet da provjerim arhivu, pošto sam par puta
na Sezamu pročitao kako se sve što se stavlja u direktorije provjeri dobro.
U ovoj arhivi je recimo virus sakriven i uopšte nije zaražen DASH.EXE, što
poslije provjerio tim istim SCAN v82. Zato svima preporučujem oprez, jer o-
čigledno se i SYSOP-ima može provući neki virus.
Pozdrav from MICKEY.
P.S. iz tehničih razloga (ne radi mi tipka pause) nisam kod CKOT mogao da za-
ustavim ekran pa da vidim koji je virus u pitanju. žini mi se da sam ugledao
1701/1714 ,ali nisam siguran. Nadam se da će me Bulaja obavjestiti o kojem se
virusu radi.
virusi.13lazo,
-> #12, lazoE sad mi više ništa nije jasno. Koji god "čist" fajl da zipujem i zatim ispi-
tam CHECKOUT-om kaže : 1701/1714 virus version B [170x] active in memory.
Onda ufol pokušava da zarazi fajlove u direktoriju kao što sam opisao u pret-
hodnoj poruci. E sad sam pustio da zarazi jedan. Kad sam provjerio da li je
zaražen, oupšte to nije bio. Imam osjećaj da je to neko napravio u cilju da
zaplaši. Ne znam u čemu je štos?
Još sam našao u opisu ovog virusa: The virus is encrypted.
MICKEY
virusi.14stal,
-> #13, lazo>> E sad mi više ništa nije jasno. .......
Probao sam isto sa istim programima kao i ti.
Ne javlja mi nikakve "plašeće" poruke.
Da li ti je sad nešto jasnije?
Probao sam sa novim SCAN-om, sa CPAV, novim Central Point programom za
otkrivanje virusa, sa......, svim, ne javlja ništa.
Izgleda da imaš "lokalni" problem.
Da sačekamo da se i drugi ljudi izjasne..... Dotle ne pokreći ni jedan program
osim TELIX :). Možda imaš grip.
virusi.15dejanr,
-> #12, lazoJa sam taj DASH više puta startovao i nije se desilo baš ništa loše. Sve
nešto mislim, da tebi nije neki od tih antivirus programa zaražen?
virusi.16bulaja,
-> #12, lazoVirus u dash.zip?
No way !!!!!!!!!!
U originalnoj arhivi nema traga nekom poznatom virusu,
nista se ne instalira kao rezidentno pri startovanju
dasha, nista ne menja bilo koju datoteku na hardu ...
Probao sam sve moguce stvari i nikakvog virusa nema.
Sto bas ne bih rekao za tvoj PC, pusti jedan SCAN po
celom hardu.
virusi.17lazo,
Pazi sad ovo! Kad startujem CKOT pod dosom 5.0 kaže da nađe virus 1701/1704
aktivan u memoriji, a kad sve isto startujem pod dosom 3.30 to se ne dešava.
Isto tako kad dam SCAN C: /CV ništa ne nalazi. Postajem sve sigurniji da je
kompjuter čist i da nema virusa, zbog toga što je ovo stara verzija virusa,
tako da ga skoro svaki antivirus program nalazi. Međutim svi antivirus pro-
grami pri pretrazi cijelog HD su jednoglasni da nema virusa.
Pošto sam dodao sa SCAN-om svim fajlovima validate, vidjeću da li se vreme-
nom šta dešava sa fajlovima. Zasad je sve u redu.
Za DOS 5.0 sam siguran da je čist, kao i 3.30.
MICKEY
p.s. Slova još nisu počela da padaju :-))))))))))))))))
virusi.18lazo,
Načuo sam da se pojavio neki virus koji se ugnjezdi u
ROM memoriju kompjutera i jedini je lijek, trenutno,
zamjena osnovne ploče. Zna li neko nešto više o tome.
KH
virusi.19bulaja,
-> #18, lazo│Nacuo sam da se pojavio neki virus koji se ugnjezdi u
│ROM memoriju kompjutera i jedini je lijek, trenutno,
│zamjena osnovne ploce. Zna li neko nesto vise o tome.
└───
;))))))))))))))))))))))))))))))))))))))))))))))))))))))
Da nije fora iz prolupatora ;) ?
virusi.20ivujanic,
-> #18, lazo> Načuo sam da se pojavio neki virus koji se ugnjezdi u
> ROM memoriju kompjutera i jedini je lijek, trenutno,
> zamjena osnovne ploče. Zna li neko nešto više o tome.
Znam ja:
:))))))))))))))))))))))))))))))))))))))))))))))))))))
)))))))))))))))))))))))))))))))))))))))))))))))))))))
)))))))))))))))))))))))))).....
Ivica
P.S. da te ne bih zbunio, ROM je skraćenica od Read Only Memory, što
će reći, moš' čitat. al' ne moš' pisat...
virusi.23igor.mil,
-> #18, lazo> Nacuo sam da se pojavio neki virus koji se ugnjezdi u
> ROM memoriju kompjutera i jedini je lijek, trenutno,
> zamjena osnovne ploce. Zna li neko nesto vise o tome.
Nisam cuo, ali i da jesam, duboko bih u to posumnjao, posto ROM znaci
READ ONLY MEMORY.
virusi.24mjova,
-> #18, lazo> Načuo sam da se pojavio neki virus koji se ugnjezdi u
> ROM memoriju kompjutera i jedini je lijek, trenutno,
> zamjena osnovne ploče. Zna li neko nešto više o tome.
ovo možda staviti u viceve? :)
SY
:)
virusi.25isekulovic,
Brat mi zokalezic ce reci da sam panicar ali evo sta mi
se dogodilo pa prosudite sami dal ima veze sa virusima ili ne.
Jos u prvim danima posedovanja pc-a dobio sam program pkzip
( i pkunzip naravno).Dosta dugo mi je dobro sluzio (dok nisam
otkrio arj;>) i sa njim nisam imao nikakvih problema.Pre nekoliko
dana mi je zatrebao pkzipfix koga nisam imao pa sam downloadovao
sa sezama ceo zip.Cim sam ga raspakovao primetio sam da se se
razlikuju datoteke pzkip.exe iako se radi o istoj verziji programa.
Pkzip.exe skinut sa sezama bio je dugacak 34.296 bajta i nosio je
datum 3-15-90 1:10a dok je onaj moj stari imao duznu 34.306 bajta
i vreme 12-14-90 5:44p.Proverio sam sa scanom da nema virusa ali
ovaj nista nije nasao.Posto znam da je bilo ranije neke frke sa
zipom (ili je to bilo sa scanom) resio sam da se potrazim vas savet
pa evo cekam ga.
ivan
virusi.26dmiric,
-> #25, isekulovic> Pkzip.exe skinut sa sezama bio je dugacak 34.296 bajta i nosio je
++++++
> datum 3-15-90 1:10a dok je onaj moj stari imao duznu 34.306 bajta
++++++
34.306-34.296=10. Da ne koristiš Scan ... /av ?
Sa ovom opcijom (av=add validation data) scan svakom izvršnom fajlou doda CRC
dužine 10 byta.
virusi.27ppekovic,
-> #23, igor.mil>> Nisam cuo, ali i da jesam, duboko bih u to posumnjao, posto ROM znaci
>> READ ONLY MEMORY.
Hey, pa to bi bio grozan zločin. Provališ lepo u pogon u kojem
programiraju ROM-ove i promeniš im izvor za sadržaj ubacivši virus
unutra. Setite se samo onog filma u kome tip provaljuje u fabriku
karata i na samom uzorku obeležava karte.
;))))) Kava bi tu pometnja nastala.
Paya
virusi.28lazo,
Vidim da sam vas dobro nasmijao. Oduševljen sam vašim znanjem.
Nemam riječi. Šta reče da je ono ROM, nisam dobro žUO?
U svakom slučaju mnogo hvala!!!
p.s. Kako je u ovom našem svijetu sve moguće, pa da se i kraljevska
porodica vrati na vlast, tako možda ni ovo nije nemoguće.
virusi.29adulic,
-> #18, lazo
│ Načuo sam da se pojavio neki virus koji se ugnjezdi u ROM memoriju
│ kompjutera i jedini je lijek, trenutno, zamjena osnovne ploče.
│ Zna li neko nešto više o tome.
└───────────
A da li se gnjezdi u ROM BIOS, ili u HD, ili u trastaturu? :)))
Ili svuda pomalo, da se ne bi zaraza odma' primetila ;))
AD
virusi.30feniks,
-> #25, isekulovic
> Pkzip.exe skinut sa sezama bio je dugacak 34.296 bajta i nosio je
++++++
> datum 3-15-90 1:10a dok je onaj moj stari imao duznu 34.306 bajta
++++++
Da dodam onome sto je rekao DMIRIC :
SCAN ... /AV zaista povecava com i exe files za 10 bytes
i nije u pitanju nikakav virus.
Medjutim posle ovoga treba koristiti i opciju
SCAN ... /RV cime ispravne files VRACA u prvobitni oblik !
Naime , ako se ovo ne uradi pojedini com ili exe programi
ne rade! Na primer VPIC.EXE (za gledanje GIF slicica).
Imao si srece da ti program i dalje funkcionise.
Za one kojima neki programi ne funkcionisu nebi bilo na odmet
da provere da li je "zarazen virusom 10" :)))
Evo procedure za SCAN82 , u ovom slucaju za hard disk:
SCAN /EXT VIR10 C:
Pozdrav , S.P.
vir10virusi.31radunovic,
Iz pouzdanih informacija (VAX centar u Francuskoj) cuo sam da se pojavio
novi virus, koga ne otkriva SCANV82 i koji se siri po Jugoslaviji. Ne vezuje se
za exe fajlove vec ostaje na hardu (u BOOT-u) . Molio bih nekoga ko zna (ako
zna) nesto vise o tome da ovde napise. :-))))))
Pozdrav Boki
HHHHH
HHH8HH
virusi.32dejanr,
Date: Fri, 27 Sep 91 05:55:41 +0000
From: mcafee@netcom.com (McAfee Associates)
Subject: New virus warning
A new, fast moving, and very destructive virus has been reported from
multiple countries in Eastern Europe. The virus uses a completely new
technique for infecting and replicating and it cannot be easily
identified or removed with existing anti-virus removers.
The virus infects by first placing itself in the last cluster of host
disks. It then modifies the directory entries for all executable files
in the system so that the directory chains point to the virus. Then it
encrypts the original pointers for the executable files and places the
encrypted pointers in unused space within the directory area. The
result of this is that whenever a program is executed, the virus is
loaded into memory. The virus, in turn, loads the program for
execution. Programs themselves are not modified.
A disruptive characteristic of this virus is that if an infected system
is booted from a clean floppy, none of the executable files can be
copied from the system. Neither can they be backed up. If the system
is not booted from a clean floppy, then the files can be copied and
backed up, but the virus will copied along with the programs. It's a
catch 22 situation. Additionally, if an infected system is booted from
a clean floppy, and then a CHKDSK /F is run, then all executable files
in the system will be destroyed.
The virus is also a stealth virus. While it is active in memory it is
difficult to detect.
The Virus has been named DIR-2. It has been reported at numerous sites
in Bulgaria, Poland, Yugoslavia and Hungary. We received our copy for
analysis from Tamas Szalay in Budapest.
The virus spreads more rapidly than any virus yet discovered. Vesselin
Bontchev in Bulgaria reports that it has become the most reported virus
in his country within the past few weeks.
We are currently re-writing our SCAN and CLEAN programs to deal with
this virus, as are most other anti-virus suppliers. A beta version of
both programs will be available September 26th. Anyone reporting
symptoms similar to the above described, please contact us.
Thank you,
John McAfee
--
McAfee Associates | Voice (408) 988-3832 | mcafee@netcom.com (business)
4423 Cheeney Street | FAX (408) 970-9727 | aryehg@darkside.com(personal)
Santa Clara, California | BBS (408) 988-4004 |
95054-0253 USA | v.32 (408) 988-5190 | CompuServe ID: 76702,1714
ViruScan/CleanUp/VShield | HST (408) 988-5138 | or GO VIRUSFORUM
virusi.33kvelkovski,
-> #31, radunovic I know you're gonna like it !
Kupe
virusi.34viktor,
-> #33, kvelkovskiZdravo,
Yes we're gonna like it but where is scanv83?
Vec smo imali iskustvo sa jednim, prekorednim, trojanskim konjem!?
Dakle, potrebno je objasnjenje odakle je ovaj lepotan!
Pozdrav.
virusi.35dejanr,
-> #34, viktor>> Dakle, potrebno je objasnjenje odakle je ovaj lepotan!
Koliko sam video, sa samog izvora :)
virusi.36beast,
-> #33, kvelkovskiA clean?
virusi.37viktor,
-> #35, dejanrZdravo,
Dejan kaze:
>Koliko sam video, sa samog izvora :)
No, sve je tako bilo i sa clean-om 80 ili koji vec broj bese a bio je trojanski
konj. Zato sam ja predostrozan. Mozda preterujem ...
Pozdrav.
P.S. Gore sam rekao sa clean-om a trebalo je scan-om. Pisem on-line sorry...
virusi.38bulaja,
-> #37, viktor││Koliko sam video, sa samog izvora :)
│└───
│No, sve je tako bilo i sa scan-om 80 ili koji vec broj bese a bio je
│trojanski konj. Zato sam ja predostrozan. Mozda preterujem ...
└───
Pa koliko sam i ja video, ovaj scanv84.zip je Ok. Kod proslog laznog
SCAN-a bila je lazna poruka na kraju AV check-a kod unzipa ("McAfee...")
ali nije uspela da se kopira sifra ("NWN405"), a nadam se da to jos uvek
kod ZIP-a nije provaljeno. Ja ipak cekam da se na 3KLu pojavi kompletan
novi McAfee paket (SCAN, CLEAN, VSHIELD, NETSCAN, VCOPY) pa cu ih onda
sve zajedno staviti u \ibmpc\virus dir.
virusi.39igor.mil,
-> #37, viktor> No, sve je tako bilo i sa clean-om 80 ili koji vec broj bese a bio je
> trojanski konj. Zato sam ja predostrozan. Mozda preterujem ...
Taj nije uspeo da falsifikuje proveru autenticnosti.
virusi.40viktor,
-> #38, bulajaZdravo,
Hvala na odgovorima, sacekacu i ja da se skupi ceo paket, tj. pokusacu da ga
povucem sa izvora...
I za dalje isto vazi, gde mi tastaturom, bulaja modemom...
Pozdrav.
virusi.41kvelkovski,
-> #36, beast>> A clean?
Jel' ti stvarno treba, ili mozes da sredis sa CLEAN82 ?
Kupe
virusi.42beast,
-> #41, kvelkovski>> Jel' ti stvarno treba, ili mozes da sredis sa CLEAN82 ?
Ma daleko bilo da mi treba,samo kad već šaljete novu verziju...
virusi.43fric,
Hoće li skoro stići zvanični SCANV84 ?
Da li je ko imao iskustva sa tim DIR-2 virusom ?
Virus nam (navodno) vršlja po avliji, a konferencija mirna.
fric
virusi.44m.dzigurski,
-> #43, fric==========================
ibm.utils/new.listings #567, from mfg, 1694 chars, Mon Oct 14 12:32:25 1991
--------------------------
TITLE: Just posted...
clean84.zip 100225 Clean84 (Clean) is the virus removal and repair compani
scanv84.zip 89368 ScanV84 (Virus scan) is a system virus scanner from McA
vshld84.zip 78076 Vshld84 (Virus shield) is a virus infection/prevention
in long format...
------------------------------------------------
clean84.zip 100225 Approx time: 0:13 at 2400 baud, 0:26 at 1200 baud
Contributed by: gthrall Date: Sun Oct 13 14:56:06 1991
Clean84 (Clean) is the virus removal and repair companion of Scanv84.zip,
both by McAfee Associates.
Keywords: $binary MSDOS UTILITY clean clean84 mcafee scan scan84 scanv84
shareware virus
viruses
Home area: security Download count: 0
------------------------------------------------
scanv84.zip 89368 Approx time: 0:12 at 2400 baud, 0:23 at 1200 baud
Contributed by: gthrall Date: Sun Oct 13 14:55:48 1991
ScanV84 (Virus scan) is a system virus scanner from McAfee Associates 10-10-91.
In addition to low memory, Scanv84 will now check high memory using the
command line Scan c: /chkhi
Keywords: $binary MSDOS UTILITY mcafee scan shareware virus viruscan
Home area: security Download count: 0
------------------------------------------------
vshld84.zip 78076 Approx time: 0:10 at 2400 baud, 0:20 at 1200 baud
Contributed by: gthrall Date: Sun Oct 13 14:55:22 1991
Vshld84 (Virus shield) is a virus infection/prevention tsr, part of a
suite of virus utilities by McAfee Associates. While Vshld is a tsr
it may be swapped to disk. This file is from McAfee Associates 10-10-91.
Keywords: $binary MSDOS UTILITY clean84 mcafee scan84 scanv84 shareware swap
tsr virus
Home area: security Download count: 0
Marc
virusi.45bulaja,
-> #44, m.dzigurskiStigli su novi (84) scan, clean, vshield i netscan konacno i na Trickle
(odakle uglavnom nabavljamo datoteke za Sezam). Narucio sam ih, stici ce
ovih dana (nadam se sto pre, mada nesto je slaba veza ovih dana sa
3KL-om). Cim stignu bice stavljeni u direktorijum, necu zato do tada da
prebacujem saom ovaj scan sto ga imamo u conf.
Hvala kvelkovskom sto je poslao scanv84.zip jos pre nego sto su ostali i
znali za novu verziju.
virusi.46m.dzigurski,
-> #45, bulajažinimi se da na BIX-u postoje i soursovi scan84-a, clean84-a ........
Pa ako ovo nokom treba ja ću probati da potražim.
virusi.47kvelkovski,
-> #45, bulaja>> Hvala kvelkovskom sto je poslao scanv84.zip jos pre nego sto su ostali i
>> znali za novu verziju.
You're welcome. A i obozavaju me ovi skopski postari ;-)).
Kupe
virusi.51bulaja,
-> #50, m.dzigurskiDa ne bude zabune, prethodna poruka (11.50) je obrisana iz razloga sto
je identicnu poruku (izvod sa BIX-a o novom virusu) poslao dejanr jos
pre deset dana, to je poruka 11.32. Po meni bi iste poruke trebalo
brisati jer stvaraju zabunu kod korisnika, npr. ponekad zbune i mene,
al' se onda setim da su vec bile pa uletim u SOR ... ;)
Poruka 11.49 je obrisana sto je takodje bila na Sezamu jos 18. maja (e
blago meni kako sam se setio da je cak i ovo bilo pre 5 meseci pa onda
i pronasao gde ;), poruka je bila PC.SOFT/20.207. BTW ova poruka je i
malo zastarela posto se odnosi na SCAN78, a mi smo u medjuvremenu na
Sezamu imali i verzije 80, 82 i 84.
Svejedno hvala na prilogu (koji bi bio vrlo interesantan da vec nije
ranije poslat) m.dzigurskom, nadam se da ce i dalje nastaviti da ih
salje, a ja cu i dalje da cuvam conf od duplih poruka ;).
virusi.52sslavko,
PAZNJA ! ! ! N O V I V I R U S PAZNJA ! ! !
Danas mi se desilo nesto zaista cudno. Naime, na juce sam na jednom
kompjuteru na poslu uradio scan v80 i nije bilo nista. Sutradan me je
komsija alarmirao rekavsi da je njegov kompjuter zarazen!
Odmah sam ponovo uradio scan i dobio poruku da je pronadjen virus
Michaelangelo u particionoj tabeli. Pogledao sam u virlist.txt
v79 (nemam virlist v80) i tamo ga *NIJE* bilo!!!
Inace virus je izuzetno zarazan. Bilo je dovoljno da sa zarazenog
HD otkucam scan a: i disketa na a: disku bi bila inficirana. Inace,
na disketama se uvlacio u BOOT sector. Virus se nije ni jednom
oglasio tako da pojma nemam sta radi, ali je ocigledno da se siri.
Posto nisam imao clean v80 (na poslu nemam modem a od kuce nisam
mogao da ga prenesem jer mi ne radi flopy disk) morao sam da se
snalazim. Problem sam resio na sledeci nacin:
Utvrdio sam da Nortonov disk doktor utvrdjuje pogresan BOOT Record
na disketama i da prilikom ispravljanja greske brise virus iz BOOT
sectora. Na zalost, to se ne moze primeniti na hard disk. Zato sam
napravio BACKUP hard diska, izvrsio ciscenje svih BACKUP disketa
NDD-om, izvrsio Low Level format HD-a (i bilo je vreme. Vec oko dve
godine radi), particioniranje i High Level format, pa RESTORE.
Inace infekcija diskete se vrsi i iz samog NDD-a. Kada NDD
pronadje "Invalid BOOT Record" i ja mu kazem da ispravi gresku on
obrise virus. Medjutim ako mu nalozim da nastavi sa proverom
diskete virus se ponovo uvuce u BOOT. Ovo sam proverio tako sto sam
obrisao virus, zastitio disketu od presnimavanja (nalepnicom) i
uradio scan a:. Nakon toga sam skinuo zastitu, uradio kompletnu
analizu diskete sa NDD i ponovio proceduru sa zastitom i virus je
bio tu!
Dakle, ja sam virus obrisao istog dana kad se i pojavio (verovatno
je prenesen od komsije na nekoj disketi) pa verovatno nije imao
vremena da se oglasi. Ali ipak:
O P R E Z ! ! !
Pozdrav
Slavko.
virusi.53vvelisavljev,
Moj drug je imao interesantnu avanturu sa virusom
Michaelangelo [Mich] Clean-Up . . x . . . . x x x N/A B,O.
(ovaj red je preuzet iz VIRLIST.TXT od SCAN V84)
Instalirao mu se lepo na boot sector hard diska i mnogih disketa. (žovek ne
radi ništa konkretno sa svojim PC pa ne vodi računa ;) ) Ja sam mu dao
CLEANV82. On je lepo uz pomoć CLEANa očistio virus a usput i sredio boot. Tako
da sad mora da formatira hard.
Ovo samo kao upozorenje da neko ne "očisti" svoj hard zajedno sa virusom.
Sad sam tek video, izgleda da mu je sredjena particiona tabela.
Sad je problem kako se otarasiti ove napasti ?
Pošto su mu zaražene i diskete koje CLEAN po njemu "neće da očisti".
Viktor Zr.
virusi.54zormi,
-> #52, sslavko* Inace virus je izuzetno zarazan. Bilo je dovoljno da sa
* zarazenog HD otkucam scan a: i disketa na a: disku bi bila
* inficirana. Inace, na disketama se uvlacio u BOOT sector.
* Virus se nije ni jednom oglasio tako da pojma nemam sta
* radi, ali je ocigledno da se siri.
Virus se prenosi samo preko disketa, a ne preko datoteka.
U računar ulazi pri pokušaju boot-ovanja sa zaražene diskete
(ne mora biti sistemska) i sakrije se u particionu tabelu.
Zatim se upisuje na svaku disketu koja mu dođe pod šapu.
žisti se CLEAN-om, ali ume da uništi particionu tabelu
(prethodno podići računar sa čiste diskete inače se virus
odmah vrati nazad iz memorije).
Šta radi? Dana 6. marta bilo koje godine prebriše sistemski
deo hard diska i napuni ga slučajnim vrednostima pa nikakav
restore posle toga nije moguć.
Inače, virus se pojavio u maju u Holandiji...
virusi.55zormi,
-> #53, vvelisavljev* On je lepo uz pomoć CLEANa očistio virus a usput
* i sredio boot. Tako da sad mora da formatira hard.
Ne mora da se formatira. Može da se restaurira pomoću
Norton Disk Edit-a, ali moraš da znaš šta radiš...
Inače, moja firma (neću reći koja ;)) će uskoro ponu-
diti usluge tipa spašavanje diska i čišćenje virusa...
virusi.56dzakic,
-> #53, vvelisavljev>> Michaelangelo [Mich] Clean-Up . . x . . . . x x
Imao sam Mikelanđela na hardu prošlog meseca. Zarazio sam se
tako što sam zaboravio disketu u drajvu prilikom butovanja -
tom prilikom se računar zablokirao ali je virus prešao na boot
hard diska. Nakon toga, svaka operacija sa drajvom upisivala je
u boot diskete kod virusa a originalni boot je prepisivan u
poslednji sektor root-a. Formatiranje diskete izvodi se korektno
ali prvi dir a: je upropasti. Ako je disketa zaštićena od
pisanja, sve funkcioniše ok. Diskete se mogu ozdraviti tako što
se bootuje sistem sa zdrave sistemske diskete i diskedit-om na
primer prebaci originalni boot na svoje mesto.
Oratasio sam ga se tako što sam uradio backup, formatirao hard i
vratio sve nazad. Da sam imao u datoteci sačuvanu particionu
tabelu i boot verovatno bi prošlo i bez toga (ali ne, to se
nikad ne dešava meni ;) U dokumentaciji scan-a piše da
Mikelanđelo virus na dan rođenja Mikelanđela (11. mart čini mi
se) formatira hard disk. To zaista i radi, provereno ;).
Interesantno je da virus ne bih ni primetio da nisam imao neke
diskete formatirane na 1.4Mb pomoću 800. Hyper disk nije uspevao
da prepozna kada zamenim takvu disketu, dok je sa "normalnim"
bilo sve u redu.
Pamet u glavu, i čuvajte kopije vitalnih delova vašeg harda.
zak
virusi.57dejanr,
Ima li neko vremena i para da download-uje ovo sa BIX-a? Moglo bi da
bude zanimljivo:
vsumx110.zip 398580 Approx time: 0:51 at 2400 baud, 1:43 at 1200 baud
Contributed by: gthrall Date: Mon Oct 28 13:11:34 1991
VSUMX110.ZIP is a massive resource document on computer viruses prepared
by McAfee Associates employee Patricia Hoffman. This file is written in
hypertext and is 398580 bytes. The file dates from 10-22-91 and was
downloaded from the McAfee BBS on 10-27-91 with the security envelope
intact.
virusi.58ppekovic,
-> #57, dejanr>> Ima li neko vremena i para da download-uje ovo sa BIX-a? Moglo bi da
>> bude zanimljivo:
>>
>> vsumx110.zip 398580 Approx time: 0:51 at 2400 baud, 1:43 at 1200 baud
Pošto je cps rate sa BIX-om 50 cps znači prenos bi trajao oko 2
sata i 12-13 minuta, uhuh! ;)
Paya
virusi.59zormi,
-> #57, dejanr* Ima li neko vremena i para da download-uje ovo sa BIX-a?
* Moglo bi da bude zanimljivo:
Ja sam bio dovoljno lud i skinuo to čudo. Mogao bih da
skupim vremena (i živaca) pa da pošaljem na SEZAM.
virusi.60bulaja,
-> #59, zormi│Ja sam bio dovoljno lud i skinuo to cudo. Mogao bih da
│skupim vremena (i zivaca) pa da posaljem na SEZAM.
└───
Ako se budes resio da saljes to na Sezam, baci ga meni na mail
a ja cu ga prebaciti pravo u \ibmpc\virus direktorijum.
virusi.61dejanr,
Pre nego što se uplašite, ovo ne važi za SCAN na Sezamu. A sada
čitajte dalje :)
MEMO: Possible Virus in SCANV84
I was alerted of this file floating around and wanted to let
as many know about it as possible. Please copy it and pass it along.
Just a warning. There is a zip file floating around as SCANV84.ZIP
that has had its -av code cracked. The only way to tell is there is
a file named TEST.COM within the zip package.
This is not an authorized file. It contains a TROJAN and will wreck
hard disk. The rest of the zip is authentic, only this one file is
bad. McAfee knows about it.
Apparently someone cracked their -av code and the zip appears to be
legitimate but it is not. As it is a trojan and not a virus, scan
itself will not pick it up.
Supposedly it is spreading around the country.
Luckily I didn't bother about test.com as I just extracted scan.exe
file and that is legitimate.
Let others know about this problem if you get a chance.
The file on The Boutique DOES NOT HAVE this TEST.COM file.
As far as I can tell, the file is ok and safe to download.
Please pass this message to other boards so the trojan file won't
get passed around.
virusi.62dejanr,
Od nedavno postoji i ovo:
wscan84b.zip 123849 Approx time: 0:16 at 2400 baud, 0:32 at 1200 baud
Contributed by: gthrall Date: Mon Oct 28 18:33:42 1991
WSCAN84B.ZIP is the Windows 3 version of Scanv84 by McAfee Associates. Windows
Scan was compiled by McAfee on 10-11-91 and downloaded directly from the McAfee
Associates BBS with an intact security envelope. Now the user can scan for
viruses directly from a Windows environment without shelling to DOS.
virusi.63bulaja,
-> #62, dejanr│Od nedavno postoji i ovo:
│
│wscan84b.zip 123849 Approx time: 0:16 at 2400 baud, 0:32 at 1200 baud
│Contributed by: gthrall Date: Mon Oct 28 18:33:42 1991
└───
He he, aj' da se pohvalimo malo. Pogledaj ovo:
Í───
║R:\IBMPC\VIRUS\*.*
║----------------------
║wscan84b zip 123904 Scan za Windows
║ 20.10.1991 28
Ë───
Dakle WSCAN je na Sezamu je jos od izuzetno znacajnog datuma ;) 19.
oktobra (20.10. je postavljen kao file date zbog dir /n), tj. 9 (i
slovima devet) dana pre BIX-a ;). Napomena: razlika u duzini izmedju
datoteke na BIX-u i ovde je, jer sam je dovlacio preko VAX-a koji
duzinu zaokruzi na blokove tj. na sledeci 512. bajt, ostatak popuni sa
<CR>-ovima.
Inace WSCAN je uglavnom sarena laza - pod Windowsima radi tako sto kad
se instalira, sam sebi otvori DOS aplication prozor i potera obican
SCAN. A ja sam ocekivao menije, zezalice, lampice i sl. Nista od
toga (za sada).
virusi.64ndragan,
-> #63, bulaja* SCAN. A ja sam ocekivao menije, zezalice, lampice i sl. Nista od
* toga (za sada).
zaboravio si go-go gerle, šampanjac i vatromet
virusi.65petrovic,
Xej ljudi pojavila se nova verzija SCAN-a SCANV85.Bio
sam dovoljno lud da DL sa Mcafee BBs-a (cps=45) i mora
da vam kazem da ubija 80-ak virusa vise.......
Pozdrav zp.
virusi.66bulaja,
-> #65, petrovic│Xej ljudi pojavila se nova verzija SCAN-a SCANV85.Bio
│sam dovoljno lud da DL sa Mcafee BBs-a (cps=45) i mora
│da vam kazem da ubija 80-ak virusa vise.......
└───
Meni je stigla verzija SCANV85 pre jedno nedelju dana (poslao ju je
milanm), ali posto je arhiva bila bez -AV checka, nisam je stavio na
Sezam (nisam se cak usudio ni da je pustim da radi na svom racunaru).
Kada sam u dokumentaciji video hrpu novih virusa, pomislio sam da je u
pitanju sala (ili mnogo gore - trojanac). Ali posto si ga pokupio sa
McAfee BBS-a pretpostavljam da je pravi Scan (i da ima -AV) pa te
molim (naravno, ako ti nije tesko) da ga posaljes meni na mail, a ja
cu ga odma prebaciti u \ibmpc\virus direktorijum.
Pozdrav,
Bulaja
virusi.67dejanr,
==========
security/alert #160, from hshubs, 4824 chars, Wed Dec 18 22:26:13 1991
----------
**COPIED FROM: ==========
desktop.pub/other #2326, from alexw, 4700 chars, Tue Dec 17 19:51:28 1991
Comment(s).
----------
TITLE: VIRUS WARNING -- POSTSCRIPT USERS!!!!!
===========================================================================
BBS: The Bytes 'n Bits BBS, Bayonne, NJ
Date: 12-05-91 (09:52) Number: 219
From: BRIAN GAY Refer#: NONE
To: ALL Recvd: NO
Subj: Postscript "Virus" Conf: (6) DeskTop
---------------------------------------------------------------------------
I found this text file on a BBS and am passing it on here. This should
be of interest to anyone who uses postscript printers.
I used Norton's SuperFind to check all of my ATM PFM files for the
string "Setpassword". I found nothing. In reading this message, a
shareware ATM font sounds like in may be the culprit. This file pesents
some ways to protect your printer from this.
If anyone finds this errant font or graphic, please post it's name here
so that it can be erradicated.
-Brian
________________________________________________________________________
Copied by Ric Vander Ark, LORIC Computing and Electronic Services (206)
883-9058
Subject: Postcript Virus warning 1681.ATT
This was recently sent to me and should be distributed. What this means
is that your postscript printer could get its password
set, and you will not be able to use it. This virus may be in a ATM
compatible fonts(s), or any other file which may get
downloaded to the printer. Take heed....
From: Ron Netherland, (PostScript Field Support)
During the past several weeks, in numerous locations across the US,
PostScript interpreter passwords have been reset by a
PostScript virus. Once this occurs, the RIP or printer no longer
responds to exitserver calls. There is no effective remedy - the
EEPROM must be replaced. Depending on the physical location of the
EEPROM, this may necessitate replacement of the
EEPROM chip or replacement of the entire board. Of course the printer
is out of service pending the repair.
The origin of the virus is unknown at this point. It appears, because
of the wide area of incident, that the virus is being
distributed is some nationwide manner. It may be a font, a graphic, or
anything that serves to hide the following simple code:
serverdict begin 0 exitserver
statusdict begin 0 n setpassword
...where n is an integer or, in the case of at least some PostScript
implementations, a real number, a string, and possibly other
PostScript language objects.
Except for a print job that fails to generate a page, there is probably
no hint that the password has been changed until the next
exitserver job. In the Macintosh environment this can very well be the
following day when Laser Prep or Aldus Prep fails to
download. By this time, the origin file has probably left the scene.
The following file, appropriately called Password Alert!, should be used
every time the printer is powered on or reset. The file
will protect the PostScript interpreter from the password virus. If your
transcription doesn't run, it probably contains a subtle
typo. In this event, re-transcribe it and try again.
Password Alert!
serverdict begin 0 exitserver
statusdict /setpassword
{userdict begin /evilpassword exch def pop
(! ! PASSWORD ALERT - NOTIFY OWNER ! !) = flush
/Helvetica findfont 24 scalefont setfont
20 50 720 {70 exch moveto
(! ! PASSWORD ALERT - NOTIFY OWNER ! !)
show} for
showpage stop
} put
Password Alert! is designed to do three things:
1. It protects your printer or RIP by redefining the setpassword
operator. The redefinition remains in effect from the time you
download Password Alert! until the time you reset or reboot your printer
or RIP.
2. If a print job tries to reset your password, Password Alert!
crashes the job, sends a PostScript message to the printing
application, and notifies the user via an alert page.
3. Password Alert! captures the "evil" password and stores it
harmlessly in userdict so you can reveal it.
If an alert page shows up in your environment, you should apprehend the
file being printed, complete with associated graphics
and fonts (likely candidates for the virus code). You should also
immediately use the Print Evilpassword utility to obtain a
printout of the evil password. Associated with Password Alert! are three
utility PostScript files:
1. Test -- attempts to change the password from 0 to 1 to confirm that
Password Alert! is installed. Download this file after
downloading Password Alert! - you'll see the alert page print. If this
doesn't happen, Password Alert! hasn't downloaded
successfully (or has been transcribed incorrectly). You will probably
see the standard %%[exitserver... message. If so, Test
virusi.68feniks,
Upozorenje korisnicima Tanjug BBS-a !!!!!!!!!!
U datoteci SEKS.ZIP (koja je kopirana dosad 11 puta)
nalazi se poznati 1813 tj. Vienna/Violator Virus [Vienna]
Naravno, koristite clean84 i bice sve OK.
Í─Ě Í─Ě
║ ║ ║
Ë─Ż đ đ
virusi.69darone,
-> #68, feniks>> U datoteci SEKS.ZIP (koja je kopirana dosad 11
>> puta)
Aha, skidaš seksi stvari ;>
darone
virusi.70ilazarevic,
-> #68, feniks█ U datoteci SEKS.ZIP (koja je kopirana dosad 11 puta)
U kom parčetu liste fajlova je taj sex?! ;)))
virusi.71mgajic,
-> #43, fric> Da li je ko imao iskustva sa tim DIR-2 virusom ?
>
> Virus nam (navodno) vrslja po avliji, a konferencija mirna.
>
> fric
-----------------------------------------------------------------
Ovo sam procitao na DURLAN BBSu (018/713-836, NON-STOP). Mozda ce
nekog interesovati.
Pozdrav,
Gaja.
------------------------------------------------------------------------------
PAZNJA !!!!
DIR-2/FAT je stigao u Srbiju, tacnije u Nis. Virus je vrlo "navalentan", zara-
zi sve *.EXE i *.COM fajlove na hard disku. Kako ? Vrlo lukavo. Kada se "useli"
u racunar pregleda podatke u FAT tabeli i na osnovu njih zarazi navedene fa-
jlove. Odatle, verovatno, i ono FAT u nazivu virusa mada ga tamo nema. Posle
"osvajanja" fajlova "seli" se u memoriju i nadgleda trecu FAT tabelu, onu u
RAM-u. Pretpostavimo sada da sa diskete kopirate na hard disk neke *.COM ili
*.EXE fajlove. Virus ih zarazi, posto nadgleda FAT, i bez njihovog startova-
nja. Vrlo lukavo. Kada pokrenete SCAN on ce ga "pronaci" u memoriji i posave-
tovati Vas da ODMAH ugasite racunar, podignete ga sa ciste sistemske diskete
i pokrenete CLEAN. Ako to uradite cekaju Vas "muke Tantalove". CLEAN ce "ici"
od fajla do fajla, izvestavati Vas da je zarazen i pitati Vas za dozvolu da
ih ukloni sa diska. To ce trajati do poslednjeg *.EXE ili *.COM fajla. Tesko
Vama ako nemate kopije zarazenih fajlova. Da bi ubrzali posao ugasite racunar,
podignite ga sa ciste, zasticene diskete i predjite na hard disk. Uklonite
prvo COMMAND.COM a zatim redom sve *.EXE i *.COM fajlove. Dobro bi Vam dosao
neki program koji bi to radio umesto Vas jer uklanjanje fajlova zna da potra-
je. Ponovo ugasite racunar, podignite ga sa ciste sistemske diskete i preko-
pirajte COMMAND.COM na hard disk (naravno i ostale obrisane fajlove - ako ih
imate).
Jedna anomalija SCAN-a: ako ga pokrenete sa, recimo: SCAN C:\ /NOMEM
NECE PRONACI VIRUS U FAJLOVIMA i ako ga je predhodno pronasao u memoriji !!!
To je, verovatno zbog toga sto SCAN svoje signature virusa u sebi "cuva" u
kondezovanom formatu pa ih po pozivu programa "razvija" negde u memoriji.
DIR-2/FAT je u memoriji negde izmedju 576 i 640-og Kb. CLEAN ce ga PRONACI
ako navedete: CLEAN C:\ [D2] !!! Na disketi i hard disku , ako virus nije u
memoriji, SCAN normalno pronalazi virus.
I jedna anomalija samog virusa. Izgleda, ne mozemo jos sa sigurnoscu reci,
virus ne prepoznaje subdirektorijume iznad trece dubine (uf, kako ovo zvuci -
ali kako drugacije reci ?). Znaci ako imate recimo: C:\RAD\RAD1\RAD2\RAD3\RAD4
\RAD5 virus, velika je verovatnoca, nece "pronaci" *.EXE i *.COM fajlove u
subdirektorijumima RAD4 i RAD5 osim ako ih ne pokrenete. Do sada se nije desilo
da, na nasem hard disku, virus zarazi fajlove u navedenom primeru. Ali . . . .
DIR-2/FAT ne produzuje inficirane fajlove !!!. Telo virusa je u onim pra-
zninama koje kompajleri (linkeri) i asembleri ostavljaju za svoje ili potrebe
dibagera i ostalih programa. Najverovatnije je da je i on kondezovan (AXE ???)
pa se seljenjem u memoriju razvija do svoje pune duzine. "Stisnut" u fajlovima
"putuje" od racunara do racunara, u memoriji se razvija i "osvaja" SVE *.EXE i
*.COM fajlove jer se time u putevi njegovog sirenja produzavaju.
To je ono sto smo mi do sada uspeli da saznamo o ovom, do sada, najlukavije
napisanom virusu. Najlepse Vas molimo da, ako imate nesto da ovome dodate ili
ispravite, nam javite. Unapred hvala.
virusi.72dejanr,
-> #71, mgajicPre svega, hvala na detaljnom opisu.
Međutim, mislim da niste sasvim u pravu što se tiče opisa rada ovog
virusa, naročito ono o "uvlačenju u "šupljine" u programima. Dosta
precizniji opis sličnog (ili istog) virusa je u poruci 12.32.
virusi.73hercog,
Da li je nekom poznato kako se zove virus koji na ekranu ispise
Ha , ha guess what you have!
i jos neke stvarcice koje nisam stigao da procitam
(to sam video kod ortaka)
pozdrav Hercog
virusi.74mgajic,
-> #72, dejanr| Pre svega, hvala na detaljnom opisu.
|
| Medutim, mislim da niste sasvim u pravu sto se tice opisa rada ovog
| virusa, narocito ono o "uvlacenju u "supljine" u programima. Dosta
| precizniji opis slicnog (ili istog) virusa je u poruci 12.32.
-------------------------------------------------------------------
Ja sam tekst samo preneo sa njihovog bulletina. A sto se tice "uvlacenja"
- licno sam video fajl pre zaraze DIR-2/FAT (bar ga tako McAfee zove) i posle
zaraze. I to klasican program pravljen u Turbo C-u. Ne moze se prepoznati !!!
Zauzete su i one "supljine". I jos nesto, kada se zarazeni fajl pokusa COPY
naredbom prebaciti sa hard diska na disketu ili obrnuto na cilj stigne samo i
uvek 1024 byte-a fajla bez obzira ne njegovu predhodnu duzinu (pre zaraze).
Ako se isti fajl prenosi PC TOOLSom sve je OK !!!. Jos nisam stigao da vidim
sta je u onih 1024 byte-a. Inace, SCAN trazi DIR-2/FAT virus po signaturi:
BD21068DA701097E97C45C216C589954 (prepisano iz memorije). Da li je ovo signa-
tura za pretragu memorije - jos nisam siguran ali za fajlove nije sigurno
jer sam je dodavao u HTSCAN i nije ga nasao u zarazenim fajlovima.
Eto ja toliko o ovom virusu. Ako saznam jos nesto zanimljivo
javicu. OK ?
Pozdrav,
Gaja.
virusi.75mgajic,
-> #73, hercog| Da li je nekom poznato kako se zove virus koji na ekranu ispise
|
| Ha , ha guess what you have!
|
| i jos neke stvarcice koje nisam stigao da procitam
| (to sam video kod ortaka)
|
| pozdrav Hercog
--------------------------------------------------------------------------
"Hey, you !!!
Something's happening to you !
Quess what is it ?!
HA HA HA HA ..."
Ako je to ta poruka ..... onda je to:
"
Virus928
────────────────────
Njegova licna karta izgledala bi od prilike ovako:
IME: Ne znamo, ali po dobrom starom obicaju da se LINK virusi nazivaju po
svojoj duzini nazivamo ga Virus928 (kako prozaicno).
NADIMCI: Nepoznati.
MJESTO RODJENJA: Nepoznato.
DATUM RODJENJA: Nepoznato.
AUTOR: Nepoznat.
IZOLIRAN: DURLAN BBS i MICROART BBS.
Odakle je stigao u Jugoslaviju nije nam poznato.
Ali, da Vas ne zamaramo stvarima koje ne znamo i kazemo ono
sto znamo o tom virusu.
Ovaj je virus dug, bolje reci kratak samo 928 byte-ova i pri-
licno je jednostavan. Izgleda da se njegov tvorac nije puno namucio da ga napi-
se. Ovo je LINK virus, odnosno virus izvrsnog koda koji ce nakon sto se insta-
lira u memoriji zaraziti svaki izvrsni program koji pokrecemo. Pre same infe-
kcije preusmerice INT 24h tako da, ako pokusa da zarazi program na write-
protected disketi, DOS nece ispisati nikakvu poruku !!?
INFICIRANJE FILE-ova
Virus928 inficira .COM i .EXE programe, kao i Overlay-e.
Cini to sasvim standardno: svoje telo zakaci za kraj zrtve poravnavsi se pri
tom na granicu paragrafa, stiti "paragraph boundary" (1 paragraph = 16 byte-
ova).
Ako je to zrtva tipa .COM tada na pocetak zrtve stavlja je-
dan skok na pocetak svog virusnog koda, a tri originalna byte-a, koliko zauzima
JMP instrukcija sacuva u svom telu.
Kod .EXE programa i Overlay-a menja odredjene vrednosti
u header-u zrtve: duzinu programa, kao i vrednosti registara CS i IP. Naravno,
i ovde valja sacuvati originalne vrednosti za kasnije kako bi se program-zr-
tva mogao izvrsiti.
* * * * *
Samo dve provere su ugradjene u Virus928 (mrzim one koji umesto imena imaju
broj), a to su:
1. Da li sam vec zarazio ovaj file ?
2. Da li sam vec instaliran u memoriji ?
Da se ne bi dogodilo da se jedan te isti file zarazi 517 pu-
ta i tako bez potrebe trosi prostor na disku sto pre ili kasnije, vodi do
toga da Vas vas ljubljeni operativni sistem upozori na to kako je disk "full",
ili tako nesto, sto, opet, vodi do toga de se upitate: "Kad sam ja potrosio
sve te silne kilobajte ?", pa da posle kraceg razmisljanja zakljucite: "Nisam
ja nego virus. Daj mi AntiVirus da mu dodjem glave !!!". Dakle, da se sve to
ne bi dogodilo, virus ce, pre nego sto zarazi neki program, ucitati deo tog
programa (n byteva) i uporediti ga sa svojim kodom. Ako se sve slaze, znaci da
je program vec zarazen i da za njega tu nema posla.
Pre nego sto se instalira u memoriju, virus ce proveriti
da slucajno vec nije tamo pozivom interrupta 21h sa AX=0BBBBh. Ukoliko je vec
instaliran, njegov ce mu bratic u AX registru vratiti vrednost 6969h, a uko-
liko nije, DOS ce mu vratiti gresku i tako ce virus "znati" sta mu je ciniti.
Da nema te provere, dogodila bi se slicna stvar kao sa diskom. Nakon par sta-
rtovanih programa, pri pokusaju startovanja sledeceg, bili bi ste obavesteni
da u radnoj memoriji nema vise mesta. Zakljucak sledi: "Ili su mi riknuli RAM
cipovi, ili me napao virus !!"
INSTALIRANJE U MEMORIJU
Virus928 se u memoriju instalira na njenom vrhu, isto kao
i DOODLE YANKEE virus preuzimajuci samo interrupt 21h (skroman neki virus). I
tako on cuci na vrhu memorije, inficira file-ove koji mu dodju pod ruku i ceka
svojih "5 minuta".
NJEGOVIH 5 MINUTA
A njegovih "5 minuta" nastupa kada je njegov datum visi od
25. februara 1991. Tada pri inficiranju file-a, programe koji mu se posebno
svide onesposobi tako da vise ne mogu normalno funkcionisati. Pri svakom sle-
decem startovanju onesposobljeni programi nece uciniti ono sto se od njih oce-
kuje. Na ekranu ce ispisati poruku:
"Hey, you !!!
Something's happening to you !
Quess what is it ?!
HA HA HA HA ..."
i prekinuti izvrsavanje.
Tu mozemo uociti svu nemastovitost i mentalnu zaostalost
tvorca virusa kojem je, od svih duhovitih stvari na ovome svijetu, na pamet pa-
lo jedino:
"Hej, ti !!!
Nesto ti se dogodilo !"
Vrlo smesno ! U poredjenju s porukama koje ispisuju drugi
virusi, na primer virus Joker koji ce Vas ljubazno zamoliti da umetnete ha-
mburger u disk drajv jer je on gladan, ili da svom ljubljenom sistemcicu poza-
jmite svoju glavu jer je njegova krahirala, dakle (sto ja volim tu rijec) u
poredjenju s njim Virus928 je daleko od originalnost i duhovitosti.
"
I ovo sam preuzeo sa DURLAN BBS-a. Postoji i verzija ovog virusa - RHAPSODY
Virus. Potpuno je identican sa svojim starijim bratom osim sto mu je "okidac"
nastelovan na 17.01.1992 (zasto bas tada ???) i poruka je zamenjena:
RHAPSODY Virus v.0.01
(C) 1991 TeraWare Inc.
* * * Heppy New 1992. Year * * *
Never again together ...
(ne asocira li ovo na nekog ili neke . . . . Mene asocira i to mnogo).
I umalo da zaboravim: Virus928 je McAfee preimenovao u 923 Virus [923] a neza-
visni Slovenci u 936 Virus (??!!??).
virusi.76hercog,
-> #75, mgajic
Zahvaljujem na veoma iscrpnom odgovoru.
pozdrav Hercog
P.S. to je taj virus
virusi.77mjova,
Date: Fri, 20 Dec 1991 22:22:31 EST
From: karyn@cheetah.llnl.gov (Karyn Pichnarczyk)
Subject: Novell Inadvertantly distributes virus with update
The following is an excerpt from CIAC bulletin C-11. The infected
distribution occurred ONLY on 5 1/4 inch diskettes.
Karyn Pichnarczyk
---------------------
CIAC has learned that Novell, Inc. has inadvertently sent diskettes
infected with the Stoned-3 virus to Novell Netware customers. These
diskettes are labelled "Network Support Encyclopedia - Standard Volume
Update." The Novell part number for these disks is 883-001495-004.
Infected diskettes were distributed from December 9 - 16, 1991.
The Stoned-3 virus is a minor variation of the Stoned virus. This
virus infects the boot sector of a hard disk or diskette and will
sometimes display the message:
"Your PC is now Stoned!.....LEGALISE MARIJUANA!"
This virus becomes memory resident and will infect any other disks
accessed by the PC while the virus is memory resident. For additional
information, please see CIAC bulletins A-28 for more information on
the Stoned virus family, and B-16 for a summary of known viruses.
If you discover that the Stoned virus has infected your PC, it may be
removed using the VIRHUNT package. CIAC also recommends that you
follow a policy of scanning all new software before using or
installing it on your PC. This policy should be followed for all
vendor-supplied shrink-wrapped software as well as bulletin board or
shareware software, since a few other vendors have inadvertently
distributed viruses with packaged software in the past. CIAC
recommends that if you are from a DOE site and are not already using
an effective anti-viral scanner, you should contact your site's
computer security department to obtain one. In addition, since new
viruses are constantly being discovered, we recommend that you ensure
that your anti-viral scanner has been updated to the most recent
version.
For additional information or assistance, please contact CIAC:
Karen Pichnarczyk Tom Longstaff
(510)422-1779** or (FTS) 532-1779 (510)423-4416** or (FTS) 543-4416
karyn@cheetah.llnl.gov longstaf@llnl.gov
(FAX) (510) 423-8002** or (FTS) 543-8002
Send e-mail to ciac@llnl.gov or call CIAC at (510) 422-8193**/(FTS)532-8193.
**Note area code has changed from 415, although the 415 area code will
work until Jan. 1992.
PLEASE NOTE: Many users outside of the DOE and ESnet computing
communities receive CIAC bulletins. If you are not part of these
communities, please contact your agency's response team to report
incidents. Some of the other teams include the NASA NSI response team,
DARPA's CERT/CC, NAVCIRT, and the Air Force response team. Your
agency's team will coordinate with CIAC.
Neither the United States Government nor the University of California
nor any of their employees, makes any warranty, expressed or implied,
or assumes any legal liability or responsibility for the accuracy,
completeness, or usefulness of any information, product, or process
disclosed, or represents that its use would not infringe privately
owned rights. Reference herein to any specific commercial products,
process, or service by trade name, trademark manufacturer, or
otherwise, does not necessarily constitute or imply its endorsement,
recommendation, or favoring by the United States Government or the
University of California. The views and opinions of authors expressed
herein do not necessarily state or reflect those of the United States
Government nor the University of California, and shall not be used for
advertising or product endorsement purposes.
virusi.78cdragan,
-> #77, mjova> sometimes display the message:
>
> "Your PC is now Stoned!.....LEGALISE MARIJUANA!"
> ----------
Toooooo ! Oću reći to je pravi virus za darone-a ;)))
pozdrav, _dragan_
virusi.79darone,
-> #77, mjova>> "Your PC is now Stoned!.....LEGALISE MARIJUANA!"
:)))))))))))))))))))))))))))))
Ali zar ne bi trebalo "Your PC is now Stoned!....
Isporučen je sa marihuanom!"
darone
virusi.80bulaja,
Eno ga u \ibmpc\virus konacno Scan 85 (a bice i clean, vshield i netscn
cim mi stignu sa 3kl-a). Ova verzija otkriva i cak 76 novih virusa, a od
novih opcija uvedena je npr. vrlo znacajna ;) za ispisivanje poruka na
spanskom.
SCAN 8.1V85 Copyright 1989-91 by McAfee Associates. (408) 988-3832
Rastreando en memoria unicamente virus críticos.
Rastreando por todos los virus conocidos.
Hasta la vista ;).
virusi.81mgajic,
-> #77, mjova Ej, polako. Pa to i bas nije tako novi virus. Ajde sto ga "dele" sa ori-
ginalnim softverom. To je svojevremeno radila i jedna poznata svapska firma:
racunar + DOS + virus (1813 Ver. B). A sto se tice Stoneda ima ga poodavno
i kod nas. Uklanjaju ga (uspesno) skoro svi programi: Clean, SWSafe i ovaj
domaci PIPSS. Zasto sam ovo "uspesno" sam stavio u zagrade bice ti jasno ako
procitas tekst koji sledi ....
"IME VIRUSA : Stoned
ALIAS : Hawaii, Marijuana, New Zealand, San Diego, Smithsonian, Stoned 3
KARAKTERISTIKE : Stoned virus je otkriven pocetkom 1988. u Wellingtonu na Novom
Zelandu. Originalni virus inficira samo 5.25" diskete s 360Kb memorije. Kada
se dize sistem sa zarazene diskete, virus se instalira u memoriji i inficira
svaku disketu s kojom se radi. Virus je dovoljno kratak da stane citav u BOOT
sektor. Originalni BOOT zapis premesta:
- u slucaju diskete, u zadnji sektor ROOT
direktorija;
- u slucaju da je mutirao tako da moze zaraziti hard
disk, u sektor 0,0,7.
Ako ste vlasnik hard diska na kojem prva particija pocinje od sektora 0,0,2
Stoned ce vam prirediti pravo veselje ako zarazi vas disk. Originalni Master
BOOT zapis upisat ce u sektor 0,0,7, bas preko petog sektora vase ljubljene FAT
tabele. Reci cete: "Nema problema, pa imam ja kopiju FAT-a. Vratim originalni
Master BOOT gdje mu je mjesto, prekopiram peti sektor iz kopije FAT-a u origi-
nal i sve je O.K." To ce upaliti samo ako nakon inficiranja sa Stoned-om na di-
sk nije nista pisano na bilo koji nacin. Ako je pak na zarazeni disk bilo kako
nesto pisano, nema teorije da se izvucete, jer kad DOS upisuje nesto na disk,
on potrazi oznaku za prvi slobodni klaster (0),a nju ce pronaci upravo u petom
sektoru gdje se sad nalazi Master BOOT Record. Tu ce upisati sto je nameravao
i mozete se pozdraviti s podacima na disku.
Nakon instaliranja u memoriji, kad mu "sune", virus ispisuje na ekranu poru-
ku:
"Your PC is now Stoned!
LEGALISE MARIJUANA! "
Sta mislite, ako bi marihuana bila legalizovana, bi li ljudi prestali pisati
viruse ?"
Dakle, OPREZNO sa njim inace ode sve u . . . . .
P.S. I ovo sa preneo sa DURLAN BBS-a.
virusi.82ndragan,
-> #81, mgajic/ Sta mislite, ako bi marihuana bila legalizovana, bi li ljudi prestali
/ pisati viruse ?"
Jedan od naših korisnika je zakačio tog Kamenka pre jedno godinu dana. Doneo
sam makinu kući, izbekapirao sve što valja i ošmirglao disk (lele format). A
onda mi je trebalo još tri dana da sredim aplikaciju, jer autor nije bio tu,
neki moduli su bili u zipu ali sa zastarelim verzijama (neko je čačkao
sistemski datum :) )... seks je trajao četiri dana. Makina je vraćena odmah
sutradan, ali tek tog četvrtog dana je sve proradilo kao pre (i bolje).
Naravoučenije: in case of frx, make a new zip.
Bue_ NDragan
virusi.83isekulovic,
Ýy Help me!
Zakacih Michelangelo virus. Zarazio mi se hard i sve diskete:(.
Sa harda ga ocas posla ukolinih sa clean85 ali na disketama nece da
ga sredi. Evo sta se desava scan ga pronadje u boot sectoru. Ja pustim
clean a: [Mich] /a i on ga pronadje napise da ga je uklonio ali kad
ponovo pustim scan opet ga nadje. Ne pomaze ni formatiranje disketa.
Pomagajte ljudi ako boga znate na njima mi je ceo backup i jos dosta
stvari koje nemam na hardu.
ivan
ps Zaboravih da kazem gde sam ga pokupio. U pitanju je bio EQUINIXE BBS
i datoteka ********BLAST.EXE*********OPREZ!!!!!!!!
virusi.84isekulovic,
-> #83, isekulovic
Skinuh ja stare poruke iz ove teme i pronadjoh tamo i raspravu o
[Mich]-u. Koristeci se iskustvima drugih ja ga uklonih iz boot sectora
disketa sa NDD-om.
>> Ne pomaze ni formatiranje disketa.
Ne znam sta je ovo bilo. Prvi put kad sam formatirao disketu virus
se zadrzao ali drugi put kad sam je formatirao nestao je.
>>Zaboravih da kazem gde sam ga pokupio. U pitanju je bio EQUINIXE BBS
>>i datoteka ********BLAST.EXE*********OPREZ!!!!!!!!
Procitao sam u prethodnim porukama da se [Mich] prenosi samo preko
disketa a ne preko datoteka, ali ja sam skoro siguran da sam ga pokupio
sa ovom datotekom.
Ivan
virusi.85zormi,
-> #83, isekulovic* clean a: ŠMichĆ /a i on ga pronadje napise da ga je
* uklonio ali kad ponovo pustim scan opet ga nadje. Ne
* pomaze ni formatiranje disketa.
Da li si podigao računar sa čiste diskete (nikako
sa harda)? Pitam pošto virus ostane u memoriji i ponovo
se upiše nazad na disk...
* Pomagajte ljudi ako boga znate na njima mi je ceo backup i
* jos dosta stvari koje nemam na hardu.
Miran si do 6.marta, a onda će da ti uništi disk.
virusi.86isekulovic,
-> #85, zormi> Da li si podigao racunar sa ciste diskete (nikako
>sa harda)? Pitam posto virus ostane u memoriji i ponovo
>se upise nazad na disk...
Frka mi je bila u tome sto nisam imao cistu disketu jer sam
samo pre nekoliko dana radio norton disk test svih (naglasak
na svih) disketa. Izgleda da su tada sve zarazene. Kud cu sta
cu, mrzelo me da idem kod brata na konjarnik po cistu disketu,
ja ga podigoh sa harda. Odoh do cleana85 raspakujem ga (jos je
bio u arhivi) dam mu clean c: [Mich] /a on ga nadje u partition
table ukloni ga i u jos jednom fileu i ukloni ga. Posle sam probao
isto sa disketama ali ne uspeh. Ali zato ga je na disketama sredio
NDD. Sad me ti uplasih. Da li postoji jos opasnost? Teram scan
svakih 10 minuta :) ali na svu srecu nista ne nalazi.
Ivan
virusi.87adiklic,
-> #83, isekulovicI ja sam bio zaradio Mikelanđela.
Prilikom skeniranja diskete koju sam tada prvi put stavio u svoj kompjuter
(poreklom negde iz Valjeva) otkrio sam virus. Clean 84 ga je uspešno skinuo tek
iz drugog puta uzastopce.Ponovnim skeniranjem čitavog sistema nadjen je u
particionoj tabeli diska c isti virus.I njega je clean uspešno otklonio.
Ovaj virus napada boot, particionu tabelu ... ali ne i fajlove, pa ga je moguće
valjda skinuti i sa nezaštićenim sistemom.Nadam se da dalje neću imati problema
sa njim.
Šta se događa posle šestog marta?
virusi.88sslavko,
-> #83, isekulovic>> Ja pustim clean a: [Mich] /a i on ga pronadje
>> napise da ga je uklonio ali kad ponovo pustim scan opet
>> ga nadje. Ne pomaze ni formatiranje disketa.
Vidi u jednoj od starijih poruka (ne tako davnih, mozda pre mesec-dva)
sam opisao postupak kako sam ja ocistio Micha. Meni je bio problem
ocistiti ga sa harda jer nisam imao Clean. Sa disketa sam ga cistio
NDD-om. Ako ne mozes da ga ocistis to znaci da se on stalno upisuje
tamo. Sad se postavlja pitanje kako. Moze ako je zarazio bilo koji
rezidentni program koji je aktivan u memoriji. To znaci da si ponovo
zarazio hard. Ovo skoro sigurno. Potrebno je da dignes sistem sa
prazne ciste diskete na kojoj ti je DOS, a na kojoj *sigurno* nije i
virus. Tu disketu obavezno zastiti od upisa (onom nalepnicom sa
strane) pa je tek onda stavi u drajv. Inace novi izvor zaraze moze
biti i neki keyb drajver ili nesto slicno.
Pozdrav
Slavko.
virusi.89skoprivica,
-> #86, isekulovic>-> Sa harda ga ocas posla ukolinih sa clean85 ali na disketama nece
>-> da ga sredi. Evo sta se desava scan ga pronadje u boot sectoru. Ja
>-> pustim clean a: [Mich] /a i on ga pronadje napise da ga je uklonio
>-> ali kad
Imas li particije na disku ? Zasto ne koristis Vshield ?
Ajde da ti daj pomoc (prg. boot.com (nisam ja pisao vec jedan
moj poznanik (nece se ljutiti valjda)) koji prepise boot sector
od dos 3.30 - sve fino radi, za razliku od CLEAN-a 82 , sa kojim
sam probao i necu , tj. upise u boot sector znakove podeljeno -
- kao : i - (ima neki ascii al me mrzi da trazim)).
Aje... CTEBO.
PS: A da probas CLEAN /MAINT (cini mi se da tome sluzi , procitaj
doc.)
virusi.90bjankovic,
-> #84, isekulovic> Ne znam sta je ovo bilo. Prvi put kad sam formatirao
> disketu virus se zadrzao ali drugi put kad sam je
> formatirao nestao je.
Ima jedna interesantna stvar koju sam primetio kod Pakistani Brain/Ashar
ŠBrainĆ virusa:
Ako date komandu 'DIR A:' dok se u flopiju A: nalazi 'zaražena' disketa,
zatim izvadite disketu i pozovete 'SCAN bilo_ćta', program će otkriti
Brain virus u memoriji sa naznakom da je aktivan.
Tačno je da je virus u memoriji jer je DOS komanda DIR A: učitala i
BOOT sektor, verovatno zbog provere tipa diskete i, kako je ceo kod Brain
virusa smešten u BOOT sektoru, patern koji SCAN traži je tu - može se
pronaći i sa dibagerom, kod mene (DOS 5.00 + 4DOS), na adresi 0000:084F.
Ipak uzbuna je lažna, virus nije aktivan i posle prve sledeće komande
DIR biće prebrisan.
BJ
virusi.91dejanr,
žasopis US News and World Report piše da su, nekoliko nedelja pre početka
rata u Zalivu, američki agenti ubacili virus u kompjutersku mrežu
iračkog sistema vazdušne odbrane. Virus je navodno unet u neki francuski
štampač (?) koji su Iračani iz Amana prebacili u Irak i uključili u vojna
postrojenja u Bagdadu. Američki agenti su u Amanu EPROM u printeru zamenili
zaraženim, a odatle se virus preneo u sistem.
Virus je radio tako da, svaki put kada je irački tehničar otvorio prozor
za informacije, sadržaj na ekranu jednostavno bivao prebrisan. Tvrdi se
da je, virus delovao, ali i dodaje da to nije imalo neko presudno dejstvo
jer je američka vazdušna nadmoć i bez njega bila dovoljna.
O ovome ja napisana i knjiga, "Trijumf bez pobede".
PS Ovo sam preneo kako su objavili, ali mi je više nego čudno. Prvo, virus
u printeru (???). Drugo, to kako je delovao meni izgleda jako glupo.
Al ko zna?
virusi.92nboskovic,
-> #89, skoprivica*> Imas li particije na disku ? Zasto ne koristis Vshield ?
Vshield mnogo usporava rad sa samim programima, tako da ga
malo ljudi (bar od onih koje ja znam) koristi. Ja koristim
program pvictim koji se startuje pri butovanju sistema koji
ustvari izigravaju mamac za viruse jer postoje com i exe verzija
i oba su dužine 10k okruglo, tako da ako se pojavi virus na
sistemu oni prijave za koliko su duži tj. jave da postoji neka
frka. Ne usporavaju rad sa programima jer se startuje samo
jednom pri butovanju iz autoexec-a.
(c) klap
nikola
virusi.93ssokorac,
-> #92, nboskovic -=)> program pvictim koji se startuje pri butovanju sistema
-=)> koji
Je l' bi mogao to da pošalješ?
virusi.94hercog,
Ovo pitanje postavlja jedan moj prijatelj :
Ako otkuca clean a: ŠmichĆ (sve malim slovima) clean mu
ne skine virus, ali ako napise CLEAN A: ŠMICHĆ sve je
u redu, pa ga interesuje zbog cega je tako. Ne koristi
4dos.
pozdrav Hercog
virusi.95bulaja,
-> #92, nboskovic│Vshield mnogo usporava rad sa samim programima, tako da ga
│malo ljudi (bar od onih koje ja znam) koristi.
└──
VShield ne usporava rad sa programima, vec samo njihovo startovanje
(ucitavanje). Posle toga programi sasvim normalno (znaci neusporeno)
rade. Ne skodi ponekad startovati ga prilikom isprobavanja novog
rekreativnog softvera ;), ali je zato zaista potpuno neprakticno (a i
nepotrebno) koristiti ga prilikom svakodnevnog rada.
virusi.96mjova,
-> #92, nboskovic> program pvictim koji se startuje pri butovanju sistema
> .. frka. Ne usporavaju rad sa programima jer se startuje samo
> jednom pri butovanju iz autoexec-a.
a šta ima ova nova verzija? negde je videh, kakve to dodatke ima,
proverava li sadržaj ili ne?
SY
virusi.97skoprivica,
-> #92, nboskovic>-> program pvictim koji se startuje pri butovanju sistema koji
>-> ustvari izigravaju mamac za viruse jer postoje com i exe verzija
>-> i oba su duzine 10k okruglo, tako da ako se pojavi virus na
Mislim da je bez veze. Zasto su dugacki 10000 Bytes kad sam pri-
javljuje za koliko se produzio ? Zasto startovati pri bootu
kad tada verovatno nece biti nikakvog virusa ? A pvictimi
nisu rezidentni tako da se ne moze primetiti zaraza do
sledeceg boota racunara, a 'bolje je spreciti nego leciti'...
Aje... CTEBO.
virusi.98cacxa,
-> #93, ssokorac> Je l' bi mogao to da pošalješ?
Imaš to i još puno toga lepog na Durlan BBS-u u Nišu.
virusi.99nboskovic,
-> #93, ssokorac*> Je l' bi mogao to da pošalješ?
Evo stiže.
(c) klap
nikola
virusi.100smitrovic,
Jel' zna neko nešto više o virusu Bloody?
virusi.101bulaja,
-> #99, nboskovicThanks na prilogu, eno ga u \ibmpc\virus direktorijumu.
virusi.102dejanr,
Pre par dana sam preneo poruku o (mogućem) virusu koji je ubačen u
Irački sistem za vreme rata u Zalivu. Evo šta na BIX-u kažu o tome:
==========
security/main #1731, from rshealer, 356 chars, Sun Jan 12 01:06:09 1992
Comment to 1730. Comment(s).
----------
I heard a report from David French on CNN tonight, that one of the
reasons that the Iraqis had trouble shooting down our planes, was
because of a virus that blanked their computer screens.
The virus was installed into a French made printer that was smuggled
into Iraq.
I did not think that this could happen. Can anybody enlighten me?
Rich Shealer, Jr
==========
security/main #1732, from rbabcock, 203 chars, Sun Jan 12 01:24:16 1992
Comment to 1731. Comment(s). More refs to 1731.
----------
I don't see any way for a virus to be transfered from a printer to a PC.
However, a printer might well come with a disk containing drivers and
utility software, and that would provide an infection path.
==========
security/main #1733, from m.bradley, 524 chars, Sun Jan 12 02:48:25 1992
Comment to 1731. Comment(s). More refs to 1731.
----------
The San Jose Mercury News reported that we found a certain printer was to
be delivered ("smuggled") to Iraq, that we inserted a chip carrying the
virus which was designed to disable a mainframe, that the result was
intended to blank the screen every time they tried to open a window.
The whole thing sounds kinda odd. Also there is no information from
the receiving end, ie no observation as to whether it worked.
The media got this information from a just-published book on the
war, whose name I have already forgotten.
==========
security/main #1734, from rshealer, 146 chars, Sun Jan 12 09:21:48 1992
Comment to 1732.
----------
In this case the report said that the virus was imbeded in a microchip
that was installed in the printer. I just can't see it.
Rich Shealer, Jr
==========
security/main #1735, from roedy, 392 chars, Sun Jan 12 20:06:37 1992
Comment to 1731. Comment(s).
----------
I think the story is quite unlikely. The only kind of printer that
says much back to a host is a postscript printer. None of that
diaglog ever gets executed. You could screw up a PRINTER, but not
the attached computer. If the printer froze up, that MIGHT hold
up the code, just has hitting PrtSc, then quickly powering off the
printer can freeze your machine till the printer is readied.
==========
security/main #1736, from roedy, 235 chars, Sun Jan 12 20:08:00 1992
Comment to 1733. Comment(s). More refs to 1733.
----------
You could hide the BULK of a virus inside a PostScript printer,
IF you had some code already smuggled into the mainframe to suck
it out and start it executing.
However, if you had that already, there should be no need of a
PS printer.
==========
security/main #1737, from agni, 238 chars, Sun Jan 12 21:28:14 1992
Comment to 1733. More refs to 1733.
----------
This is a mainframe, the printer could have had a seperate
intelligent controller card that interfaced with the mainframe computer
on the bus, and it then could conceivably have been able to take the
computer down that way.
+Agni
==========
security/main #1738, from agni, 375 chars, Sun Jan 12 21:31:02 1992
Comment to 1736.
----------
This assumes a micro-processor type environment.
Mainframes do not necessarily do things the same way.
and use different methods for doing things.
The Dec Vax uses intelegent controlers, and other interfaceing devices
that take care of these tasks so that the processor does not take time
reading the printer port to see if it's ready to be given another byte.
+Agni
==========
security/main #1739, from mcovington, 111 chars, Mon Jan 13 01:32:13 1992
Comment to 1733.
----------
One thing we know for sure about viruses is that non-experts are likely
to misunderstand them in massive ways.
==========
security/main #1740, from tbascom, 110 chars, Mon Jan 13 20:19:35 1992
Comment to 1735.
----------
Sounds like typical layperson/media misunderstanding of the issue. Sells lots
of anti-viral software though.
virusi.103dejanr,
==========
security/alert #161, from hshubs, 567 chars, Wed Jan 15 19:29:13 1992
----------
Novell distributed 3800 copies of its Network Support Encyclopedia
infected with the Stoned 3 virus. Novell reported that although a few
customers had scanned the disks and found the virus, nobody reported
the infection. Go figure...
virusi.104vbole,
-> #102, dejanr> security/main #1740, from tbascom, 110 chars, Mon Jan 13
> 20:19:35 1992 Comment to 1735.
> ----------
> Sounds like typical layperson/media misunderstanding of
> the issue. Sells lots of anti-viral software though.
I ja tipujem na to isto ;))))))
bye... vbole
virusi.105mgajic,
-> #97, skoprivica> Mislim da je bez veze. Zasto su dugacki 10000 Bytes kad sam pri-
> javljuje za koliko se produzio ? Zasto startovati pri bootu
> kad tada verovatno nece biti nikakvog virusa ? A pvictimi
> nisu rezidentni tako da se ne moze primetiti zaraza do
> sledeceg boota racunara, a 'bolje je spreciti nego leciti'...
---------------------------------------------------------------------
Pa, sada da je bez veze, da vidis i nije. "Zasto su dugacki 10000
Bytes kad sam priĚavljuje za koliko se pro,uzio ?". Na primer: Virus
3066 je upravo toliko i dugacak pa mu to dodje 13066. Zato bilo ko da
│racuna kada ima lepo napisano. "Zasto startovati pri bootu kad tada
verovatno nece biti nikakvog virusa ?". Ko kaze da moraju da se sta-
rtuju samo prilikom boot-a ?. Mozes da ih startujes kada hoces. A sta
cemo sa virusima koji "prezive" boot? Sta cemo sa virusima koji zaraze
*.SYS fajlove a ima ih, ima...? A za DIR/2 i da ne govorim. A zasto da
budu rezidentni ?. Da lakse uvuku virus u memoriju?.
Na kraju krajeva oni (PVICTIM*.*) su samo "lovci na viruse" a ne anti-
virus programi. Zna se cemu sluze: "ulove" link virus i posaljes ih lepo
ljudima na njihov BBS kako su lepo i zamolili u .DOC fajlu.
Pozdrav,
Gaja.
P.S. Mislim da imaju i "lovca" za boot viruse ali je komplikovan. Mora da
se upotrebańi DEBUG Ă se Boot "spakuje" u fajl. Mislim da se zove PVICTIMB,
nisam siguran.
ÚŢ