home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_037.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  18.1 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #37
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Tuesday,  5 Mar 1991    Volume 4 : Issue 37
  9.  
  10. Today's Topics:
  11.  
  12. Protection and AI (PC)
  13. innoc update (PC)
  14. Virex-PC review (PC)
  15. Virucide Review (PC)
  16.  
  17. VIRUS-L is a moderated, digested mail forum for discussing computer
  18. virus issues; comp.virus is a non-digested Usenet counterpart.
  19. Discussions are not limited to any one hardware/software platform -
  20. diversity is welcomed.  Contributions should be relevant, concise,
  21. polite, etc.  Please sign submissions with your real name.  Send
  22. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  23. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  24. anti-virus, documentation, and back-issue archives is distributed
  25. periodically on the list.  Administrative mail (comments, suggestions,
  26. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  27.  
  28.    Ken van Wyk
  29.  
  30. ---------------------------------------------------------------------------
  31.  
  32. Date:    Mon, 04 Mar 91 09:03:42 -0500
  33. From:    padgett%tccslr.dnet@uvs1.orl.mmc.com (A. Padgett Peterson)
  34. Subject: Protection and AI (PC)
  35.  
  36. >From:    Bob Bosen <71435.1777@CompuServe.COM>
  37. >What exactly is AI anyway?
  38.  
  39. An explicit description is not suitable for a general audience, but I
  40. am told that the cows don't mind it a bit.
  41.  
  42. >From:    eldar@lomi.spb.su (Eldar A. Musaev)
  43. >Subject: Re: How to disable boot up from A: (PC)
  44. >That is very simple, if you have only one floppy. Open your computer
  45. >and set DIP switches and cable connections to make A: as B:...
  46.  
  47. I used to think that this would work also but was chagrined (shimatta)
  48. to learn that many PC BIOSes check for floppy A as part of POST and
  49. will generate a "601" error and halt the boot process if drive A does
  50. not respond to the controller.
  51.  
  52. >From:    Bureau de Guerra <PH461A04@VAX1.UMKC.EDU>
  53. >Subject: Mac Viruses vs. PC Viruses: Coding Comparison
  54. >Because of 1,3,4, & 5 vs. 2,  I conclude that programing a mac virus
  55. >is more difficult than programming a pc virus.
  56. >Jonathan E. Oberg  ph461a04@vax1.umkc.edu
  57.  
  58. True, it is probably more difficult for an amateur but orders of
  59. magnatude less than producing a good word processor. Also in the PC, a
  60. user must request a boot/execution of a virus while a MAC will execute
  61. floppy code without being asked. The "scan on floppy insertion" is
  62. possible (and should be a part of any good protection scheme) on the
  63. PC, it just hasn't been done yet (or has it, I am sometimes behind ?).
  64.  
  65. >From:    Bob Bosen <71435.1777@CompuServe.COM>
  66. >Subject: PC-DACS (PC)
  67.  
  68. >two different versions I tested during 1988 and again in 1990 yielded
  69. >easily to attacks using only readily- available software tools brought
  70. >in on a bootable diskette.... Without hardware modification,
  71. >only ENCRYPTION can provide any kind of real security.
  72.  
  73. >...and those few that are strong enough to enforce true security are
  74. >based on ENCRYPTION or HARDWARE or BOTH.
  75.  
  76. Yup, confidentiality can be preserved with encryption, but only
  77. hardware can protect from destruction (if there is no FAT, it isn't
  78. DOS). However, the same software that redirects tables can also
  79. disallow writing to them.  The question is one of risk vs cost just
  80. like the fact that experiments I have been making can be defeated
  81. easily manually if it is known to be there. Easy for a skilled person
  82. but very difficult for software unless directly targetted.  The user
  83. has to decide the level of protection necessary and the price that is
  84. willing to be paid. My point is that a "normal" PC has NO defense and
  85. that quite a good level of protection from malicious software can be
  86. had with "simple" software techniques.
  87.  
  88. Incidently, if a high level of CIA (confidentiality, integrity, &
  89. availability) is needed, Mr. Bosen's products are very good. (personal
  90. opinion).
  91.  
  92.                     Padgett
  93.  
  94. Note to indexer: all paragraphs relate to PC protection with the exception
  95.                  of AI which doesn't relate to anything.
  96.  
  97. ------------------------------
  98.  
  99. Date:    Mon, 04 Mar 91 08:41:34 -0600
  100. From:    James Ford <JFORD@UA1VM.BITNET>
  101. Subject: innoc update (PC)
  102.  
  103. The file "innoc.zip" has been replaced with a new version.  This new
  104. version has the following files in it:
  105.  
  106. innoc.asm  -  Source code   (same code in the other version of innoc.zip)
  107. innoc.com  -  Compiled code
  108. innoc.doc  -  Documentation.
  109. - ----------
  110. Whatever hits the fan will not be evenly distributed.
  111. - ----------
  112. James Ford -  JFORD@UA1VM.UA.EDU, James_Ford@mib.eng.ua.edu
  113.               The University of Alabama (in Tuscaloosa, Alabama)
  114.  
  115. ------------------------------
  116.  
  117. Date:    Thu, 28 Feb 91 15:51:26 -0800
  118. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  119. Subject: Virex-PC review (PC)
  120.  
  121. [Ed. Both of these reviews are now available by anonymous FTP on
  122. cert.sei.cmu.edu in pub/virus-l/docs/reviews, along with the rest of
  123. Rob Slade's (and a few others') reviews.]
  124.  
  125.                         Comparison Review
  126.  
  127. Company and product:
  128.  
  129. Microcom Software Division
  130. 3700-B Lyckan Parkway
  131. Durham, NC   27717
  132. USA
  133. 919-490-1277
  134. Virex-PC, also Virex for Mac - scanner and vaccine
  135.  
  136. Summary:
  137.  
  138. VPCSCAN is the fastest scanning product yet reviewed.  VIREX-PC vaccine
  139. is customizable with multiple options and allows "protection" of
  140. specified files as well as alerts on "formatting" and "program
  141. modification" and is recommended for "expert" users.  Documentation is
  142. an excellent overview of viral and PC operations.
  143.  
  144. Cost   US $99.00
  145.  
  146. Rating (1-4, 1 = poor, 4 = very good)
  147.      "Friendliness"
  148.           Installation   2
  149.           Ease of use    4
  150.           Help systems   2
  151.      Compatibility       3
  152.      Company
  153.           Stability      4
  154.           Support        3
  155.      Documentation       4
  156.      Hardware required   4
  157.      Performance         3
  158.      Availability        4
  159.      Local Support       ?
  160.  
  161. General Description:
  162.  
  163. VPCSCAN is a virus detection and disinfection product.  It will remove
  164. some viri from files or optionally delete the file if it cannot be
  165. disinfected.  Disinfection or deletion is at user control.  VIREXPC is a
  166. "resident" "activity" and "change detection" program which checks for
  167. formatting calls, direct disk writes, TSR initiation, "registration" of
  168. programs, "checksum" changes or program specific (user defined)
  169. prohibited operations.  (During this review, Virex-PC refers to the
  170. whole package, VIREX-PC to the TSR vaccine program only.)
  171.  
  172. Ross Greenburg was one of the first to produce an anti-viral product,
  173. Flu-Shot.  Microcom's Virex product for the Macintosh is also well
  174. established.  SCANDEMO, a "scan only" demonstration product, is
  175. available free of charge on some electronic bulletin board systems.
  176.  
  177. Please, when reading this review, note a built in bias towards Ross
  178. Greeburg's work.           Comparison of features and specifications
  179.  
  180.  
  181.  
  182. User Friendliness
  183.  
  184. Installation
  185.  
  186. Disks shipped write protected.  Documentation stresses the importance of
  187. write protecting the disks, suggests making "working copy" of the
  188. original disk, and checking the computer system with VPCSCAN before
  189. making installation onto the hard disk, but the suggested procedure
  190. could leave the "working copy" infected.
  191.  
  192. Installation requires the Virex-PC diskette in drive A:, regardless of
  193. which drive it is invoked from.  If you wish to install the program onto
  194. a "boot floppy", the diskette to be installed "to" must be in drive B:.
  195.  
  196. Effective installation is impossible without reading the documentation
  197. and understanding the concepts and system configuration thoroughly.  The
  198. documentation is complete and quite clear, but "naive" users may find
  199. the number of functions and features, and the explanations, daunting to
  200. tackle.
  201.  
  202. Subsequent to installation, the "Protection File" can be editted. 
  203. However, the "README" file notes that this should not be done while
  204. VIREX-PC is active, and if you invoke VIREX-PC automatically at boot
  205. time, you will have to boot from a floppy in order to modify your
  206. protection.
  207.  
  208. Ease of use
  209.  
  210. Once installed, the system operates without intervention, unless viral
  211. activity is detected.  The alert screens are clear and informative.  The
  212. decisions necessary, and the usefulness or "hindrance" of the system
  213. depends largely on the installation, which should be "matched" to the
  214. experience of the user.
  215.  
  216. VPCSCAN's screen display shows the files checked individually, but
  217. continues to display the directories checked until the screen is full,
  218. so that a number of directories can be seen at once.  This is much
  219. clearer than the practice of other programs which only display one file
  220. at a time, or only the directories checked, especially given the speed
  221. of VPCSCAN's operation.
  222.  
  223. Help systems
  224.  
  225. Alert screens contain somewhat esoteric, but very complete information
  226. on the activity taking place.  This will be very helpful to expert
  227. users, but even novices will find it easier to make an "informed"
  228. decision on whether or not to allow an operation.
  229.  
  230. Compatibility
  231.  
  232. VPCSCAN, in contrast to the lists known to SCAN and FPROT, finds
  233. relatively few viri.  Those that it does find, however, would likely
  234. account for better than 99% of actual infections.  The manual states
  235. that updates are made quarterly, and that registered users will receive
  236. "notification" of updates.  (According to the registration cards,
  237. updates will be $25 each, or you may receive a year's "subscription" for
  238. $75.)  However, it is now three months (one "quarter") since I
  239. registered my copy, and I have yet to receive any notification.  (It is
  240. possible, although improbable, that this period exactly coincides with
  241. one "update period.")
  242.  
  243. Although one of the standard alerts in the package is for "direct writes
  244. to diskette", and even though the Stoned/New Zealand virus is one which
  245. VPCSCAN will identify (although not disinfect), VIREX-PC was not able to
  246. protect against, and did not warn of, infection by the Stoned virus. 
  247. Although VIREX-PC will make a checksum of disk or diskette boot sectors,
  248. it does not checksum partition boot records.
  249.  
  250. Company Stability
  251.  
  252. Microcom is a stable and diverisfied company, if somewhat samller than a
  253. Lotus or Microsoft.  Virex for the Mac has been around for some time,
  254. although it is not one fo the current "leaders" among Mac antivirals. 
  255. Ross Greenburg was one of the first to write an antiviral program for
  256. MS-DOS (Flu-Shot) and it is still a viable program.
  257.  
  258. Company Support
  259.  
  260. Virex-PC was the third to arrive of all the commercial programs I had
  261. requested for review.  Microcom had no problems with shipping across the
  262. border, although the package did arrive crushed.
  263.  
  264. Note also the lack of update notification for the period specified.
  265.  
  266. Documentation
  267.  
  268. Very good (clear, concise) section on general virus information.
  269.  
  270. The procedure given in the Quick Start section could produce an infected
  271. "working copy" of the Virex-PC disk.
  272.  
  273. The installation "prompts" are no better or worse than others reviewed,
  274. but the documentation explains all options very clearly, both in terms
  275. of the options available, and the reasons for the options.
  276.  
  277. Hardware Requirements
  278.  
  279. There are no special hardware requirements.
  280.  
  281. Performance
  282.  
  283. VPCSCAN is amazingly fast.  File checking is at least twice as fast as
  284. either FPROT or SCAN across all platforms tested.
  285.  
  286. VIREX-PC has more options than other vaccine type programs, as well as
  287. change detection capabilities.  However, although one of the standard
  288. alerts in the package is for "direct writes to diskette", and even
  289. though the Stoned/New Zealand virus is one which VPCSCAN will identify
  290. (although not disinfect), VIREX-PC was not able to protect against, and
  291. did not warn of, infection by the Stoned virus.  Although VIREX-PC will
  292. make a checksum of disk or diskette boot sectors, it does not checksum
  293. partition boot records.
  294.  
  295. Local Support
  296.  
  297. No provisions.
  298.  
  299. Support Requirements
  300.  
  301. The installation and operation of VIREX-PC and VPCSCAN should not be
  302. beyond the average intelligent user who is willing to spend time with
  303. the manual before installation.  However, in supported environments, it
  304. would be best to have the support staff perform installation.
  305.  
  306.                           General Notes
  307.  
  308. Although in many respects a superior product, the inability to prevent
  309. infection by the ubiquitous "Stoned" virus must be seen as a failing. 
  310. However, Virex-PC will detect the "Stoned" virus, and, with some care,
  311. recovery can take place without recourse to other specialised products.
  312.  
  313. copyright Robert M. Slade 1991
  314.  
  315.  
  316. ==============
  317. Vancouver          p1@arkham.wimsey.bc.ca   | "It says 'Hit any
  318. Institute for      Robert_Slade@mtsg.sfu.ca | key to continue.'
  319. Research into      (SUZY) INtegrity         | I can't find the
  320. User               Canada V7K 2G6           | 'Any' key on my
  321. Security                                    | keyboard."
  322.  
  323. ------------------------------
  324.  
  325. Date:    Fri, 01 Mar 91 11:26:44 -0800
  326. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  327. Subject: Virucide Review (PC)
  328.  
  329.                         Comparison Review
  330.  
  331. Company and product:
  332.  
  333. Parsons Technology
  334. 375 Collins Road NE
  335. Cedar Rapids, IA   52402
  336. USA
  337. 319-395-9626
  338. Virucide
  339.  
  340. Summary:
  341.  
  342. Menu driven scanning and disinfecting program, apparently written by
  343. McAfee Associates.  Recommended for novice or intermediate users in non-
  344. critical situations, or as "first line" defence.
  345.  
  346. Cost    US $49.00
  347.  
  348. Rating (1-4, 1 = poor, 4 = very good)
  349.      "Friendliness"
  350.           Installation   
  351.           Ease of use    4
  352.           Help systems   3
  353.      Compatibility       3
  354.      Company
  355.           Stability      2
  356.           Support        4
  357.      Documentation       3
  358.      Hardware required   4
  359.      Performance         3
  360.      Availability        3
  361.      Local Support       ?
  362.  
  363. General Description:
  364.  
  365. A simple and relatively inexpensive virus scanning and disinfecting
  366. program.  The menu driven interface provides a number of useful options,
  367. including on-screen virus information.
  368.  
  369.            Comparison of features and specifications
  370.  
  371.  
  372.  
  373. User Friendliness
  374.  
  375. Installation
  376.  
  377. Installation is clear and straightforward, being simply the copying of
  378. the program and related files to the appropriate disk or area.  Although
  379. the manual indicates installation is to be done from drive A:, it can be
  380. performed from any drive, and to any drive, including floppies. 
  381. Installation takes a longer time than one might think, given the
  382. elementary copying operation, but the installation program is clear and
  383. "well prompted".
  384.  
  385. Ease of use
  386.  
  387. Operation is easier than the manual indicates.  The default settings are
  388. well chosen, and although there are command line switches and options
  389. that can be set on screen, they merely provide alternate avenues to the
  390. same operations.  All options are available as menu items, and the menu
  391. interface provides a sense of being "in command" with all functions at
  392. the user's fingertips.  Prompts are clear and informative.
  393.  
  394. The "3-D windowing", although attractive, does, at times, clutter the
  395. screen and distract from the functionality by overlaying and higlighting
  396. portions of the menus that are not currently being used.
  397.  
  398. Help systems
  399.  
  400. There is no "help" per se, but the program is easy enough to use that
  401. this should not be a problem.  One decided advantage is the "Virus Info"
  402. window, which provides a list of viri, and will bring up two or three
  403. paragraphs of information on selected viri.  While useful to a novice or
  404. intermdiate user, this function does not require extensive disk space,
  405. as it is simply a "boilerplate" expansion of the McAfee VIRINFO.TXT
  406. table which is supplied with the disk.  (Indeed, do not make the mistake
  407. of deleting this file under the impression that it serves no purpose.)
  408.  
  409. Compatibility
  410.  
  411. Virucide will detect all of the most common viri, and is roughly "level"
  412. in that regard to most commercial products, although it lags behind such
  413. scanners as SCAN and FPROT.  Given the association between Virucide and
  414. McAfee Associates, this is rather odd.  (Version 2.0 of Virucide is
  415. dated January 28, 1991, but the copyright date on the VIRINFO.TXT file
  416. is 1989.)  However, a "current" version of Virucide should prove
  417. effective against better than 99% of viri encountered.
  418.  
  419. Company Stability
  420.  
  421. Parson's Technology is a mid sized software distribution house, with a
  422. very wide selection of products.
  423.  
  424. Company Support
  425.  
  426. Of the first group of commercial vendors contacted, Virucide was the
  427. first product actually received for review.  Having received the May
  428. 1990 version in December, I received the January 1991 version in mid
  429. February as a "free upgrade".  I have seen numerous references by users
  430. of other Parsons' products to superior customer service.
  431.  
  432. Documentation
  433.  
  434. The documentation is clear and concise, but at times makes the product
  435. appear to be more difficult to use than is actually the case.  There is
  436. no general discussion of viral operation.
  437.  
  438. Hardware Requirements
  439.  
  440. No special hardware required.
  441.  
  442. Performance
  443.  
  444. As above, Virucide has no particular strengths, or weaknesses, in speed
  445. of operation or numbers of viri detected.
  446.  
  447. Local Support
  448.  
  449. No provisions.
  450.  
  451. Support Requirements
  452.  
  453. For general installation and operation, Virucide should not need any
  454. support.  The novice user should be able to use the system as is, and
  455. the intermediate user will be able to make better use of the options
  456. available.
  457.  
  458.                           General Notes
  459.  
  460. The only advantage that the advanced user will find in Virucide is the
  461. "Virus Info" window as a "ready reference".  However, as a "quick check"
  462. for novice or intermediate users, the product deserves consideration.
  463.  
  464. copyright Robert M. Slade 1991
  465.  
  466.  
  467. ==============
  468. Vancouver          p1@arkham.wimsey.bc.ca   | "It says 'Hit any
  469. Institute for      Robert_Slade@mtsg.sfu.ca | key to continue.'
  470. Research into      (SUZY) INtegrity         | I can't find the
  471. User               Canada V7K 2G6           | 'Any' key on my
  472. Security                                    | keyboard."
  473.  
  474. ------------------------------
  475.  
  476. End of VIRUS-L Digest [Volume 4 Issue 37]
  477. *****************************************
  478.