home *** CD-ROM | disk | FTP | other *** search
/ Simtel MSDOS 1992 September / Simtel20_Sept92.cdr / msdos / trojanpr / virus_l.faq < prev    next >
Internet Message Format  |  1992-09-08  |  61KB

  1. Date:         Thu, 19 Mar 1992 15:00:07 EST
  2. From:         "The Moderator Kenneth R. van Wyk" <krvw@CERT.SEI.CMU.EDU>
  3. Subject:      VIRUS-L Digest V5 #70
  4. Comments: To: VIRUS-L@ibm1.cc.lehigh.edu
  5.  
  6. VIRUS-L Digest   Thursday, 19 Mar 1992    Volume 5 : Issue 70
  7.  
  8. Today's Topics:
  9.  
  10. VIRUS-L/comp.virus FAQ, 19 March 1992
  11.  
  12. VIRUS-L is a moderated, digested mail forum for discussing computer
  13. virus issues; comp.virus is a non-digested Usenet counterpart.
  14. Discussions are not limited to any one hardware/software platform -
  15. diversity is welcomed.  Contributions should be relevant, concise,
  16. polite, etc.  (The complete set of posting guidelines is available by
  17. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
  18. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
  19. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
  20. Information on accessing anti-virus, documentation, and back-issue
  21. archives is distributed periodically on the list.  Administrative mail
  22. (comments, suggestions, and so forth) should be sent to me at:
  23. krvw@CERT.SEI.CMU.EDU.
  24.  
  25.    Ken van Wyk
  26.  
  27. ----------------------------------------------------------------------
  28.  
  29. Date:    Thu, 19 Mar 92 14:07:05 -0500
  30. From:    Kenneth R. van Wyk <krvw@cert.sei.cmu.edu>
  31. Subject: VIRUS-L/comp.virus FAQ, 19 March 1992
  32.  
  33.        Frequently Asked Questions on VIRUS-L/comp.virus
  34.            Last Updated: 19 March 1992, 2:00 PM EST
  35.  
  36. ====================
  37. = Preface Section: =
  38. ====================
  39.  
  40. This document is intended to answer the most Frequently Asked
  41. Questions (FAQs) about computer viruses.  As you can see, there are
  42. many of them!  If you are desperately seeking help after recently
  43. discovering what appears to be a virus on your computer, consider
  44. skimming through sections A and B to learn the essential jargon, then
  45. concentrate on section C.
  46.  
  47. If you may have found a new virus, or are not quite sure if some file
  48. or boot sector is infected, it is important to understand the protocol
  49. for raising such questions, e.g. to avoid asking questions that can be
  50. answered in this document, and to avoid sending "live" viruses except
  51. to someone who is responsible (and even then in a safe form!).
  52.  
  53. Above all, remember the time to really worry about viruses is BEFORE
  54. your computer gets one!
  55.  
  56. The FAQ is a dynamic document, which changes as people's questions
  57. change.  Contributions are gratefully accepted -- please e-mail them
  58. to me at krvw@cert.sei.cmu.edu.  The most recent copy of this FAQ will
  59. always be available on the VIRUS-L/comp.virus archives, including the
  60. anonymous FTP on cert.sei.cmu.edu (192.88.209.5) in the file:
  61. pub/virus-l/FAQ.virus-l
  62.  
  63. Ken van Wyk, moderator VIRUS-L/comp.virus
  64.  
  65. Primary contributors (in alphabetical order):
  66.     Mark Aitchison <phys169@csc.canterbury.ac.nz>
  67.     Vaughan Bell <vaughan@computing-department.poly-south-west.ac.uk>
  68.     Matt Bishop <matt.bishop@dartmouth.edu>
  69.     Vesselin Bontchev <bontchev@fbihh.informatik.uni-hamburg.de>
  70.     Olivier M.J. Crepin-Leblond <umeeb37@vaxa.cc.ic.ac.uk>
  71.     David Chess <chess@watson.ibm.com>
  72.     John-David Childs <con_jdc@lewis.umt.edu>
  73.     Nick FitzGerald <cctr132@csc.canterbury.ac.nz>
  74.     Claude Bersano-Hayes <hayes@urvax.urich.edu>
  75.     John Kida <jhk@washington.ssds.COM>
  76.     A. Padgett Peterson <padgett%tccslr.dnet@mmc.com>
  77.     Rob Slade <rslade@sfu.ca>
  78.     Gene Spafford <spaf@cs.purdue.edu>
  79.     Otto Stolz <rzotto@nyx.uni-konstanz.de>
  80.  
  81. ====================
  82.  
  83.          Questions answered in this document
  84.  
  85. Section A:   Sources of Information and Anti-viral Software
  86.              (Where can I find HELP..!)
  87.  
  88. A1)  What is VIRUS-L/comp.virus?
  89. A2)  What is the difference between VIRUS-L and comp.virus?
  90. A3)  How do I get onto VIRUS-L/comp.virus?
  91. A4)  What are the guidelines for VIRUS-L?
  92. A5)  How can I get back-issues of VIRUS-L?
  93. A6)  What is VALERT-L?
  94. A7)  What are the known viruses, their names, major symptoms and
  95.      possible cures?
  96. A8)  Where can I get the latest free/shareware anti-virus programs?
  97. A9)  Where can I get more information on viruses, etc for my report?
  98.  
  99.  
  100. Section B:   Definitions
  101.              (What is ...?)
  102.  
  103. B1) What are computer viruses (and why should I worry about them) ?
  104. B2) What is a trojan horse?
  105. B3) What are "stealth" viruses (and what is special about them) ?
  106. B4) What are "polymorphic" viruses (and what is special about them) ?
  107. B5) What are "armored" viruses?
  108. B6) What different types of PC viruses are there?
  109. B7) Miscellaneous Abbreviations and jargon
  110.  
  111.  
  112. Section C:   Virus Detection
  113.              (Is my computer infected? What do I do?)
  114.  
  115. C1) What are the symptoms and indications of a virus infection?
  116. C2) What steps should be taken in diagnosing and identifying viruses?
  117. C3) What does the <insert name here> virus do?
  118. C4) What are "false positive" (Type I) and "false negative" (Type II)
  119.     errors ?
  120. C5) Could an anti-viral program be infected?
  121. C6) Where can I get a virus scanner for my Unix system?
  122. C7) Why does an antiviral scanner reports an infection only sometimes?
  123. C8) Am I infected with the Stoned virus ?
  124. C9) I think I have detected a new virus; what do I do?
  125.  
  126.  
  127. Section D:   Protection Plans
  128.              (What should I do to prepare against viruses?)
  129.  
  130. D1) What is the best protection policy for my computer?
  131. D2) Is it possible to protect a computer system with only software?
  132. D3) What can be done with hardware protection?
  133. D4) Will setting MSDOS files' attributes to READ ONLY protect them from
  134.     viruses?
  135. D5) Will password protection systems protect my files from viruses?
  136. D6) Will the protection systems in DR-DOS work against viruses?
  137. D7) Will a write-protect tab on a floppy disk prevent a virus from
  138.     infecting it?
  139. D8) What is the best way to remove the virus?
  140. D9) What other ways can I stop viruses before they enter my computer?
  141.  
  142.  
  143. Section E:    Facts and Fibs about computer viruses
  144.               (Can a virus...?)
  145.  
  146. E1) Can "boot sector" viruses like Stoned infect non-bootable floppy disks?
  147. E2) Can a virus hide in a PC's battery-backed CMOS memory?
  148. E3) Can viruses infect data files?
  149. E4) Can viruses spread from one type of computer to another?
  150. E5) Can mainframe computers be susceptible to computer viruses?
  151. E6) Some people say that disinfecting viruses is a bad idea. Is that true?
  152. E7) Can I avoid viruses by avoiding shareware/free software/games?
  153. E8) Can MS-DOS Viruses run on Non-DOS machines (e.g., Mac, Amiga)?
  154.  
  155.  
  156. Section F:    Miscellaneous Questions
  157.               (I was just wondering...)
  158.  
  159. F1) How many different types of viruses are there?
  160. F2) How do viruses spread so quickly?
  161. F3) What is the plural of "virus"?  "Viruses" or "viri" or "virii" or...
  162. F4) When reporting a virus infection (and looking for assistance), what
  163.     information should be included?
  164. F5) How often should we upgrade our anti-virus tools to minimize
  165.     software and labor costs and maximize our protection?
  166.  
  167.  
  168. Section G:    Specific Virus and Anti-viral software Questions...
  169.  
  170. G1) I was infected by the Jerusalem virus and disinfected the infected
  171.     files with my favorite anti-virus program. However, Wordperfect and
  172.     some other programs still refuse to work. Why?
  173. G2) I was told that the Stoned virus displays the text "Your PC is now
  174.     Stoned" at boot time. I have been infected by this virus several
  175.     times, but have never seen the message. Why?
  176.  
  177.  
  178. ================================================================
  179. = Section A.   Sources of Information and Anti-viral Software. =
  180. ================================================================
  181.  
  182. A1) What is VIRUS-L/comp.virus?
  183.  
  184. It is a discussion forum with a focus on computer virus issues.  More
  185. specifically, VIRUS-L is an electronic mailing list and comp.virus is
  186. a USENET newsgroup.  Both groups are moderated; all submissions are
  187. sent to the moderator for possible inclusion in the group.  For more
  188. information, including a copy of the posting guidelines, see the file
  189. virus-l.README, available by anonymous FTP on cert.sei.cmu.edu in the
  190. pub/virus-l directory.  (FTP is the Internet File Transfer Protocol,
  191. and is described in more detail in the monthly VIRUS-L/comp.virus
  192. archive postings - see below.)
  193.  
  194. Note that there have been, from time to time, other USENET
  195. cross-postings of VIRUS-L, including the bit.listserv.virus-l.  These
  196. groups are generally set up by individual site maintainers and are not
  197. as globally accessible as VIRUS-L and comp.virus.
  198.  
  199.  
  200. A2) What is the difference between VIRUS-L and comp.virus?
  201.  
  202. As mentioned above, VIRUS-L is a mailing list and comp.virus is a
  203. newsgroup.  In addition, VIRUS-L is distributed in digest format (with
  204. multiple e-mail postings in one large digest) and comp.virus is
  205. distributed as individual news postings.  However, the content of the
  206. two groups is identical.
  207.  
  208.  
  209. A3) How do I get onto VIRUS-L/comp.virus?
  210.  
  211. Send e-mail to LISTSERV@IBM1.CC.LEHIGH.EDU (or LISTSERV@LEHIIBM1 for
  212. you Bitnetters) stating: "SUB VIRUS-L your-name".  To "subscribe" to
  213. comp.virus, simply use your favorite USENET news reader to read the
  214. group (assuming that your site receives USENET news).
  215.  
  216.  
  217. A4) What are the guidelines for VIRUS-L?
  218.  
  219. The list of posting guidelines is available by anonymous FTP on
  220. cert.sei.cmu.edu.  See the file pub/virus-l/virus-l.README for the
  221. most recent copy.  In general, however, the moderator requires that
  222. discussions are polite and non-commercial.  (Objective postings of
  223. product availability, product reviews, etc., is fine, but commercial
  224. advertising is not.)  Also, requests for viruses (binary or
  225. disassembly) are not allowed.  Technical discussions are encouraged,
  226. however, within reason.
  227.  
  228.  
  229. A5) How can I get back-issues of VIRUS-L?
  230.  
  231. VIRUS-L/comp.virus includes a series of archive sites that carry all
  232. the back issues of VIRUS-L, as well as public anti-virus software (for
  233. various computers) and documents.  The list of archive sites is
  234. updated monthly and distributed to the group; it includes a complete
  235. listing of the sites, what they carry, access instructions, as well as
  236. information on how to access FTP sites by e-mail.  The anonymous FTP
  237. archive at cert.sei.cmu.edu carries all of the VIRUS-L back issues, as
  238. does the LISTSERV at LEHIIBM1 (on BITNET).  See the file
  239. pub/virus-l/README for more information on the cert.sei.cmu.edu
  240. archive site.
  241.  
  242.  
  243. A6) What is VALERT-L?
  244.  
  245. VALERT-L is a sister group to VIRUS-L, but is intended for virus
  246. alerts and warnings only -- NO DISCUSSIONS.  There is no direct USENET
  247. counterpart to VALERT-L; it is a mailing list only.  All VALERT-L
  248. postings are re-distributed to VIRUS-L/comp.virus later.  This group
  249. is also moderated, but on a much higher priority than VIRUS-L.  The
  250. group is monitored during business hours (East Coast, U.S.A.,
  251. GMT-5/GMT-4); high priority off-hour postings can be made by
  252. submitting to the group and then telephoning the CERT/CC hotline at +1
  253. 412 268 7090 -- leave instructions to call Ken van Wyk.
  254.  
  255. Subscriptions to VALERT-L are handled identically to VIRUS-L --
  256. contact the LISTSERV.
  257.  
  258.  
  259. A7) What are the known viruses, their names, major symptoms and
  260.     possible cures?
  261.  
  262. There are several major sources of information about viruses.
  263. Probably the biggest one is Patricia Hoffman's hypertext VSUM.  It
  264. describes only MS-DOS viruses, but almost all of them.  Unfortunately,
  265. it tends to be too verbose and is regarded by many in the field as
  266. being inaccurate, so we do not advise people to rely on it. It can be
  267. downloaded from most major archive sites -except- SIMTEL20.
  268.  
  269. The second one is the Computer Virus Catalog, published by the Virus
  270. Test Center in Hamburg.  It contains a highly technical description of
  271. computer viruses for several platforms: MS-DOS, Mac, Amiga, Atari ST,
  272. Unix.  Unfortunately, the MS-DOS section is somewhat incomplete.  The
  273. CVC is available for anonymous ftp from ftp.informatik.uni-hamburg.de
  274. (IP=134.100.4.42), directory pub/virus/texts/catalog.
  275.  
  276. A third source of information is the monthly Virus Bulletin. It
  277. regularly publishes very detailed technical information about viruses.
  278. Unfortunately it is -very- expensive (the subscription is about $350
  279. per year; US subscriptions can be obtained by calling 203-431-8720).
  280.  
  281. A fourth good source of information on MS-DOS viruses is the "Computer
  282. Viruses" report of the National Computer Security Association.  This
  283. is updated regularly, and is fairly complete.  Copies cost
  284. approximately $75, and can be ordered by calling +1 202-244-7875.
  285.  
  286. Another source of information is the documentation of Dr. Solomon's
  287. Anti-Virus ToolKit. It is more complete than the CVC list, just as
  288. accurate (if not more), but lists only MS-DOS viruses. However, it is
  289. not available electronically; you must buy his anti-virus package and
  290. the virus information is part of the documentation.
  291.  
  292. Yet another source of information is "Virus News International",
  293. published by S & S International.  And, while not entirely
  294. virus-related, "Computers & Security" provides information on many
  295. aspects of computer security, including viruses.
  296.  
  297. The best source of information available on Apple Macintosh viruses is
  298. the on-line documentation provided with the freeware Disinfectant
  299. program by John Norstad.  This is available at most Mac archive sites.
  300.  
  301.  
  302. A8) Where can I get the latest free/shareware anti-virus programs?
  303.  
  304. The VIRUS-L/comp.virus archive sites carry publicly distributable
  305. anti-virus software products.  See a recent listing of the archive
  306. sites (or ask the moderator for a recent listing) for more information
  307. on these sites.
  308.  
  309. If you need an MS-DOS anti-virus program urgently, chances are that
  310. you can find it via anonymous FTP on WSMR-SIMTEL20.ARMY.MIL
  311. (192.88.110.20), in the directory PD1:<MSDOS.TROJAN-PRO>.  (Note that
  312. the SIMTEL20 archives are also mirrored at many other anonymous FTP
  313. sites, including oak.oakland.edu (141.210.10.117) and
  314. wuarchive.wustl.edu (128.252.135.4).
  315.  
  316. Likewise, Macintosh anti-virus programs can be found on SIMTEL20 in
  317. the PD3:<MACINTOSH.VIRUS> directory.
  318.  
  319.  
  320. A9)  Where can I get more information on viruses, etc for my report?
  321.  
  322. There are three excellent books on computer viruses available that
  323. should cover most of the introductory and technical questions you
  324. might have:
  325.  
  326.     * "Computers Under Attack: Intruders, Worms and Viruses," edited by
  327.    Peter J. Denning, ACM Press/Addison-Wesley, 1990.  This is a book of
  328.    collected readings that discuss computer viruses, computer worms,
  329.    break-ins, legal and social aspects, and many other items related to
  330.    computer security and malicious software.  A very solid, readable
  331.    collection that doesn't require a highly-technical background.
  332.  
  333.      * "Rogue Programs: Viruses, Worms and Trojan Horses," edited by
  334.    Lance J.  Hoffman, Van Nostrand Reinhold, 1990.  This is a book of
  335.    collected readings describing in detail how viruses work, where they
  336.    come from, what they do, etc.  It also has material on worms, trojan
  337.    horse programs, and other malicious software programs.  This book
  338.    focuses more on mechanism and relatively less on social aspects than
  339.    does the Denning book; however, there is an excellent piece by Anne
  340.    Branscomb that covers the legal aspects.
  341.  
  342.      * "A Pathology of Computer Viruses," by David Ferbrache,
  343.    Springer-Verlag, 1992.  This is a recent, in-depth book on the
  344.    history, operation, and effects of computer viruses.  It is one of the
  345.    most complete books on the subject, with an extensive history section,
  346.    a section on Macintosh viruses, networks worms, and Unix viruses (if
  347.    they were to exist).
  348.  
  349. A somewhat dated, but still useful, high-level description of viruses,
  350. suitable for a complete novice without extensive computer background
  351. is in "Computer Viruses: Dealing with Electronic Vandalism and
  352. Programmed Threats," by Eugene H. Spafford, Kathleen A. Heaphy, and
  353. David J.  Ferbrache, ADAPSO (Arlington VA), 1989.  ADAPSO is a
  354. computer industry service organization, and not a publisher, so the
  355. book cannot be found in bookstores; copies can be obtained directly
  356. from ADAPSO @ +1 703-522-5055).  There is a discount for ADAPSO
  357. members, educators, and law enforcement personnel.  Many people have
  358. indicated they find this a very understandable reference; portions of
  359. it have been reprinted many other places, including Denning &
  360. Hoffman's books (above).
  361.  
  362.  
  363. ======================================================
  364. = Section B.   Definitions and General Information   =
  365. ======================================================
  366.  
  367. B1) What are computer viruses (and why should I worry about them) ?
  368.  
  369. The term "computer virus" tends to be used to cover many sorts of computer
  370. programs that hide their true (malicious) function and try to spread onto as
  371. many computers as possible.  While the definitions of the various types of
  372. computer virus (and other malicious software) in this document are certainly
  373. useful, it can still be worth keeping something a "fuzzy" definition of
  374. "computer virus", since pre-conceived notions as to what a virus is, and what
  375. it exactly does, can lead to a false sense of security.
  376.  
  377. These software "pranks" are very serious; they are spreading faster than they
  378. are being stopped, and even the least harmful of viruses can have serious
  379. consequences.  For example, a virus that stops your computer and displays a
  380. message, in the context of a hospital life-support computer, could be fatal.
  381. Even those who created the viruses could not stop them if they wanted to; it
  382. requires a concerted effort from computer users to be "virus-aware", rather
  383. than the ignorance and ambivalence that have allowed them to grow to such a
  384. problem.
  385.  
  386.  
  387. B2) What is a trojan horse?
  388.  
  389. It is a program that does something the programmer intended, but that
  390. the user would not approve of if he knew about it.  Thus, a virus is a
  391. particular case of a Trojan horse, which is able to spread to other
  392. programs (i.e., it turns them into trojans, too).
  393.  
  394.  
  395. B3) What are "stealth" viruses (and what is special about them) ?
  396.  
  397. Every virus makes changes to executable code; hence every virus can be
  398. detected by checking all executable code in a system for discrepancies
  399. between presumed and actual contents.  A stealth virus camouflages the
  400. changes it has made from detection by other programs, usually by
  401. monitoring the system functions used by programs to read files or
  402. physical blocks from storage media, and forging the results of such
  403. system functions suitably.  However, in order to practise "stealth,"
  404. the virus must be resident in memory.  In every "stealth" virus seen
  405. so far, this residence is detectable, often easily.
  406.  
  407. Example: One of the oldest MS-DOS Viruses, Brain, a boot sector
  408. infector, monitors physical disk-I/O and re-directs any attempt to
  409. read a Brain-infected boot sector to the disk area where the original
  410. boot sector is stored.
  411.  
  412. Countermeasures: To gain unadulterated access to storage media, a
  413. "clean" system is needed so that no virus is present to interfere with
  414. its operation.  Thus, the system should be built from a trusted,
  415. clean master copy before any virus-checking is attempted; this is "The
  416. Golden Rule of the Trade."  With MS-DOS, (1) boot from original DOS
  417. diskettes (i.e. DOS Startup/Program diskettes from a major vendor that
  418. have been write-protected since their creation), (2) use only tools
  419. from original diskettes until virus-checking has completed.
  420.  
  421.  
  422. B4) What are polymorphic viruses (and what is special about them) ?
  423.  
  424. In order to eradicate a virus infection, all instances of this
  425. particular virus in various places (program files, boot records, etc.)
  426. have to be found and identified. A program to accomplish this task is
  427. called a Virus Scanner.
  428.  
  429. A polymorphic virus tries to escape virus scanners by producing varied
  430. (yet fully operational) copies of itself.
  431.  
  432. One method to evade signature-driven virus scanners is self-encryption
  433. with a variable key; however these viruses (e.g. Cascade) are not
  434. termed "polymorphic," as their decryption code is always the same and
  435. thus can be used as a virus signature even by the simplest, signature-
  436. driven virus scanners.
  437.  
  438. One method for a polymorphic virus is choosing amongst a variety of
  439. different encryption schemes requiring different decryption routines:
  440. only one of these routines would be plainly visible in any instance of
  441. the virus (e.g. the Whale virus). A signature-driven virus scanner
  442. would have to exploit several signatures (one for each possible
  443. encryption method) to reliably identify a virus of this kind.
  444.  
  445. A more sophisticated polymorphic virus (e.g. V2P6) will vary the
  446. sequence of instructions in its copies, by interspersing it with
  447. "noise" instructions (e.g. a No Operation instruction, or an
  448. instruction to load a currently unused register with an arbitrary
  449. value), by interchanging mutually independent instructions, or even by
  450. using various instruction sequences with identical net effects (e.g.
  451. Subtract A from A, and Move 0 to A).  A simple-minded, signature-based
  452. virus scanner would not be able to reliably identify this sort of
  453. virus; rather, a sophisticated "scanning engine" has to be constructed
  454. after thorough research into the particular virus.
  455.  
  456. The advent of polymorphic viruses has rendered virus-scanning an ever
  457. more difficult and expensive endeavor; adding more and more search
  458. strings to simple scanners will not adequately deal with these
  459. viruses.
  460.  
  461.  
  462. B5) What are "armored" viruses?
  463.  
  464. Armored viruses use special tricks to make the tracing, disassembling
  465. and understanding of their code more difficult.  A good example is the
  466. Whale virus.
  467.  
  468.  
  469. B6) What different types of PC viruses are there?
  470.  
  471. Generally, there are two main classes of viruses: the first describes
  472. file infectors which attach themselves to individual programs that
  473. are easily copied/transferred between computers.  These attack .COM
  474. and .EXE programs though some will infect other classes of program
  475. capable of execution (e.g.  .DB* and .WK* files).  Still others can
  476. infect any program for which execution is requested such as .SYS,
  477. .OVL, .PRG, & .MNU programs.  Generally though, all file infector
  478. viruses will infect either .COM or .EXE programs or both.  Common
  479. examples are Jerusalem, Sunday, Vienna, 4096, or Whale.
  480.  
  481. The second category is System Infectors: those viruses which infect
  482. executable code found in specific locations either on a disk or in
  483. memory.  On DOS systems, for example, most of these viruses infect the
  484. Master Boot Record on fixed disks, the DOS Boot Record on both fixed
  485. and floppy disks, or the system files (IO.SYS or MSDOS.SYS).  Examples
  486. include Brain, Stoned, Empire, Azusa, & Michelangelo.
  487.  
  488. Finally, a few viruses are able to infect both (the Tequila
  489. virus is one example).
  490.  
  491.  
  492. B7) Miscellaneous Jargon and Abbreviations...
  493.  
  494. BSI = Boot Sector Infector: the most common PC viruses belong to this
  495.  family, which take over control when the computer attempts to boot.
  496.  
  497. DOS = Diskette Operating System: We use DOS to mean MS-DOS, PC-DOS, or
  498.  DR-DOS even though there are operating systems called DOS on unrelated
  499.  hardware.
  500.  
  501. MBR = Master Boot Record: the first sector on a PC hard disk, that
  502.  usually contains the partition table (but may simply contain a DOS
  503.  boot sector).
  504.  
  505. RAM = Random Access Memory: the place programs are loaded into to
  506.  execute; the significance for viruses is that, to be active, they must
  507.  grab some of this for themselves. However, some virus scanners may
  508.  declare a virus is active simply when it is found in RAM - even though
  509.  it might be in a disk's buffer area of RAM rather than truly being
  510.  executed.
  511.  
  512. TOM = Top Of Memory: (this is particularly significant in PC's) The
  513.  amount of RAM is recorded in the computer; viruses or other software)
  514.  may try to tell the software that follows there is less memory than
  515.  there really is, so the virus can hide there.
  516.  
  517. TSR = Terminate but Stay Resident: these are PC programs that stay in
  518.  memory while you continue to use the computer for other programs; they
  519.  include pop-up utilities, network software, and (unfortunately) some
  520.  viruses. These can often be seen using utilities such as MEM and PMAP
  521.  and INFOPLUS.
  522.  
  523.  
  524. =================================
  525. = Section C.    Virus Detection =
  526. =================================
  527.  
  528. C1)  What are the symptoms and indications of a virus infection?
  529.  
  530. There are all kinds of symptoms which virus authors have written into
  531. their programs, such as messages, music and graphical displays.  These
  532. "payloads" may include deleting files, or other destruction.  Viruses
  533. try to do a lot of spreading before they deliver their payload, but
  534. there can be symptoms of virus infection before this, and it is
  535. important to use this opportunity to spot and eradicate the virus
  536. before any destruction.
  537.  
  538. The main indications are changes to file sizes and contents, changing
  539. of interrupt vectors (on a PC), and the unaccounted use of RAM (but,
  540. of course, viruses try to hid such effects). On a PC it can be very
  541. worthwhile looking at the amount of RAM known to the CHKDSK program,
  542. which should be 655360 bytes (or at least a multiple of 16384 bytes);
  543. and boot sector infections are often easily identified to the trained
  544. eye (or heuristic checkers such as CHECKOUT). These symptoms, along
  545. with longer disk activity and strange behavior from the hardware, can
  546. also be caused by genuine software, or by harmless "prank" programs,
  547. or by hardware faults, unfortunately.
  548.  
  549. The only foolproof way to determine that a virus is present is for an
  550. expert to analyze the assembly code contained in all programs and
  551. system areas, but this is usually impracticable.  Virus scanners go
  552. some way towards that by looking in that code for known viruses; some
  553. will even try to use artificial intelligence means to spot viral
  554. activity, but this is usually only reliable for boot sectors.  It is
  555. wise to arm yourself with the latest anti-viral software, but also to
  556. pay close attention to your system... look particularly for any change
  557. in the memory map or configuration as soon as you start the computer.
  558. For users of MS-DOS 5.0, the MEM program with the /C switch is very
  559. handy for this.  If you have DRDOS, use MEM with the /A switch; if you
  560. have an earlier version use CHKDSK or the commonly-available PMAP or
  561. MAPMEM utilities. You don't have to know what all the numbers mean,
  562. only that they change.
  563.  
  564.  
  565. C2)  What steps should be taken in diagnosing and identifying viruses?
  566.  
  567. Most of the time, a virus scanner program will take care of that for
  568. you.  Running it often and on new disks will help identify problems
  569. early!  If you run into one that the scanner doesn't identify, or
  570. doesn't properly clean up for you, first verify that the version that
  571. you are using is the most recent, and then get in touch with one of
  572. the reputable antivirus researchers and send a copy of the infected
  573. file to them, after they ask you to send it.  See also question C9.
  574.  
  575.  
  576. C3) What does the <insert name here> virus do?
  577.  
  578. If an anti-virus program has detected a virus on your computer, don't
  579. rush to post a question to this list asking what it does.  First, it
  580. might be a false positive alert (especially if the virus is found only
  581. in one file), and second, some viruses are extremely common, so the
  582. question "What does the Stoned virus do?" or "What does the Jerusalem
  583. virus do?" is asked here repeatedly.  While this list is monitored by
  584. several anti-virus experts, they get tired of perpetually answering
  585. the same questions over and over again.  In any case, if you really
  586. *need* to know what a particular virus does (as opposed to knowing
  587. enough to get rid of it), you will need a longer treatise than could
  588. reasonably be given to you.
  589.  
  590. For example, the Stoned virus replaces the disk's boot sector with its
  591. own, relocating the original to a sector on the disk that may (or may
  592. not) occur in an unused portion of the root directory of a DOS
  593. diskette; when active, it sits in an area a few kilobytes below the
  594. top of memory.  All this description could apply to a number of common
  595. viruses; but the important points of where the original boot sector
  596. goes - and what effect that has on networking software, non-DOS
  597. partitions, and so on are all major questions in themselves.
  598.  
  599. Therefore, it is better if you first try to answer your question
  600. yourself. There are several sources of information about the known
  601. computer viruses, so please consult one of them before requesting
  602. information publicly. Chances are that your virus is rather well known
  603. and that it is already described in detail in at least one of these
  604. sources.  (See the answers to questions A7 and A9, for instance.)
  605.  
  606.  
  607. C4) What are "false positive" (Type I) and "false negative"
  608.     (Type II) errors?
  609.  
  610. Most virus scanners do not identify viruses exactly. What they do is
  611. to use a characteristic sequence of bytes from the virus code, called
  612. "scan string" and to scan the files for this string. While the authors
  613. of most scanners do their best to select good scan strings, it is
  614. possible that the same string happens to be present in a benign
  615. program. If a non-virus program is flagged as a virus by the scanner,
  616. this is called a "false positive" error.
  617.  
  618. On the other hand, a virus scanner searches only for known viruses.
  619. Most probably it will miss a completely new or a heavily modified
  620. virus. If the scanner does not detect a program, which in fact
  621. contains a virus, this is called a "false negative" error.
  622.  
  623. Obviously the false negative errors are more dangerous than the false
  624. positive ones.  Therefore, producers of virus scanners usually attempt
  625. to minimize both kinds of errors, but they are more concerned with the
  626. false negative ones.
  627.  
  628. One other serious problem could occur: A "positive" that is
  629. misdiagnosed.  E.g., a scanner that detects the Empire virus in a boot
  630. record but reports it as the Stoned.  In the case of a boot sector
  631. infector, use of a Stoned specific "cure" to recover from the Empire
  632. could result in an unreadable disk or loss of extended partitions.
  633. Similarly, sometimes "generic" recovery can result in unusable files.
  634. "Second generation" products store information about "clean" programs
  635. to allow verification of recovery processes.
  636.  
  637.  
  638. C5) Could an anti-viral program itself be infected?
  639.  
  640. Yes, so it is important to obtain this software from good sources, and
  641. to only trust results after running scanners from a "clean" system.
  642. But there are situations where one scanner appears to be infected when
  643. it isn't.
  644.  
  645. Most antiviral programs try very hard to identify only viral
  646. infections, but sometimes they give false alarms.  If two different
  647. antiviral programs are both of the "scanner" type, they will contain
  648. "signature strings" to identify viral infections.  If the strings are
  649. not "encrypted", then they will be identified as a virus by another
  650. scanner type program.  Also, if the scanner does not remove the
  651. strings from memory after they are run, then another scanner may
  652. detect the virus string "in memory".
  653.  
  654. Note that a recent example of this type of false alarm regards F-PROT
  655. "detecting" viruses in two Central Point Anti-Virus (CPAV) files.
  656.  
  657. Some "change detection" type antiviral programs add a bit of code or
  658. data to a program when "protecting" it.  This might be detected by
  659. another "change detector" as a change to a program, and therefore
  660. suspicious.
  661.  
  662. It is good practice to use more than one antiviral program.  Do be
  663. aware, however, that antiviral programs, by their nature, may confuse
  664. each other.
  665.  
  666.  
  667. C6) Where can I get a virus scanner for my Unix system?
  668.  
  669. Basically, you shouldn't bother scanning for Unix viruses at this
  670. point in time.  Although it is possible to write Unix-based viruses,
  671. we have yet to see any instance of a non-experimental virus in that
  672. environment.  Someone with sufficient knowledge and access to write an
  673. effective virus would be more likely to conduct other activities than
  674. virus-writing.  Furthermore, the typical form of software sharing in
  675. an Unix environment would not support virus spread.
  676.  
  677. This answer is not meant to imply that viruses are impossible, or that
  678. there aren't security problems in a typical Unix environment -- there
  679. are.  However, true viruses are highly unlikely and should be found
  680. quite readily with normal Unix file integrity procedures.  For more
  681. information on Unix security, see the book "Practical Unix Security"
  682. by Garfinkel and Spafford, O'Reilly & Associates, 1991 (it can be
  683. ordered via e-mail from nuts@ora.com).
  684.  
  685. However, there are special cases for which scanning Unix systems for
  686. non-Unix viruses does make sense.  For example, a Unix system which is
  687. acting as a file server (e.g., PC-NFS) for PC systems is quite capable
  688. of containing PC file infecting viruses that are a danger to PC clients.
  689. Note that, in this example, the UNIX system would be scanned for PC
  690. viruses, not UNIX viruses.
  691.  
  692. Another example is in the case of a 386/486 PC system running Unix,
  693. since this system is still vulnerable to infection by BIOS infectors
  694. such as Stoned and Michelangelo, which are operating system
  695. independent.  (Note that an infection on such a Unix PC system would
  696. probably result in disabling the Unix disk partition(s) from booting.)
  697.  
  698. In addition, a file integrity checker (to detect unauthorized changes
  699. in executable files) on Unix systems is a very good idea.  (One free
  700. program which can do this test, as well as other tests, is the COPS
  701. package, available by anonymous FTP on cert.sei.cmu.edu.)  Unauthorized
  702. file changes on Unix systems are very common, although they usually
  703. are not due to virus activity.
  704.  
  705.  
  706. C7) Why does my anti-viral scanner report an infection only sometimes?
  707.  
  708. There are circumstances where part of a virus exists in RAM without
  709. being active; if your scanner reports a virus in memory only sometimes
  710. it could be due to the operating system buffering disk reads, keeping
  711. disk contents that include a virus in memory (harmlessly) - in which
  712. case it should also find it on disk, or after running another scanner
  713. there may be scan strings left (again harmlessly) in memory.
  714.  
  715.  
  716. C8) Is my disk infected with the Stoned virus ?
  717.  
  718. Of course the answer to this, and many similar questions, is to obtain
  719. a good virus detector.  However, the Stoned virus is one that occurs
  720. often and you may spend a lot of time going through disks looking for
  721. it.  Also, there are several versions of this virus (and similar ones)
  722. that may just possibly escape detection by conventional scanners.
  723.  
  724. Since it is so easy to detect "by hand", it is worth using the CHKDSK
  725. method (mentioned in C2) to make sure it isn't in memory, then looking
  726. at the first 11 bytes in diskettes using your favorite hex disk
  727. editor; what you should look for is the third byte should be "90" hex
  728. for a good diskette, and "00" for an infected diskette (anything else
  729. may or may not imply an infection).  There are even better methods of
  730. determining the presence of such a virus, e.g. contained in the
  731. freeware CHECKOUT program and the shareware SCANBOOT program, but this
  732. is good enough for a quick check.  The advantage of the system is that
  733. it can be a lot faster than running some scanners over the disk, if
  734. there are many to check.  There are disadvantages - the main one being
  735. that a few "good" diskettes, such as "immunized" ones, may show up as
  736. having a virus - in which case you refer them to a better scan before
  737. disinfecting them.
  738.  
  739. A more time-efficient method is to load the SCANBOOT TSR and let it
  740. check diskettes automatically as you access them in the normal way
  741. (e.g. when listing their files).
  742.  
  743.  
  744. C9) I think I have detected a new virus; what do I do?
  745.  
  746. Whenever there is doubt over a virus, you should obtain the latest
  747. versions of several (not just one) major virus scanner. If you use
  748. F-PROT, which has several methods of scanning, try each method in
  749. turn.  The "heuristic" methods in one of these scan methods, and in
  750. several other programs (CHECKOUT and SCANBOOT, for example), can
  751. report a disk or file as being possibly infected, when it is, in fact
  752. perfectly safe (odd, perhaps, but not infected).  If no
  753. string-matching scan finds a virus, but a heuristic program does (or
  754. there are other reasons to suspect the file, e.g. change in size of
  755. files) then it is possible that you have found a new virus, although
  756. the chances are probably greater that it is an odd-but-okay disk or
  757. file.  Start by looking in recent VIRUS-L postings about "known" false
  758. positives, then contact the author of the anti-virus software that
  759. reports it as virus-like.  Read the section explaining what to do if
  760. you think you have found a new virus, and consider using the BOOTID or
  761. CHECKOUT programs to calculate the "hashcode" of the diskette, in the
  762. case of boot sector infectors.
  763.  
  764.  
  765. ===================================
  766. = Section D.    Protection plans  =
  767. ===================================
  768.  
  769. D1) What is the best protection policy for my computer?
  770.  
  771. There is no "best" anti-virus program. In fact, there is no program
  772. that can magically protect you against all viruses. But you can design
  773. a whole anti-virus protection strategy and build multiple layers of
  774. defense. There are three main kinds of anti-virus detectors, plus
  775. several other means of protection (such as hardware write-protect
  776. methods).
  777.  
  778. 1) Monitoring programs; these look for viral activity when it happens,
  779.    such as attempts to write to another executable, reformat the disk,
  780.    etc, etc.  Examples: FluShot+ (PC), and GateKeeper (Macintosh).
  781.  
  782. 2) Scanners. Most look for known virus strings (byte sequences known
  783.    to occur in certain viruses, but hopefully not in good software), but
  784.    some use AI or heuristic techniques to recognize viral code. They may
  785.    also include virus removers. Examples: Dr Solomon's Anti-Virus Toolkit,
  786.    FRISK's F-Prot, McAfee's VIRUSCAN (all PC), Disinfectant (Macintosh).
  787.  
  788. 3) Integrity (change-of-state) checkers. These take a "snapshot" of code,
  789.    and periodically compare code with the original and (what is supposed
  790.    to be) uninfected snapshot. Examples:  V-Analyst (commercial, BRM
  791.    Technologies, Israel) and Integrity Master (shareware), both for the PC.
  792.  
  793. Plus, there are mixtures and variations on these approaches, such as
  794. resident scanners (e.g. VShield, VIRSTOP) and heuristic search
  795. versions (e.g. SCANBOOT).  Of course, only a few examples of each type
  796. were given.  All of them can find their place in the protection
  797. against the computer viruses, but you should appreciate the
  798. limitations of each method, along with system-supplied security
  799. measures that may or may not be helpful in defeating viruses. Ideally,
  800. you would arrange a combination of methods that cover the loopholes
  801. between them.
  802.  
  803. A typical PC installation might include a protection system on the
  804. hard disk's MBR to protect against viruses at load time (ideally this
  805. would be hardware or in BIOS, but software methods such as DiskSecure
  806. and PanSoft's Immunise are pretty good).  This would be followed by
  807. resident virus detectors loaded as part of the machine's startup
  808. (config.sys or autoexec.bat), such as FluShot+ and/or VirStop together
  809. with ScanBoot.  A scanner such as F-Prot or McAfee's scan should be
  810. put into autoexec.bat to look for viruses as you start up, but this
  811. may be a problem if you have a large disk to check (or don't reboot
  812. often enough).  Most importantly, new files should be scanned as they
  813. arrive on the system.  If your system has DR-DOS installed, you should
  814. use the password command to write-protect all system executables and
  815. utilities.  If you have Stacker or SuperStore, you can get some
  816. improved security from these compressed drives, but also a risk that
  817. those viruses stupid enough to directly write to the disk could do
  818. much more damage than normal; using a software write-protect system
  819. (such as provided with Disk Manager or Norton Utilities) may help, but
  820. the best solution (if possible) is to put all executables on a disk of
  821. their own, protected by a hardware read-only system that sounds an
  822. alarm if a write is attempted.
  823.  
  824. If you do use a resident BSI detector or a scan-while-you-copy
  825. detector, it is important to trace back any infected diskette to its
  826. source; the reason why viruses survive so well is that usually you
  827. cannot do this, because the infection is found long after the
  828. infecting diskette has been forgotten with most people's lax scanning
  829. policies.
  830.  
  831. Organizations should devise and implement a careful policy, that may
  832. include a system of vetting new software brought into the building and
  833. free virus detectors for home machines of employees/students/etc who
  834. take work home with them.
  835.  
  836.  
  837. D2) Is it possible to protect a computer system with only software?
  838.  
  839. Not perfectly, however, software defenses can significantly reduce
  840. your risk of being affected by viruses WHEN APPLIED APPROPRIATELY.
  841. All virus defense systems are tools - each with their own capabilities
  842. and limitations.  Learn how your system works and be sure to work
  843. within its limitations.
  844.  
  845. From a software standpoint, a very high level of protection/detection
  846. can be achieved with only software, using a layered approach.
  847.  
  848. 1)  ROM  Bios - password (access control) and selection  of  boot
  849.     disk.  (some may consider this hardware)
  850.  
  851. 2)  Boot sectors - integrity management and change detection
  852.  
  853. 3)  OS  programs  - integrity management  of  existing  programs,
  854.     scanning  of unknown programs.  Requirement of  authentication
  855.     values for any new or transmitted software.
  856.  
  857. 4)  Locks that prevent writing to a fixed or floppy disk.
  858.  
  859. As each layer is added, invasion without detection becomes more
  860. difficult.  However complete protection against any possible attack
  861. cannot be provided without dedicating the computer to pre-existing or
  862. unique tasks.  The international standardization of the world on the
  863. IBM PC architecture is both its greatest asset and its greatest
  864. vulnerability.
  865.  
  866.  
  867. D3) What can be done with hardware protection?
  868.  
  869. Hardware protection can accomplish various things, including: write
  870. protection for hard disk drives, memory protection, monitoring and
  871. trapping unauthorized system calls, etc.  Again, no tool is foolproof.
  872.  
  873. The popular idea of write-protection (see D6) may stop viruses
  874. spreading to the disk that is protected, but doesn't, in itself,
  875. prevent a virus from running.
  876.  
  877.  
  878. D4) Will setting DOS file attributes to READ ONLY protect them from viruses?
  879.  
  880. No. While the Read Only attribute will protect your files from a few
  881. viruses, most simply override it, and infect normally.  So, while
  882. setting executable files to Read Only is not a bad idea, it is
  883. certainly not a thorough protection against viruses!
  884.  
  885.  
  886. D5) Will password/access control systems protect my files from viruses?
  887.  
  888. Some will, some won't.  Many file access control systems for PCs will
  889. do a great deal to guard against existing PC viruses.  A good
  890. operating system (not wishing to start a "Unix vs MSDOS" war!)
  891. combined with use of memory management hardware is best. But they are
  892. not foolproof.
  893.  
  894. The important thing is that they be properly installed and
  895. administered.  (There's a recurring theme here...)
  896.  
  897.  
  898. D6) Will the protection systems in DR-DOS 5 or 6 work against viruses ?
  899.  
  900. Partially. Neither the password file/directory protection available
  901. from DRDOS version 5 onwards, nor the secure disk partitions
  902. introduced in DRDOS 6 are intended to combat viruses, but they do to
  903. some extent. If you have DRDOS, it is very wise to password-protect
  904. your files (to stop accidental damage too), but don't depend on it as
  905. the only means of defense.
  906.  
  907. The use of the password command (e.g. PASSWORD/W:MINE *.EXE *.COM)
  908. will stop more viruses than the plain DOS attribute facility, but that
  909. isn't saying much!  The combination of the password system plus a disk
  910. compression system may be more secure (because to bypass the password
  911. system they must access the disk directly, but under SuperStore or
  912. Stacker the physical disk is meaningless to the virus). There may be
  913. some viruses which, rather than invisibly infecting files on
  914. compressed disks in fact very visibly corrupt the disk.
  915.  
  916. The "secure disk partitions" system introduced with DRDOS 6 may be of
  917. some help against a few viruses that look for DOS partitions on a
  918. disk.  The main use is in stopping people fiddling with (and
  919. infecting) your hard disk while you are away.
  920.  
  921.  
  922. D7) Will a write-protect tab on a floppy disk stop viruses ?
  923.  
  924. In general, yes.  The write-protection on IBM PC (and compatible) and
  925. Macintosh floppy disk drives is implemented in hardware, not software,
  926. so viruses cannot infect a diskette with a properly-functioning
  927. write-protection mechanism is functioning properly.
  928.  
  929. But remember:
  930.  
  931. (a) A computer may have a faulty write-protect system (this happens!)
  932.     - you can test it by trying to copy a file to the diskette.
  933. (b) Someone may have removed the tab for a while, allowing a virus on.
  934. (c) The files may have been infected before the disk was protected.
  935.     Even some diskettes "straight from the factory" have been known to be
  936.     infected in the production processes.
  937.  
  938. So, it is worthwhile to scan even write-protected disks for viruses.
  939.  
  940.  
  941. D8) What is the best way to remove the virus so that downtime is short
  942.     and losses are low?
  943.  
  944. Do the minimum that you must to restore the system to a normal state,
  945. starting with booting the system from a clean diskette. It is very
  946. unlikely you need to "low level reformat" the hard disk!
  947.  
  948. If a disinfecting program will remove the virus, do that.  If not, and
  949. the virus is a program (or file) infector, remove the infected file
  950. and reinstall the software from the original (write-protected) disks.
  951. If the virus is a boot sector infector, you can continue using the
  952. computer with relative safety if you boot it from a clean system
  953. diskette, but it is wise to go through all your diskettes removing
  954. infection, since sooner or later you may be careless and leave a
  955. diskette in the machine when it reboots. Boot sector infectors on PC's
  956. can be cured by a two-step approach of replacing the MBR then using
  957. the SYS command.
  958.  
  959.  
  960. =======================================================
  961. = Section E.    Facts and Fibs about computer viruses =
  962. =======================================================
  963.  
  964. E1) Can "boot sector" viruses like Stoned infect non-bootable floppy disks?
  965.  
  966. Any diskette that has been properly formatted contains an executable
  967. program in the boot sector.  If the diskette is not "bootable," all
  968. that boot sector does is print a message like "Non-system disk or disk
  969. error; replace and strike any key when ready" but it's still
  970. executable and still vulnerable to infection.  If you accidentally
  971. turn your machine on with a "non-bootable" diskette in the drive, and
  972. see that message, it means that any boot virus that may have been on
  973. that diskette *has* run, and has had the chance to infect your hard
  974. drive, or whatever.  So when thinking about viruses, the word
  975. "bootable" (or "non-bootable") is really misleading.  All formatted
  976. diskettes are capable of carrying a virus.
  977.  
  978.  
  979. E2) Can a virus hide in a PC's battery-backed CMOS memory?
  980.  
  981. No.  The CMOS RAM in which system information is stored and backed up
  982. by batteries is ported, not addressable.  That is, in order to get
  983. anything out, you use I/O commands.  So anything stored there is not
  984. directly sitting in memory.  Nothing in a normal machine loads the
  985. data from there and executes it, so a virus that "hid" in the CMOS RAM
  986. would still have to infect an executable object of some kind, in order
  987. to load and execute whatever it had written to CMOS.  A malicious
  988. virus can of course *alter* values in the CMOS as part of its payload,
  989. but it can't spread through, or "hide" itself in, the CMOS.
  990.  
  991.  
  992. E3) Can a virus infect data files?
  993.  
  994. Several viruses (Frodo, Cinderella) contain bugs, which make them
  995. infect non-executable programs. However, in order to spread, the virus
  996. must be executed.  Therefore, the "infected" non-executable files
  997. cannot be sources of infection.
  998.  
  999. However, note that it is not always possible to make a distinct
  1000. difference between executable and non-executable files. One man's code
  1001. is another man's data and vice versa. Several files that are not
  1002. directly executable contain code or data, which is at some time
  1003. executed or interpreted.
  1004.  
  1005. Some examples from the IBM PC world are .OBJ files, libraries, device
  1006. drivers, source files for any compiler or interpreter, macro files
  1007. for some packages like MS Word and Lotus 1-2-3, and many others.
  1008. Currently there are viruses that infect boot sectors, master boot
  1009. sectors, COM files, EXE files, BAT files, and device drivers, although
  1010. any of the objects mentioned above can theoretically be used as an
  1011. infection carrier.  PostScript files can also be used to carry a virus,
  1012. although no currently known virus does that.
  1013.  
  1014.  
  1015. E4) Can viruses spread from one type of computer to another? (e.g.,
  1016.     Amiga to PC), even if they can both read the same format disks,
  1017.     like the Atari ST reading MS-DOS format disks.
  1018.  
  1019. The simple answer is that no currently known viruses can do that.
  1020. Although the disk formats may be the same, the different machines
  1021. interpret the code differently.  For example, the Stoned virus cannot
  1022. infect an ST as the ST cannot execute the virus code in the
  1023. bootsector.  The Stoned virus contains instructions for the 80x86
  1024. family of CPU's that the 680x0-family CPU (Atari ST) can't understand
  1025. or execute.
  1026.  
  1027. The more general answer is that such viruses are possible, but
  1028. unlikely.  Such a virus would be quite a bit larger than current
  1029. viruses and might well be easier to find.  Additionally, the low
  1030. incidence of cross-machine sharing of software means that any such
  1031. virus would be unlikely to spread -- it would be a poor environment
  1032. for virus growth.
  1033.  
  1034.  
  1035. E5) Can mainframe computers be susceptible to computer viruses?
  1036.  
  1037. Yes.  Numerous experiments have shown that computer viruses spread
  1038. very quickly and effectively on mainframe systems.  However, to our
  1039. knowledge, no non-research computer virus has been seen on mainframe
  1040. systems.  (The Internet worm of November 1988 was not a computer virus
  1041. by most definitions, although it definitely had some virus-like
  1042. characteristics.)
  1043.  
  1044. Computer viruses are actually a special case of something else called
  1045. "malicious logic", and other forms of malicious logic -- notably
  1046. Trojan horses -- are far quicker, more effective, and harder to detect
  1047. than computer viruses.  Hence those tend to be used to attack
  1048. mainframe systems, rather than computer viruses.
  1049.  
  1050. For further information on malicious programs on multi-user systems,
  1051. see Matt Bishop's paper, "An Overview of Malicious Logic in a Research
  1052. Environment".  The paper is available via anonymous FTP on
  1053. Dartmouth.edu (129.170.16.4) as "pub/security/mallogic.ps".
  1054.  
  1055.  
  1056. E6) Some people say that disinfecting viruses is a bad idea. Is that true?
  1057.  
  1058. Disinfecting a virus is completely "safe" only if the disinfecting
  1059. process restores the non-infected state of the object completely. That
  1060. is, not only the virus must be removed from the file, but the original
  1061. length of the file must be restored exactly, as well as its time and
  1062. date of last modification, all fields in the header, etc.  Sometimes,
  1063. it is necessary to to be sure that the file is placed on the same
  1064. clusters of the disk that it occupied prior to infection. If this is
  1065. not done, then a program, which uses some kind of self-checking or
  1066. copy protection may stop functioning properly, if at all.
  1067.  
  1068. None of the currently available disinfecting programs do all this. For
  1069. instance, because of the bugs that exist in many viruses, some of the
  1070. information of the original file is destroyed and cannot be recovered.
  1071. Other times, it is even impossible to detect that this information has
  1072. been destroyed and to warn the user.  Furthermore, some viruses
  1073. corrupt information very slightly and in a random way (Nomenklatura,
  1074. Phoenix), so that it is even not possible to tell which files have
  1075. been corrupted.
  1076.  
  1077. Therefore, it is always better to determine the infected objects, and
  1078. to destroy them by replacing them with clean backups. You should try
  1079. to disinfect files only if they contain some valuable data that
  1080. cannot be restored from backups or compiled from their original
  1081. source.
  1082.  
  1083.  
  1084. E7) Can I avoid viruses by avoiding shareware/free software/games?
  1085.  
  1086. No.  There are many documented instances in which commercial "shrink
  1087. wrap" software was inadvertently distributed containing viruses.
  1088. Avoiding shareware, freeware, games, etc., only isolates you from a
  1089. vast collection of software (some of it very good, some of it very
  1090. bad, most of it somewhere in between...).
  1091.  
  1092. The important thing is not to avoid a certain type of software, but to
  1093. be cautious of ANY AND ALL newly acquired software.  Simply scanning
  1094. all new software media for known viruses would be rather effective at
  1095. preventing virus infections, especially when combined with some other
  1096. prevention/detection strategy such as integrity management of
  1097. programs.
  1098.  
  1099.  
  1100. E8) Can MS-DOS Viruses run on Non-DOS machines (e.g., Mac, Amiga)?
  1101.  
  1102. In general, no.  However, on machines running DOS emulators (either
  1103. hardware or software based), DOS viruses - just like any DOS program -
  1104. may function.  These viruses would be subject to the file access
  1105. controls of the host operating system.  An example is when running a
  1106. DOS emulator such as VP/ix under a 386 UNIX environment, DOS
  1107. programs are not permitted access to files which the host UNIX system
  1108. does not allow them to.  Thus, it is important to administer these
  1109. systems carefully.
  1110.  
  1111.  
  1112. =========================================
  1113. = Section F.    Miscellaneous Questions =
  1114. =========================================
  1115.  
  1116. F1) How many different types of viruses are there?
  1117.  
  1118. It is not possible to give an exact number because new viruses are
  1119. being created literally every day. Furthermore, the different
  1120. anti-virus researchers use different criteria to decide whether two
  1121. viruses are different or one and the same.  Some count two viruses as
  1122. two different ones if they differ by at least one bit in their
  1123. non-variable code. Others group the viruses in families and do not
  1124. count the closely related variants in one family as different viruses.
  1125.  
  1126. As of March 1992, there were about 1,200 different IBM PC viruses,
  1127. about 150 Amiga viruses, about 30 Macintosh viruses, several Atari ST
  1128. viruses and a few Apple II viruses.
  1129.  
  1130.  
  1131. F2) How do viruses spread so quickly?
  1132.  
  1133. This is a very complex issue.  Most viruses don't spread very quickly.
  1134. Those that do spread widely are able to do so for a variety of
  1135. reasons.  A large target population (i.e., millions of compatible
  1136. computers) helps...  A large virus population helps...  Vendors whose
  1137. quality assurance mechanisms rely on, for example, outdated scanners
  1138. help...  Users who gratuitously insert new software into their systems
  1139. without making any attempt to test for viruses help...  All of these
  1140. things are factors.
  1141.  
  1142.  
  1143. F3) What is the plural of "virus"?  "Viruses" or "viri" or "virii" or...
  1144.  
  1145. The correct English plural of "virus" is "viruses."  The Latin word is
  1146. a mass noun (like "air"), and there is no correct Latin plural.
  1147. Please use "viruses," and if people use other forms, please don't use
  1148. VIRUS-L/comp.virus to correct them.
  1149.  
  1150.  
  1151. F4) When reporting a virus infection (and looking for assistance), what
  1152.     information should be included?
  1153.  
  1154. People frequently post messages to VIRUS-L/comp.virus requesting
  1155. assistance on a suspected virus problem.  Quite often, the information
  1156. supplied is not sufficient for the various experts on the list to be
  1157. able to help out.  Also note that any such assistance from members of
  1158. the list is provided on a volunteer basis; be grateful for any help
  1159. received.  Try to provide the following information in your requests
  1160. for assistance:
  1161.         - The name of the virus (if known);
  1162.         - The name of the program that detected it;
  1163.         - The version of the program that detected it;
  1164.         - Any other anti-virus software that you are running and
  1165. whether it has been able to detect the virus or not, and if yes, by
  1166. what name did it call it;
  1167.         - Your software and hardware configuration (computer type,
  1168. kinds of disk(ette) drives, amount of memory and configuration
  1169. (extended/expanded/conventional), TSR programs and device drivers
  1170. used, OS version, etc.)
  1171.  
  1172.  
  1173. F5) How often should we upgrade our anti-virus tools to minimize
  1174.     software and labor costs and maximize our protection?
  1175.  
  1176. This is a difficult question to answer.  Antiviral software is a kind
  1177. of insurance, and those type of calculations are difficult.
  1178.  
  1179. There are two things to watch out for here: the general "style" of the
  1180. software, and the signatures which scanners use to identify viruses.
  1181. Scanners should be updated more frequently than other software, and it
  1182. is probably a good idea to have a new set of signatures at least every
  1183. two to three months.
  1184.  
  1185. Some antiviral software looks for changes to programs or specific
  1186. types of viral "activity," and these programs generally claim to be
  1187. good for "all current and future viral programs."  However, even these
  1188. programs cannot guarantee to protect against all future viruses, and
  1189. should probably be upgraded once per year.
  1190.  
  1191. Of course, not every anti-virus product is effective against all (or
  1192. any!) viruses, even if upgraded regularly.  Thus, do *not* depend on
  1193. the fact that you have upgraded your product recently as a guarantee
  1194. that your system is free of viruses!
  1195.  
  1196. =====================================================================
  1197. = Section G.    Specific Virus and Anti-viral software Questions... =
  1198. =====================================================================
  1199.  
  1200.  
  1201. G1) I was infected by the Jerusalem virus and disinfected the infected
  1202.     files with my favorite anti-virus program. However, Wordperfect and
  1203.     some other programs still refuse to work. Why?
  1204.  
  1205. The Jerusalem virus and Wordperfect program combination is an example
  1206. of a virus and program that cannot be completely disinfected by an
  1207. anti-virus tool.  In some cases such as this one, the virus will
  1208. destroy file header information by overwriting it.  The only solution
  1209. is to re-install the programs from clean (non-infected) backups or
  1210. distribution media.  (See question C4.)
  1211.  
  1212.  
  1213. G2) I was told that the Stoned virus displays the text "Your PC is now
  1214.     Stoned" at boot time. I have been infected by this virus several
  1215.     times, but have never seen the message. Why?
  1216.  
  1217. The "original" Stoned message was ".Your PC is now Stoned!", where the
  1218. "." represents the "bell" character (ASCII 7 or "PC speaker beep").
  1219. The message is displayed with a probability of 1 in 8 only when a PC is
  1220. booted from an infected diskette -- when booting from an infected hard
  1221. disk Stoned never displays this message.
  1222.  
  1223. Recently, versions of Stoned with -no message whatsover- or only the
  1224. leading bell character have become very common.  These versions of
  1225. Stoned are likely to go unnoticed by all but the most observant, even
  1226. when regularly booting from infected diskettes.
  1227.  
  1228. Contrary to the information in Patricia Hoffman's VSUM and derivative
  1229. works (apparently including the Central Point Anti-Virus ad's in
  1230. PC-Magazine, et al.), the Stoned virus -does NOT- display the message
  1231. "LEGALISE MARIJUANA", although such a string is quite clearly visible
  1232. in the boot sectors of diskettes infected with the "original" version
  1233. of Stoned in "standard" PC's.
  1234.  
  1235. ====================
  1236. [End of VIRUS-L/comp.virus FAQ]
  1237.  
  1238. ------------------------------
  1239.  
  1240. End of VIRUS-L Digest [Volume 5 Issue 70]
  1241. *****************************************
  1242.