home *** CD-ROM | disk | FTP | other *** search
/ Simtel MSDOS 1992 June / SIMTEL_0692.cdr / msdos / trojanpr / datacure.arc / DATACURE.DOC < prev    next >
Text File  |  1989-10-11  |  9KB  |  151 lines
  1. DOCUMENTATION FOR DATACURE AND DATASTOP
  2.  
  3. This version of these programs is being distributed as shareware in the
  4. public interest.  The author has incurred no little expense trying to
  5. get it out in time.  If you are glad to have these programs, I would be
  6. very glad to have $10 or so. Checks or other forms of exchange should be
  7. made out to Rikki Cate and can be sent to either of the following
  8. addresses:  In America, 9266 S.W. Arapaho Rd., Tualatin, Ore. 97062.  In
  9. Europe, P.O. Box 12956, 1100 AZ Amsterdam, the Netherlands.  Commercial
  10. inquiries:  call 20-981963 in Amsterdam.
  11.  
  12. These programs have been written with great care and precision.  The
  13. author can, however, accept no liability for any damage arising from
  14. their use.  Comments are always welcome and can be addressed via NEABBS
  15. in the Netherlands.  Tel.: 20-717666, Fido 2:280/2, UUCP ...!hp4nl!neabbs.
  16.  
  17. This package should contain three files:  DATACURE.COM, DATASTOP.COM and
  18. DATACURE.DOC.  The programs DATACURE and DATASTOP were written
  19. specifically for the so-called "DATACRIME II" virus.  They are not
  20. intended for other viruses and will not work against them.
  21.  
  22. The program DATASTOP is a memory-resident ('TSR') program that protects
  23. against new infections by DATACRIME II and prevents DATACRIME from
  24. formatting the hard disk.  Once loaded, DATASTOP will provide complete
  25. protection against DATACRIME II.  If an infected program is run, a
  26. warning will appear on the screen and you can choose between aborting
  27. the program or removing the virus.  DATASTOP is 'passive', that is, it
  28. only becomes activated if an infected program is run.  To install it,
  29. simply type 'DATASTOP'.
  30.  
  31. DATACURE searches all files for possible infections.  It can be set to
  32. only generate a status report or to actually erase the virus and repair
  33. the infected file.  DATACURE parameters can be given from the command
  34. line.  For example, type 'DATACURE *.*/R' to search all files in all
  35. subdirectories of all disks and to generate a report of any infections
  36. found, but not to make any changes to the infected files.  Type
  37. 'DATACURE *.*/L' to generate a report and also remove any infections
  38. found.  Type 'DATACURE *.*' to remove any infections, but not to
  39. generate a report.  If you type 'DATACURE' without a command tail,
  40. instructions on the use of the program will appear on the screen.
  41.  
  42. DATACURE can also be instructed only to check specific files, drives, or
  43. subdirectories.  Simply specify the path, file name or drive letter.  If
  44. a path is specified, it must be terminated with a backslash character.
  45. Otherwise DATACURE will think a file is being specified and will report
  46. a 'file not found' error.  Example:  'DATACURE \DOS\'. Note that DATACURE
  47. will produce a DOS error if it is run on a write-protected disk, even if
  48. it is set to only generate a report.  This is because DATACRIME also
  49. infects hidden and system files.  To check for such infections, DATACURE
  50. temporarily changes all file attributes to read/write.  These are
  51. restored to their original settings when the program has finished
  52. checking the files.  DATACURE does not make any alterations to the disk
  53. or any files, other than removing the virus code (if found and if
  54. instructed to do so) and repairing infected files.
  55.  
  56. DATACURE is a highly specialized program that employs a number of
  57. precise techniques for identifying and removing the virus.  In addition,
  58. it attempts (usually successfully) to repair programs that have been
  59. damaged by the virus.  This is particularly difficult in the case of
  60. .EXE files, as the virus contains an unintended bug that can make these
  61. programs unusable, while at the same time permanently destroying vital
  62. information in the program header. DATACURE recovers as much of this
  63. information as possible, then uses clues from the program and from the
  64. virus itself to reconstruct as accurately as possible the information
  65. that cannot be recovered.  In this manner, many .EXE files that have
  66. been infected by the virus can be made usable again.  They may be a
  67. slightly different length than the original versions, and they may
  68. require a little more memory.  This is because a new stack segment has
  69. to be created, and since the original size can no longer be determined,
  70. DATACURE tries to ensure that too much, rather than too little, is made
  71. available.  Certain assumptions and compromises have to be made while
  72. doing this.  In principle, this should not cause problems in the
  73. majority of cases, and most .EXE files repaired in this way ought to
  74. function correctly.  A few may still experience conflicts which will
  75. cause the computer to 'hang' or otherwise behave strangely.  If this
  76. happens, the program is beyond repair.  Delete it and reflect on the
  77. wisdom of maintaining back-up copies.
  78.  
  79. A .COM program that has been repaired by DATACURE will be identical to
  80. the original uninfected program and can be used without fear.  A
  81. disinfected .EXE program cannot normally harm other programs, even if
  82. the repair was not successful.  There is, however, an extremely small
  83. possibility that an unsuccessful repair might cause the odd .EXE program
  84. to write random data over other files or out the ports to external
  85. apparatus, but the risk of this is negligable.  There is also an
  86. extremely small possibility of being struck by lightning.  If unlikely
  87. disasters worry you, disconnect your robots or other external apparatus
  88. before trying the repaired program or run it first on a test system. If
  89. a repaired program works normally, then it is certainly safe to use.  Of
  90. course, it is always better to replace any infected files with original
  91. back-up copies, if they are available. DATACURE's repair function is
  92. included as a service for those cases where there are no back-ups of
  93. valuable programs.  As always, it is included with the usual disclaimer
  94. of responsibility for any damage whatsoever that it might cause.
  95. DATACURE has been written with great care and precision, but you use at
  96. at your own risk.
  97.  
  98. DATACURE searches each file for a virus signature that is always the same.
  99. If it finds this, it obtains data from the infected part of the file and
  100. uses this to decrypt the rest of the virus code.  It then searches for
  101. the DATACRIME announcement which is contained in that code.  If DATACURE
  102. finds the virus signature but cannot find the DATACRIME announcement, it
  103. displays a message that the file is probably infected but cannot be
  104. disinfected.  It does not attempt to alter the file.
  105.  
  106. If the DATACRIME announcement is also found, DATACURE obtains other data
  107. from the virus to enable it to precisely locate the beginning and end
  108. of the virus code and, in the case of .EXE programs, to reconstruct the
  109. file header.  The program is restored to its original state and the virus
  110. code is obliterated.
  111.  
  112. DATACURE includes a number of options.  If a drive, directory or file name
  113. is specified, it will limit its search to the specification.  Wild cards
  114. can also be included in the specification, and If "*.*" is specified,
  115. DATACURE will search all files in all subdirectories on all drives. Since
  116. DATACRIME Only infects files of the .COM and .EXE type, these are the
  117. only extensions allowed in filename specifications and only these file
  118. types are searched.
  119.  
  120. Disks must not be write-protected while DATACURE is searching them. This
  121. will result in an error message.  DATACURE can be set, however, to only
  122. search for the virus but not to make any changes to infected files.
  123. Simply add the "/R" switch at the end of the command line.  This will
  124. cause DATACURE to generate a report of any suspicious files found, but no
  125. attempt will be made to change them.  Use the "/L" switch to have DATACURE
  126. generate a report while also destroying any virus it finds.
  127.  
  128. If either switch is specified, DATACURE will create a log file named
  129. "CRIME.LOG" on the root directory of the default drive.  Any suspicious
  130. or infected files will be written to this log, along with a status report
  131. on DATACURE's success at disinfecting them (if the "/L" switch is used).
  132. If a switch is specified and no log file is created, this means that no
  133. suspicious or infected files were found.  Note that this file will be
  134. overwritten by DATACURE the next time it is run from the same default
  135. drive.  If you want to save it, either rename it or copy it to somewhere
  136. else.  DATACURE also sends a full status report to the screen as it
  137. progresses, regardless of the switches. DATACURE can be aborted at any time
  138. by typing CTRL-C.
  139.  
  140. This program assumes that the DOS ANSI.SYS driver or an equivalent is
  141. installed on your system (usually the case).  If it is not, the program
  142. will still function correctly, but the screen displays will not appear
  143. as neat.
  144.  
  145. DATACURE will eradicate and repair DATACRIME II infections.  It will not
  146. provide protection against new infections, or against DATACRIME's hard
  147. disk format.  Use the companion program "DATASTOP.COM" for that.
  148.  
  149. These programs were originally created by the Amsterdam firm "Hands On"
  150. for the Dutch Personal Computer Magazine. The author is Rikki Cate.
  151.