<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE></TITLE>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 5.50.4916.2300" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=613553819-24062002><FONT face=Arial color=#0000ff size=2>Thank 
You</FONT></SPAN></DIV>
<BLOCKQUOTE>
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> Daryl S. Ehrenheim 
  [mailto:ehren@PICKERING.COM]<BR><B>Sent:</B> Monday, June 24, 2002 4:09 
  PM<BR><B>To:</B> MAILSCANNER@JISCMAIL.AC.UK<BR><B>Subject:</B> Re: f-prot / 
  aves detects this as a virus !! I think<BR><BR></FONT></DIV><BR><BR>Matt 
  Doherty wrote:<BR>
  <BLOCKQUOTE 
  cite="midCEEEJMPKAGAEEBLAKIGHMEGFCBAA.Matthew_doherty@datawatch.com" 
  type="cite">
    <META content="MSHTML 5.50.4916.2300" name=GENERATOR>
    <DIV><SPAN class=787214016-24062002><FONT face=Arial color=#0000ff 
    size=2>How can we achieve a simular output using 
  sophos?</FONT></SPAN></DIV></BLOCKQUOTE>Is this the kind on info you are 
  looking for?<BR><BR>Try doing:<BR><BR>sweep -vv<BR><BR>Here is the output on 
  my linux box.<BR><BR>SWEEP virus detection utility<BR>Copyright (c) 1989,2002 
  Sophos Plc, <A class=moz-txt-link-abbreviated 
  href="http://www.sophos.com">www.sophos.com</A><BR><BR>System time 12:08:13, 
  System date 24 June 2002<BR><BR>Product 
  version&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : 
  3.58<BR>Engine 
  version&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : 
  2.10<BR>User interface version&nbsp;&nbsp;&nbsp; : 
  2.03.098<BR>Platform&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  : 
  Linux/Intel<BR>Released&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  : 03 June 2002<BR>Total viruses (with IDEs) : 74067<BR><BR>Default executable 
  extensions:<BR><BR>386, 3GR, ADD, ASP, CHM, COM, CPL, DLL, DMD, DOC, 
  DOT,<BR>DRV, EXE, FLT, FON, FOT, I13, IFS, MOD, MPD, MSO, OCX,<BR>OV?, PDR, 
  SCR, SYS, VXD, XL?, VB?, INI, MPP, MPT, HLP,<BR>HT?, SRC, SHS, SHB, PRC, PPS, 
  PPT, POT, PIF, HTML, WBK,<BR>LNK, BAT, SH, PL, EML, NWS, RTF, DBX, PDF, SWF, 
  JS,<BR>JSE<BR><BR>Files without extensions will also be scanned by 
  default.<BR><BR>Archive types supported:<BR><BR>Archive 
  name&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Command line 
  qualifier&nbsp;&nbsp; 
  Extension(s)<BR>Arj&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  -arj&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  ARJ<BR>Cmz&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  -cmz&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  Z, 
  TAZ<BR>Gzip&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  -gzip&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  GZ, 
  TGZ<BR>Rar&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  -rar&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  RAR<BR>Tar&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  -tar&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  TAR<BR>Zip&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  -zip&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  ZIP<BR>Lha&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  -lha&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  LHA, 
  LZH<BR>MSCompress&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  -mscmp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  ??_<BR>SfxArchives&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  -sfx&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  EXE<BR>MacBinary&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  -mbin&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  BIN<BR>BinHex&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  -bhex&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  HQX<BR>Uue&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  -uue&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  UUE<BR><BR>
  <BLOCKQUOTE 
  cite="midCEEEJMPKAGAEEBLAKIGHMEGFCBAA.Matthew_doherty@datawatch.com" 
  type="cite">
    <BLOCKQUOTE>
      <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
      size=2>-----Original Message-----<BR><B>From:</B> Rishi Gangoly [<A 
      class=moz-txt-link-freetext 
      href="mailto:rishi@THEARGONCOMPANY.COM">mailto:rishi@THEARGONCOMPANY.COM</A>]<BR><B>Sent:</B> 
      Monday, June 24, 2002 1:27 PM<BR><B>To:</B> <A 
      class=moz-txt-link-abbreviated 
      href="mailto:MAILSCANNER@JISCMAIL.AC.UK">MAILSCANNER@JISCMAIL.AC.UK</A><BR><B>Subject:</B> 
      Re: f-prot / aves detects this as a virus !! I 
      think<BR><BR></FONT></DIV>Also what's the output of f-prot -virno 
      <BR><BR>Here is mine: <BR>------------------------------ <BR>SIGN.DEF 
      created 24. June 2002 <BR>SIGN2.DEF created 24. June 2002 <BR>MACRO.DEF 
      created 11. June 2002 <BR>DOS/Windows: 25460 viruses and 14400 Trojans 
      <BR>Word/Excel: 7625 viruses and Trojans <BR>Java: 2 viruses and 115 
      Trojans <BR>BAT: 1006 viruses and Trojans <BR>IRC INI: 360 viruses and 
      Trojans <BR>Script: 1743 viruses and Trojans <BR>INF: 4 viruses and 
      Trojans <BR>Unix shell: 31 viruses and Trojans <BR>Ami: 2 viruses and 
      Trojans <BR>WinBat: 4 viruses and Trojans <BR>PIF: 18 viruses and Trojans 
      <BR>PalmOS: 4 viruses and Trojans <BR>PHP: 2 viruses and Trojans <BR>Unix: 
      96 viruses and Trojans <BR>In addition, over 14400 viruses are identified 
      using <BR>generic identification, so the total number of viruses <BR>and 
      Trojans known to F-PROT is somewhere over 65200. 
      <BR>------------------------------ <BR><BR><BR>----- Original Message 
      ----- <BR>From: "Rishi Gangoly" <A class=moz-txt-link-rfc2396E 
      href="mailto:rishi@theargoncompany.com">&lt;rishi@theargoncompany.com&gt;</A> 
      <BR>To: <A class=moz-txt-link-rfc2396E 
      href="mailto:MAILSCANNER@JISCMAIL.AC.UK">&lt;MAILSCANNER@JISCMAIL.AC.UK&gt;</A> 
      <BR>Sent: Monday, June 24, 2002 9:22 PM <BR>Subject: Re: f-prot / aves 
      detects this as a virus !! I think <BR><BR><BR>&gt; Hi Fracois <BR>&gt; 
      <BR>&gt; What happens when you do : <BR>&gt; <BR>&gt; f-prot -virlist | 
      grep -i Frethem <BR>&gt; <BR>&gt; <BR>&gt; Regards <BR>&gt; <BR>&gt; Rishi 
      <BR>&gt; <BR>&gt; <BR>&gt; <BR>&gt; ----- Original Message ----- <BR>&gt; 
      From: "Francois Caen" <A class=moz-txt-link-rfc2396E 
      href="mailto:FCaen@CI.LAKEWOOD.WA.US">&lt;FCaen@CI.LAKEWOOD.WA.US&gt;</A> 
      <BR>&gt; To: <A class=moz-txt-link-rfc2396E 
      href="mailto:MAILSCANNER@JISCMAIL.AC.UK">&lt;MAILSCANNER@JISCMAIL.AC.UK&gt;</A> 
      <BR>&gt; Sent: Tuesday, June 18, 2002 9:09 PM <BR>&gt; Subject: Re: f-prot 
      / aves detects this as a virus !! I think <BR>&gt; <BR>&gt; <BR>&gt; &gt; 
      -----Original Message----- <BR>&gt; &gt; From: <A 
      class=moz-txt-link-abbreviated 
      href="mailto:rishi@THEARGONCOMPANY.COM">rishi@THEARGONCOMPANY.COM</A> 
      <BR>&gt; &gt; <BR>&gt; &gt; &gt; Just had another idea. <BR>&gt; &gt; &gt; 
      What's the sum of the infected file that yoy have? <BR>&gt; &gt; &gt; Here 
      is mine. <BR>&gt; &gt; &gt; <BR>&gt; &gt; &gt; <BR>&gt; &gt; &gt; [root 
      f-prot]# sum /tmp/decrypt-password.exe <BR>&gt; &gt; &gt; 07788 35 
      <BR>&gt; &gt; <BR>&gt; &gt; For all the ones I received, I get the same 
      results: <BR>&gt; &gt; <BR>&gt; &gt; # sum decrypt-password.exe <BR>&gt; 
      &gt; 47131 35 <BR>&gt; &gt; <BR>&gt; &gt; I typically use md5sum, dunno 
      exactly how it differs from sum but it's a <BR>&gt; standard for software 
      downloads. <BR>&gt; &gt; <BR>&gt; &gt; # md5sum decrypt-password.exe 
      <BR>&gt; &gt; cc695e7e531c18843baa0731a38e969b decrypt-password.exe 
      <BR>&gt; &gt; <BR>&gt; &gt; # sum /usr/local/f-prot/* <BR>&gt; &gt; 49258 
      1 /usr/local/f-prot/CHANGES <BR>&gt; &gt; 54451 21 
      /usr/local/f-prot/ENGLISH.TX0 <BR>&gt; &gt; 46493 3 
      /usr/local/f-prot/INSTALL <BR>&gt; &gt; 38393 3 /usr/local/f-prot/LICENSE 
      <BR>&gt; &gt; 13115 455 /usr/local/f-prot/MACRO.DEF <BR>&gt; &gt; 25947 1 
      /usr/local/f-prot/README <BR>&gt; &gt; 28940 1 /usr/local/f-prot/SIGN.ASC 
      <BR>&gt; &gt; 16736 1038 /usr/local/f-prot/SIGN.DEF <BR>&gt; &gt; 47624 1 
      /usr/local/f-prot/SIGN2.ASC <BR>&gt; &gt; 24019 381 
      /usr/local/f-prot/SIGN2.DEF <BR>&gt; &gt; 30967 12 
      /usr/local/f-prot/check-updates.sh <BR>&gt; &gt; 43536 7 
      /usr/local/f-prot/checksum <BR>&gt; &gt; 52218 932 
      /usr/local/f-prot/f-prot <BR>&gt; &gt; 53109 5 /usr/local/f-prot/f-prot.8 
      <BR>&gt; &gt; 41567 1 /usr/local/f-prot/f-prot.sh <BR>&gt; &gt; 23276 3 
      /usr/local/f-prot/f-protwrapper <BR>&gt; &gt; 02783 922 
      /usr/local/f-prot/fp-def.zip <BR>&gt; &gt; 03152 215 
      /usr/local/f-prot/macrdef2.zip <BR>&gt; &gt; <BR>&gt; &gt; # md5sum 
      /usr/local/f-prot/* <BR>&gt; &gt; 2d159aceaf924853502ec97dba2414d2 
      /usr/local/f-prot/CHANGES <BR>&gt; &gt; ccbf77f4141f5d0775ace281bbc7452c 
      /usr/local/f-prot/ENGLISH.TX0 <BR>&gt; &gt; 
      edec255b29f87624b6b1c5a000d4cd91 /usr/local/f-prot/INSTALL <BR>&gt; &gt; 
      382c9b94925d309068907581a7ee7e7a /usr/local/f-prot/LICENSE <BR>&gt; &gt; 
      bc26349c2892a303fed0928cc95551d3 /usr/local/f-prot/MACRO.DEF <BR>&gt; &gt; 
      d971c388ec249a1bf699657a823f4f3d /usr/local/f-prot/README <BR>&gt; &gt; 
      13f975f08f9c0d0e78eda0fa39263d92 /usr/local/f-prot/SIGN.ASC <BR>&gt; &gt; 
      fa7a8b065075fb0f43ed6073698ae2ae /usr/local/f-prot/SIGN.DEF <BR>&gt; &gt; 
      9abb515ed622720bfd27b17356da3c16 /usr/local/f-prot/SIGN2.ASC <BR>&gt; &gt; 
      cbf14c505c1b904477c943bbf983ee6a /usr/local/f-prot/SIGN2.DEF <BR>&gt; &gt; 
      f9edeccdb48ca2f51efcfcfedab8cea8 /usr/local/f-prot/check-updates.sh 
      <BR>&gt; &gt; dc1893dcb0da9f06a718013dab94b60a /usr/local/f-prot/checksum 
      <BR>&gt; &gt; 6dd38d416efb1b3a15e5a2abb78f038c /usr/local/f-prot/f-prot 
      <BR>&gt; &gt; ef23f6eb09963af8917263603f665d9a /usr/local/f-prot/f-prot.8 
      <BR>&gt; &gt; 74ac7a4872c003e2f4fbd1494bd76ed7 /usr/local/f-prot/f-prot.sh 
      <BR>&gt; &gt; f184c6d9ff007949a466d8d78fd2a5ee 
      /usr/local/f-prot/f-protwrapper <BR>&gt; &gt; 
      4dc8efd6d9daa451a1515d210664e2f4 /usr/local/f-prot/fp-def.zip <BR>&gt; 
      &gt; c5c867208efd9d3b398c64d0df50e4e1 /usr/local/f-prot/macrdef2.zip 
      <BR>&gt; &gt; <BR>&gt; &gt; Hope this helps :-) <BR>&gt; &gt; 
      ------------------------------------------------ <BR>&gt; &gt; Francois 
      Caen <BR>&gt; &gt; Network Information Systems Engineer - Webmaster 
      <BR>&gt; &gt; City of Lakewood, WA <BR>&gt; &gt; (253) 512-2269 
    <BR><BR></BLOCKQUOTE></BLOCKQUOTE><BR></BLOCKQUOTE></BODY></HTML>