home *** CD-ROM | disk | FTP | other *** search
/ Simtel MSDOS 1992 December / simtel1292_SIMTEL_1292_Walnut_Creek.iso / msdos / trojnpro / dc89scan.arc / DC89SCAN.DOC next >
Encoding:
Text File  |  1989-09-30  |  19.2 KB  |  388 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.                                        Dc89scan
  11.  
  12.                               DataCrime Virus Detection
  13.  
  14.                           Copyright 1989, Sector Technology
  15.  
  16.                                 Author: Michael Allen
  17.  
  18.  
  19.  
  20.  
  21.  
  22.  
  23.           Introduction:
  24.           -------------
  25.  
  26.           Sector Technology is pleased to provide you with this FREE
  27.           utility that will scan your PC for the presence of the "Columbus
  28.           Day", "Datacrime 1(a) and 1(b)" or "Friday the 13th" virus. You
  29.           are encouraged to make copies of this program and documentation
  30.           to pass along to your friends and workmates. We only ask that you
  31.           keep the package intact and do not modify the program or
  32.           documentation.
  33.  
  34.           We welcome the opportunity to provide you with this utility, we
  35.           cannot, however warrant detection of any other strains other than
  36.           the two we have verified.  We make no warranties implied or
  37.           otherwise and assume no responsibility for any adverse effects
  38.           which may be caused as a result of this software program.  By the
  39.           use of this program, the user accepts responsibility and
  40.           understands that the use is at their own risk.
  41.  
  42.           Sector Technology, headquartered in Falls Church, Virginia, is in
  43.           the business of providing security solutions to both the
  44.           government and corporate organizations.  We are not in the
  45.           business of capitalizing on the fears of a particular virus
  46.           scare.  We specialize in solving problems in computer security
  47.           and classified material handling, both in the collateral and
  48.           special access arenas.
  49.  
  50.           Sector Technology's Computer Security Division offers a complete,
  51.           totally compatible line of computer security products that range
  52.           from a low cost, basic access control, anti-virus, encryption
  53.           product (Port of Entry), up through a mainframe-like
  54.           hardware/software security package (Sentinel) for the IBM
  55.           PC/XT/AT, PS/2 and compatible computer systems.  We also provide
  56.           the ultimate security package for the Macintosh environment
  57.           called Empower. These products are described in more detail
  58.           below.
  59.  
  60.           Instructions:
  61.           -------------
  62.  
  63.           The Dc89scan program performs a very simple and straight forward
  64.           task. It scans all the .COM files on the disk drive you specify
  65.           looking for signs of the two known stains of the DataCrime virus.
  66.  
  67.           To run Dc89scan, enter the program name at the DOS prompt along
  68.           with the disk drive letter and an optional path (if you want to
  69.           check only those files in a particular sub-directory). For
  70.           example, to check all the .COM files on your C: drive, enter:
  71.  
  72.                          Dc89scan C:
  73.  
  74.           Dc89scan will read all the .COM files in all sub-directories on
  75.           the C: drive. If you specify a sub-directory, such as:
  76.  
  77.                          Dc89scan C:\DOS
  78.  
  79.           It will check just the .COM files in the DOS sub-directory and
  80.           any sub-directories within and below the DOS sub-directory.
  81.  
  82.           When you run Dc89scan, it begins its checking. It lists
  83.           the filenames of infected files along the left side of the screen
  84.           as shown below:
  85.  
  86.           ┌────────────────────────────────────────────────────────────────────┐
  87.           │Infected files:     ┌──────────────────────────────────────────────┐│
  88.           │                    │                   DC-SCAN                    ││ 
  89.           │IBMBIO.COM   (1168) │      Copyright 1989, Sector Technology       ││ 
  90.           │CHKDSK.COM   (1280) │                                              ││ 
  91.           │DISKCOPY.COM (1168) │DC-Scan checks all your .COM files for the    ││ 
  92.           │FORMAT.COM   (1168) │DataCrime (Columbus Day) virus.               ││ 
  93.           │MODE.COM     (1168) │It checks for both the '1168' and the '1280'  ││ 
  94.           │PRINT.COM    (1168) │strains. All files listed should be deleted   ││ 
  95.           │EDLIN.COM    (1280) │from your system before October 12!           ││ 
  96.           │                    │                                              ││ 
  97.           │                    │This program is provided free of charge by    ││ 
  98.           │                    │Sector Technology as a service to PC users.   ││ 
  99.           │                    │                                              ││ 
  100.           │                    │Sector Technology is in the security business.││ 
  101.           │                    │Our products are for all levels of business   ││ 
  102.           │                    │and government, including: Port of Entry,     ││ 
  103.           │                    │The Citadel Security System, and The Sentinel ││ 
  104.           │                    │Security System. Please read the documents    ││ 
  105.           │                    │for details, or call: (703) 845-0323.         ││ 
  106.           │                    └──────────────────────────────────────────────┘│ 
  107.       │                                           │
  108.           │                            Sub-directory: DOS                      │      
  109.           │                            File: MORE.COM                          │      
  110.           │                                          │
  111.           │          Press [Shift-PrtSc] to print list of infected files       │ 
  112.           └────────────────────────────────────────────────────────────────────┘
  113.  
  114.           If more than 23 files are infected, Dc89scan will pause to allow
  115.           you to print (PrtSc) the list before clearing the list from the
  116.           screen.
  117.  
  118.           The number in parenthesis by the filename of each infected file
  119.           indicates which strain of the DataCrime virus was found. The
  120.           number refers to the number of bytes added to the .COM file by
  121.           the virus. The two strains are known as the 1168 virus and the
  122.           1280 virus.
  123.  
  124.           The DataCrime virus infects only .COM files. When an infected
  125.           .COM file is executed, the added virus code checks the system
  126.           date. If the current date is after October 12, the virus
  127.           displays:
  128.  
  129.                          DATACRIME VIRUS
  130.                          RELEASED 1 MARCH 1989
  131.  
  132.           It then formats the first eight tracks of the hard disk wiping
  133.           out your master boot record, partition table, and the DOS
  134.           partition boot record. Not a nice thing to have happen!
  135.  
  136.           The virus can infect .COM files on drive C:, D:, A: or B:. It
  137.           skips COMMAND.COM (or any .COM file with a 'D' in the 7th place
  138.           of its filename) and .COM files whose length is less than seven
  139.           bytes.
  140.  
  141.  
  142.           PRODUCT LINE
  143.           ------------
  144.  
  145.           Sector Technology's Computer Security Division offers a complete,
  146.           totally compatible line of computer security products, including:
  147.  
  148.           Port of Entry.  A low cost, non-administrative solution to
  149.           microcomputer security needs.  Access to the system requires a
  150.           verified user name, minimal 6-character password and a project
  151.           name or number.  Port of Entry provides two very strong anti-
  152.           virus programs.  The first, Safeboot, takes over the boot system
  153.           sequence and verifies the boot sector, DOS and command.com are
  154.           clean before the system boots.  It will detect viruses like the
  155.           Brain and Lehigh that infect the boot sector.  The second
  156.           program, Virwatch, is a device driver that monitors access to all
  157.           .COM, .EXE and .SYS files and the boot record and will detect and
  158.           prevent unauthorized modification, deletion or renaming of these
  159.           files.
  160.  
  161.           Port of Entry also provides disklock protection (accessing the
  162.           hard drive by booting from the A drive), file-by-file encryption,
  163.           adjustable automatic logoff with screen blanking, audit trails,
  164.           project billing feature and secure file transmission.  Retail
  165.           price-$75.
  166.  
  167.           Our Sentinel Microcomputer Security System provides the ultimate
  168.           in micro-computer security.  Sentinel is a hardware/software
  169.           security system which has been successfully evaluated by the
  170.           National Security Agency. Sentinel is the only security system to
  171.           be granted a patent by the U.S. Patent and Trademark Office for
  172.           concept and design.  On-board storage of audit trails, encryption
  173.           keys, passwords and access rights' table ensures a tamper proof
  174.           and truly accountable method of tracking system usage and
  175.           authorized access to files. DES or Sector's proprietary algorithm
  176.           is handled via hardware so it is fast and virtually transparent. 
  177.           Encryption can be set globally, by application, by user, or may
  178.           be user selected.  In a network environment, Sentinel encrypts
  179.           and decrypts at the workstation and ensures the confidentiality
  180.           of all files going to and from the LAN file server.  Read only,
  181.           read/write and execute only options ensure proper access to
  182.           specified files.  Protection, audit trails, encryption and
  183.           protection are handled on a file by file basis, not by
  184.           directories or sub-directories.  Two-tier administration allows
  185.           delegation of responsibilities.  Labels are attached to the files
  186.           providing access and other information irrespective of where that
  187.           file is stored.  Sentinel also provides password expiration,
  188.           secure file transmission, automatic logoff, project billing
  189.           feature, copyright protection, memory purging and virus
  190.           protection:
  191.           Retail price - $465; $495 with DES.
  192.  
  193.           The Citadel Microcomputer Security System is the software version
  194.           of Sentinel.  Retail price - $195.
  195.  
  196.           Empower, the security system for the Macintosh world, offers a
  197.           wide range of features. Empower provides transparent encryption,
  198.           handles multi-user environments, provides for multiple access
  199.           levels, optional guest access, hard disk protection and user-
  200.           specified automatic logoff (also doubles as a screen saver). 
  201.           Empower also provides a complete set of controls for floppy,
  202.           internal and external hard disks.
  203.  
  204.           Sector Technology's Security Division offers our proprietary
  205.           Integrated Security Management System (ISMS).  The ISMS is a
  206.           comprehensive, modular, computer-based system that automates most
  207.           security functions in a security office.  ISMS uses bar code
  208.           technology to manage and track U.S. Government classified
  209.           material and personnel access information.  ISMS is written in
  210.           PROGRESS, a top-rated fourth generation language, that provides
  211.           superior portability from PC-DOS personal computers to micros and
  212.           minis running UNIX (XENIX on 286/386 PCs). Host architectures
  213.           include IBM, compatibles, AT&T, NCR, Plexus and the VAX/VMS
  214.           systems.
  215.  
  216.           ISMS is menu driven with on-line help.  We offer automation for
  217.           the following functions:
  218.  
  219.           *  Classified Document Control
  220.           *  Organization Management
  221.           *  Visitor Control
  222.           *  Contract Management
  223.           *  PSQ preparation/Tracking
  224.           *  Storage Container Management
  225.           *  Security Suspense Tracking
  226.           *  Receipt Printing
  227.           *  Guard Tour Management
  228.           *  Personnel Security Records
  229.           *  Printing of DD48's, 49's and 254's
  230.           *  Vehicle Management
  231.           *  Outgoing Visitor Management
  232.           *  Incident/Violation Recording
  233.  
  234.           Sector Technology's Security Operations Division actually staffs
  235.           and runs document and visitor control facilities for many
  236.           Department of Defense agencies and Special Access Programs.  Our
  237.           personnel have clearances and the expertise to guide corporations
  238.           or agencies active in the Defense Industrial Security Program
  239.           through the ins and outs of this complex and ever changing
  240.           program.
  241.  
  242.           Our Professional Services Division provides in-depth experience
  243.           in system analysis, hardware integration and software design.
  244.  
  245.           Our business is Security, and whatever your security needs, we at
  246.           Sector Technology are dedicated to supply your organization with
  247.           the products and services needed to provide solutions.
  248.  
  249.           seminars/training
  250.  
  251.           Sector technology offers comprehensive series of security
  252.           awareness seminars. These seminars may be structured as general
  253.           in nature or designed to address specific security issues
  254.           tailored to your organizational requirements.
  255.  
  256.           Our business is Integrated Security and Systems; Whatever your
  257.           security needs.
  258.  
  259.           For more information on the products and services provided by
  260.           Sector Technology, please contact us at our Corporate
  261.           Headquarters listed below:
  262.  
  263.  
  264.           Sector Technology
  265.           Integrated Security Management
  266.           6 Skyline Place, Suite 900
  267.           5109 Leesburg Pike
  268.           Falls Church, Virginia 22041-3201
  269.           Tel:  (703) 379-1800
  270.           FAX:  (703) 845-0323
  271.  
  272.  
  273.  
  274.  
  275.           Additional products provided by Digital Dispatch, Inc.
  276.           ------------------------------------------------------
  277.            
  278.           DATA PHYSICIAN
  279.           --------------
  280.            
  281.           Data Physician is a set of programs designed to help protect 
  282.           your PC-DOS or MS-DOS computer system from software viruses  and
  283.           logic bombs.  Together, they represent the state-of-the-art  in
  284.           handling these growing threats. 
  285.  
  286.           Most of the Data Physician programs can be used alone or in
  287.           concert, the latter which may result in some harmless overlap in
  288.           protection.  We include several different approaches to virus
  289.           protection so that the user can find an approach that makes sense
  290.           for his or her system configuration and the nature of the
  291.           evolving virus threat. 
  292.            
  293.           Below is a list of the major Data Physician programs, along with
  294.           a brief description.  The installation and use of each program is
  295.           covered in more detail in later sections of this document.  
  296.            
  297.           DATAMD is the original virus protection, detection, and removal
  298.           program.  It allows you to detect whether an unauthorized change
  299.           has occurred in any file or system area on your disk, and also
  300.           allows the removal of most types of viruses from previously
  301.           protected programs. 
  302.            
  303.           NOVIRUS works with the data created by DATAMD and runs virus
  304.           detection in background mode while you perform other tasks on
  305.           your system.  This can be helpful if you have many files to
  306.           monitor or if you want continuous security monitoring of the
  307.           nature that DATAMD provides. 
  308.            
  309.           VirALERT (same as VirWatch, included with Port of Entry) runs
  310.           continually in the background to intercept changes to executable
  311.           and operating system files (.EXE, .COM & .SYS files).  VirALERT
  312.           also watches for changes to the boot record, disk formatting
  313.           attempts, TSR (terminate and stay resident) program
  314.           installations, and other "sneaky" memory techniques used
  315.           primarily by viruses.  Unlike DATAMD, VirALERT catches changes
  316.           before they occur on your system, but cannot remove an already
  317.           present virus.  The choice of which approach makes the most sense
  318.           for your system depends on personal preference and the specifics
  319.           of your system usage.    
  320.            
  321.           SAFEBOOT (also included with Port of Entry) protects your
  322.           operating system files and installs a custom DOS boot record that
  323.           decrypts them into memory as needed.  Many current viruses infect
  324.           the operating system because it provides such a powerful vantage
  325.           point.  SAFEBOOT provides a critical layer of protection that
  326.           should be used whenever possible. 
  327.  
  328.           ANTIGEN allows DATAMD-like virus protection to be installed
  329.           directly onto any executable program.  Each time a protected
  330.           program is run, it checks itself for tampering and is capable of
  331.           removing certain types of viruses on its own.  ANTIGEN is useful
  332.           where the protected program needs to be widely distributed and
  333.           you want it to continue to be protected. 
  334.            
  335.           FILEPEEK allows you to inspect programs for suspicious-looking
  336.           messages.  Many viruses and other villainous programs contain
  337.           messages that are used to taunt the hapless victim after it is
  338.           too late for him or her to prevent damage.  With FILEPEEK, you
  339.           can preview new programs for material that seems out of context
  340.           with their purpose.   
  341.              
  342.           While it is impossible to predict the exact form that a software 
  343.           virus will take, there is one activity common to all viruses: 
  344.           they must write to the disk and change files or system areas in 
  345.           order to "infect".  Data Physician is designed to detect these
  346.           unauthorized changes.  Even intelligent viruses that use file
  347.           compression and/or checksum adjustment to try to hide their
  348.           activity can be detected by the Data Physician algorithms. 
  349.            
  350.           There are four major approaches taken by Data Physician to detect
  351.           or otherwise protect against viral activity: 
  352.            
  353.           1)  The DATAMD and ANTIGEN programs save a "signature" on each
  354.           protected file that consists of a cryptographic checksum plus
  355.           additional proprietary profiling data that allows both the
  356.           detection of a virus-like change, and the ability to remove
  357.           certain types of viruses from the infected file.  Even in cases
  358.           where multiple generations of a virus have infected the same
  359.           file, these programs are normally able to restore the original
  360.           file.  NOVIRUS uses the file protection data generated by DATAMD
  361.           to provide the same features while running in "background" mode
  362.           on your system. 
  363.  
  364.            
  365.           2)  VirALERT intercepts and warns you of attempts to manipulate
  366.           files or system areas.  You can control the conditions under
  367.           which these warnings are generated, and also choose the
  368.           subsequent action to take. 
  369.            
  370.           3)  SAFEBOOT protects the operating system files and customizes
  371.           the boot record.  If any of these files are changed or replaced
  372.           by a virus, the remaining protected files detect and report the
  373.           change. 
  374.            
  375.           4)  FILEPEEK allows you to inspect programs for suspicious
  376.           messages that viruses commonly contain. 
  377.            
  378.            
  379.  
  380.  
  381.  
  382.  
  383.  
  384.  
  385.  
  386.  
  387.  
  388.