home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_084.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  29.5 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #84
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Thursday, 16 May 1991    Volume 4 : Issue 84
  9.  
  10. Today's Topics:
  11.  
  12. Re: PC-security/password
  13. re: The Shape of the World (PC)
  14. PKWare ZIP -AV cracked (PC)
  15. Partition Table Viruses (PC)
  16. Virus destroys data at Oxford Univ (England)
  17. VIRUSSUM format
  18. New Boot Infector (PC)
  19. RM_NOINT Virus Remover (PC)
  20. New INNOC (Version 5) (PC)
  21. Revised Product Test - - VIREX-PC, version 1.20 (PC)
  22. Review of Eliminator (PC)
  23.  
  24. VIRUS-L is a moderated, digested mail forum for discussing computer
  25. virus issues; comp.virus is a non-digested Usenet counterpart.
  26. Discussions are not limited to any one hardware/software platform -
  27. diversity is welcomed.  Contributions should be relevant, concise,
  28. polite, etc.  Please sign submissions with your real name.  Send
  29. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  30. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  31. anti-virus, documentation, and back-issue archives is distributed
  32. periodically on the list.  Administrative mail (comments, suggestions,
  33. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  34.  
  35.    Ken van Wyk
  36.  
  37. ----------------------------------------------------------------------
  38.  
  39. Date:    Sat, 11 May 91 09:17:00 -0400
  40. From:    "Ignorance HATES Knowledge..........!!" <ACSMARTIN@EKU.BITNET>
  41. Subject: Re: PC-security/password
  42.  
  43. Resent-From: "A. Andrew Brennan" <BRENNAAA@DUVM.BITNET>
  44.  
  45.      Thought you might be interested in seeing this - don't know if
  46.    you are on this list ...
  47.  
  48.      A. Andrew Brennan
  49.  
  50. {you don't know me from Adam - but he didn't have a belly button ... }
  51.  
  52. - ----------------------------Original message----------------------------
  53.  
  54. I agree that Disk Manager PC is a fantastic product. It uses a boot
  55. block protetcion scheme which doesn't let the user bypass it when they
  56. boot with a floppy disk. It also has some interesting side effects
  57. that may be worth noting --- since this program doesn't allow
  58. modifications to the boot-block of a hard disk -- it tends to inhibit
  59. the reproduction of boot-block type viruses. This program is NOT
  60. marketed by mentioning this -- it simply seems to be an artifact of
  61. the program. I attempted to infect a DMPC protected disk with a LIVE
  62. boot block virus (of the stealth variety) and it just didn't work.
  63.  
  64. Hope that helps a bit!
  65.  
  66. Bob Martin -- Eastern KY U -- Academic Computing
  67. Bitnet: acsmartin@eku
  68.  
  69. ------------------------------
  70.  
  71. Date:    Wed, 15 May 91 17:12:49 -0400
  72. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
  73. Subject: re: The Shape of the World (PC)
  74.  
  75. >From:    microsoft!c-rossgr@uunet.uu.net
  76.  
  77. >Remember that we can't even get the user community (the folks who
  78. >spend their hard earned money to buy my products!) to make backups to
  79. >protect themselves.
  80.  
  81. Partly our fault: we have never taught good hygene to people. I
  82. generally back up my data files as they are created. Since my program
  83. disk is fixed, it is backed up as part of my weekly defrag. True, most
  84. people who have not had losses do not understand backing up - one
  85. reason why we are looking at things like Bernoulli Transportables as
  86. part of out weekly maintenance and CD-ROMS for standardised software,
  87. and have an annual computer security briefing that emphasizes such
  88. things as backups & how to recognize unusual behaviour.
  89.  
  90. >Maximal Protection! That's what the market seems to clamour for.
  91.  
  92. Because part of the education we have failed to provide is what the
  93. risks really are. My opinion is that a good regimen (screening &
  94. briefings) plus an integrity routine that will detect anomalies is
  95. what the general population needs. Detecting intrusion immediately
  96. reduces risks to the point that even quarterly updates (as a scanner
  97. would require) cannot be justified. A linited number of scanners for
  98. the techs and administrators are justifiable both from a maintenance
  99. and a training standpoint.
  100.  
  101. For large corporations, the cost of a site license can be lost in the
  102. noise compared to the cost of trying to administer several thousand
  103. updates (5000 PCs x 10 minutes per update x 4 times per year = 1 2/3
  104. manyears not to mention the distribution nightmare). Much easier to
  105. take a one-time installation hit plus automatic installation at the
  106. warehouse as part of the distribution process.
  107.  
  108. >And the marketing dudes I work with closely at Microcom tell me what
  109. >we can lose a site license because of and where our strong points are:
  110.  
  111. So be the first to offer BIOS level checking & authenticated paths as
  112. part of the boot process.
  113.  
  114. >So, when one of our competitors says "Yes, but do you want to risk
  115. >even the slightest chance of getting infected with this virus if it
  116. >escapes into the wild.", my marketing can respond "Ha! We already
  117. >protect you against that nasty virus!".
  118.  
  119. How about "There are only x ways a virus can get into a system, if it
  120. is a virus we have seen, we will identify it. If it is something else,
  121. we will detect the change and warn the user immediately. Nothing can
  122. identify an unknown virus, but its activity can be detected." Of
  123. course the biggest problem is elimination of false positives but a
  124. dollup of AI should permit the program to learn who is permitted to do
  125. odd things.
  126.  
  127. In my experience, most corporate environments are stable enough to
  128. make the learning period short. In the last year we installed such a
  129. package on many thousands of PCs with nearly every known program and
  130. every OS from DOS 2.x to beta versions of DOS 5 and the major problems
  131. (development machines, Zeniths writing to boot sectors, word processor
  132. quirks) were annoying but relatively easy to solve. Today, when a user
  133. gets a warning screen, it is usually a virus or other "anomaly" that
  134. we needed to know about anyway.
  135.  
  136. As far as what the user wants, quantum economics applies. There are
  137. certain things that are automatic disqualifiers: noticably degraded
  138. performance, insufficient free memory to run programs, excessive false
  139. alarms, failure to detect well known viruses. Only once these step
  140. functions are satisfied will relative merits/demerits such as cost
  141. (no. 1), ease of installation, documentation, & support come into play
  142. on a linear decision basis.
  143.  
  144. Today, the sheer diversity of anti-viral products demonstrates that,
  145. as in pointing devices and user interfaces, the One True Answer has
  146. yet to be found.
  147.  
  148.                     Warmly,
  149.                         Padgett
  150.  
  151. everything herein my own opinion & may or may not have any relation to
  152. reality
  153.  
  154. ------------------------------
  155.  
  156. Date:    Wed, 15 May 91 17:13:00 -0600
  157. From:    Keith Petersen <w8sdz@WSMR-SIMTEL20.ARMY.MIL>
  158. Subject: PKWare ZIP -AV cracked (PC)
  159.  
  160. I have received word from a reliable source that there is now a PKWare
  161. ZIP authentication varification (-AV) cracker going around called
  162. MAKEAV.  It will generate registration numbers so that people can
  163. create their own serialized ZIPs.
  164.  
  165. MAKEAV was apparently used to make the bogus SCANV78.ZIP which was
  166. warned about in a recent posting by McAfee Associates.
  167.  
  168. PKWare has been notified.
  169.  
  170. Keith
  171. - - - -
  172. Keith Petersen
  173. Maintainer of SIMTEL20's MSDOS, MISC and CP/M archives  -  [192.88.110.20]
  174. Internet: w8sdz@WSMR-SIMTEL20.Army.Mil    or    w8sdz@vela.acs.oakland.edu
  175. Uucp: uunet!wsmr-simtel20.army.mil!w8sdz             BITNET: w8sdz@OAKLAND
  176.  
  177. ------------------------------
  178.  
  179. Date:    Wed, 15 May 91 21:39:50 -0230
  180. From:    "Anthony H. Galway" <tony4@garfield.cs.mun.ca>
  181. Subject: Partition Table Viruses (PC)
  182.  
  183.     Our PC labs have been recently become victim of several
  184. partition table viruses, namely Bloody!, Azusa and Stoned.  I find
  185. that McAfee's CLEAN works well on the STONED allowing it to clean the
  186. partition table almost all the time (rarely, though it happens, it
  187. seems to be to far gone and I end up doing a format), but the BLOODY!
  188. virus seems to be a bit more advanced more often than not the CLEAN
  189. program claims that it can not safely remove the virus from the
  190. partition table ... and so ....format C:!
  191.  
  192.     Now am I the absolute soul of niavete by taking this action,
  193. or am I doing the only thing possibly? Is there any better anti-viral
  194. around that can handle partition table problems? If not is there any
  195. way to better protect ourselves.
  196.  
  197.     FYI: We use the latest version of Scan, Vshield, and Clean taken
  198.          from Simtel (we have the site licence), plus we are not
  199.          adverse to getting a better package commercially if it will
  200.          satisfactorally protect us.
  201.  
  202. P.S.     Where can I get a comprehensive list of the effects and symptoms
  203.     of known viruses?
  204.  
  205. I appreciate any help.
  206.  
  207. - -- 
  208. Anthony H Galway            |\_/|    I tried to think up something either
  209. tony4@garfield.cs.mun.ca    (` ')    profound or witty to put here ......
  210. tony@piglet.engr.mun.ca      |"|                 I couldn't.
  211.  
  212. ------------------------------
  213.  
  214. Date:    Thu, 16 May 91 09:09:52 +0100
  215. From:    Anthony Appleyard <XPUM04@prime-a.central-services.umist.ac.uk>
  216. Subject: Virus destroys data at Oxford Univ (England)
  217.  
  218. (from Daily Telegraph (UK national newspaper), Wed 15 May 1991)
  219. [University computer virus wipes out studies]
  220. The work of dozens of students and researchers  at  Oxford  University  has
  221. been  destroyed  by  a  computer  virus.  The  virus  was  brought into the
  222. university on a contaminated floppy disk and  unwittingly  passed  on  from
  223. terminal  to  terminal.  As  a  result, thousands of hours' work were lost,
  224. including several enties theses. The virus had been designed in Spain as  a
  225. protest  against  telephone  charges. Once fed into a computer's memory, it
  226. lay unnoticed, growing each time the machine was switched on. On the  400th
  227. occasion,  it  came to life, garbling everything stored in the computer and
  228. filled the screen with a message in Spanish  saying  "Lower  tariffs,  more
  229. service".  Thames  Valley  police  Fraud  Squad are to link up with Spanish
  230. police to try to trace the culprits, although Det Sgt Gerald Causer said it
  231. was unlikely that any charges could be brought. "Students  and  researchers
  232. move from computer to computer within the university and unwittingly spread
  233. the virus. This is a particularly nasty one and the university is the first
  234. place in Britain where it has been discovered." he said.
  235. {A.Appleyard} (email: APPLEYARD@UK.AC.UMIST), Thu, 16 May 91 09:00:08 BST
  236.  
  237. ------------------------------
  238.  
  239. Date:    Thu, 16 May 91 16:09:14 +0000
  240. From:    kuhnle@ait.physik.uni-tuebingen.de (Volkmar Kuhnle)
  241. Subject: VIRUSSUM format
  242.  
  243. For about half a year, I regularly acquired the new VIRUSSUM.DOC by
  244. Patricia Hoffman. Compliments to Mrs. Hoffman for her excellent and
  245. detailed work!
  246.  
  247. But over the months al lot of new viruses (and strains of existing ones)
  248. have been uncovered, so that VIRUSSUM.DOC grew in size. Since the
  249. current version is about more than 500 K in length, is is getting
  250. harder and harder to find informations about a special virus in
  251. a file of this size, since I have to use a normal editor.
  252.  
  253. I came to the conclusion that an ASCII file is not appropriate for the
  254. distribution of so much data. Therefore I would suggest to supply
  255. future versions as DBF files (dbase format). Database programs which
  256. are able to read DBF files are very common in the PC world. And it
  257. would be much easier to find information about a virus quick in
  258. an DBF file than in an ASCII file.
  259.  
  260. Any suggestions? Please e-amil them to this list, because I want to
  261. start a dioscussion about the distribution of virus information.
  262.  
  263. Volkmar Kuhnle
  264. kuhnle@aitxu2.ait.physik.uni-tuebingen.de
  265.  
  266. ------------------------------
  267.  
  268. Date:    Thu, 16 May 91 02:55:07 -0400
  269. From:    MMCCUNE@sctnve.BITNET
  270. Subject: New Boot Infector (PC)
  271.  
  272. Here is a new boot infector. I have a removal utility called NO_NOINT
  273. that remvoes it. It is will be available on most FTP sites soon. I
  274. have also updated my INNOC utility to INNOC5 to handle this new virus.
  275. ...<MM>.
  276.  
  277.  Noint Virus
  278.  -----------
  279.  (The Furtive Stoned Virus)
  280.  
  281.  
  282.  The Noint Virus was reported by Todd Fisher of Cleveland, OH, in May
  283.  of 1991. This is a furtive Boot Sector infector capable of infecting
  284.  Hard disks as well as diskettes. It was reported that Noint can
  285.  infect Novell networks. The action of Noint is reminiscent of that
  286.  of the Stoned virus. (Stoned is the most prevalent Boot-sector virus
  287.  in the US). Since Noint has, in addition, the ability to hide itself
  288.  -which the Stoned does not-  it's possible that Noint may become even
  289.  more widespread than the Stoned in time.
  290.  
  291.  The virus spreads ONLY by booting (or attempted booting) from an
  292.  infected disk(ette).  If an infected diskette is left in a clean
  293.  machine, and the machine turned off without removing the disk, the
  294.  next time the computer is turned on, the virus will become RAM-
  295.  resident as soon as the machine reads and executes the Boot sector
  296.  of the diskette in Drive A:, even though a "Non-System Disk or Disk
  297.  Error" is issued.  By the time the operator removes the infected
  298.  diskette and presses any key to continue booting, the virus has
  299.  already infected the hard disk. It remains active in RAM, waiting
  300.  for the next diskette to be inserted.  From then on, every time
  301.  the computer is booted from the hard disk, the virus will become
  302.  TSR and continue infecting new diskettes. A simple dir read of a
  303.  diskette is sufficient to infected it. Noint does not infect files.
  304.  
  305.  Like the Stoned, the virus moves a diskette's original Boot Sector
  306.  to Track 1, Sector 3 and and writes itself in the Boot Sector's
  307.  place. In the case of hard disks, it's the Partition Table that
  308.  gets displaced to Track 0, Sector 7; the virus then writes itself
  309.  into its place.
  310.  
  311.  If an infected system is booted from a clean, non-infected system
  312.  diskette, however, the virus will not be active. Files may then be
  313.  copied and disks accessed without fear of infection. This is the
  314.  approach to use when cleaning up an infected system.
  315.  
  316.  The virus checks diskettes to see whether they are already infected
  317.  by itself. If so, it doesn't try to infect them again. This feature
  318.  has been used to develop an immunization program that effectively
  319.  fools the virus into thinking that the immunized diskette is already
  320.  infected, thus preventing infection. The program is included. It will
  321.  immunize fresh diskettes and clean up infected ones, as long as the
  322.  process is carried out on a clean system.
  323.  
  324.  A separate utility is provided to clean up infected hard disks. This
  325.  utility has been tested on DOS systems only. Read the accompanying
  326.  DOC files. Additional work to allow cleaning up the virus in Novell
  327.  systems without lengthy reformatting and reinstallation needs to be
  328.  done.
  329.  
  330.  No manipulation tasks (damaging or otherwise) have been detected.
  331.  However, since the virus stashes away the original Boot Sector of
  332.  infected diskettes to the end of the Directory table, some diskette
  333.  directory entries may be corrupted or overwritten. This may give the
  334.  effect of displaying "unusual" filenames when a dir of the diskette
  335.  is listed.
  336.  
  337.  There are two major differences between the action of the Stoned and
  338.  that of Noint: Noint doesn't use any BIOS calls (INT calls) as such.
  339.  (thus: "No-Int"). Instead, it calls Int 13 by its direct address to do
  340.  all reading/writing to disk.  Therefore, while the Noint virus will
  341.  probably work on most IBM-compatible machines, it may not be able to
  342.  run on all hardware.
  343.  
  344.  The second difference between Noint and the Stoned is that Noint is a
  345.  furtive ("stealth") infector, while the Stoned is not. It hides its
  346.  code on disk as long as it's present in memory.  Again, this is
  347.  accomplished by means of a direct JMP to Int 13 code, causing a
  348.  redirection. If the Boot Sector/Partition Table are examined while
  349.  the Noint virus is in memory, the virus will not allow its code to be
  350.  visualized, will redirect the Read and display instead the original
  351.  Boot Sector which it has stashed away. This furtiveness works on some
  352.  machines but not on all.
  353.  
  354.  A suitable search string for the Noint virus is:
  355.             -------------
  356.  
  357.    FF 2E 0C 01 00 53 51 52 56 57 06 BE 02 00 B8 01 02 B9
  358.    01 00 BB 00 02 0E 07 32 F6 9C 2E FF 1E 0C 01 73 0F 33
  359.  
  360.  The above string contains an instance of bypassing a DOS Int call, as
  361.  well as part of the read-redirection routine, so it should be typical
  362.  of this virus and not cause false alarms. This string should be found
  363.  in all Boot Sectors/Partition Tables of disks infected by it.  If
  364.  desired, either the upper or lower half only of the above string may
  365.  be used with fair reliability to detect the virus.  The string may
  366.  be used with Norton Utilities, or with any of the virus scanners that
  367.  accept replaceable, user-provided search strings, such as IBM's VIRSCAN.
  368.  The characters may need to be reformatted or re-spaced to comply with
  369.  the format requirements of each scanner.
  370.  
  371. - ------------------------------------------------------------------
  372. This file and the attached utilities are provided
  373. as a public service by:
  374.  
  375. CompuService Norwalk
  376. P.O. Box 385
  377. Norwalk, CT 06852
  378. (203) 847-8992
  379.  
  380. May, 1991
  381.  
  382. ------------------------------
  383.  
  384. Date:    Thu, 16 May 91 03:20:57 -0400
  385. From:    MMCCUNE@sctnve.BITNET
  386. Subject: RM_NOINT Virus Remover (PC)
  387.  
  388. [Ed. This program has been sent to the VIRUS-L/comp.virus archives.]
  389.  
  390. RMNOINT - removes the Noint Virus from Hard drives.
  391. - ------
  392.  
  393. - -------------------------------------------------------------------
  394. This program may be freely used by anyone. If you find the program
  395. useful, a donation of $5.00 in US funds is requested. My mailing
  396. address is:
  397.  
  398. Mike McCune
  399. 1100 S. Marietta Pky., Box 9007
  400. Marietta, Ga. USA 30060
  401. - --------------------------------------------------------------------
  402.  
  403. This program will remove a newly discovered partition infector. First,
  404. cold boot (turn the machine off, then on) from a clean, write
  405. protected diskette. Then type
  406.  
  407.         rmvirus <ENTER>
  408.  
  409. You should see one of these messages:
  410.  
  411.  
  412. RMVIRUS messages
  413. - ----------------
  414.  
  415. Virus Removed   - The virus was found and removed from the partition
  416.                   table of the hard disk.
  417.  
  418. Virus not found - The hard disk is not infected or the virus is in
  419.                   memory.
  420.  
  421. Virus can not   - Either the partition record is corrupted or you have
  422. be removed        a new variation of the virus.
  423.  
  424. Read Error      - The program aborted because there was an error read-
  425.                   ing the hard disk. It could also be cause by the
  426.                   Virus being in memory.
  427.  
  428. Write Error     - The program aborted because there was an error
  429.                   writing to the hard disk.
  430.  
  431. - -------------------        Disclaimer       -------------------------
  432.  
  433. When dealing with viruses, there is always a danger of losing programs
  434. or data.  Thus, I offer no warranty on these programs.  They may be
  435. freely distributed as long as they are not altered in any way.  I may
  436. be reached on the FidoNet Virus Echo, on the Ilink Virus and RIME Data
  437. Protection Conferences, and on VIRUS-L.  I can also be reached on
  438. as MMCCUNE@SCTNVE (BitNet) or MMCCUNE@SCTNVE.PEACHNET.EDU (InterNet.)
  439.  
  440. Mike McCune.
  441.  
  442. ------------------------------
  443.  
  444. Date:    Thu, 16 May 91 03:22:34 -0400
  445. From:    MMCCUNE@sctnve.BITNET
  446. Subject: New INNOC (Version 5) (PC)
  447.  
  448. INNOC5 Boot-Virus Immunizer
  449. - --------------------------
  450. (c) Mike McCune 1991 - All rights reserved.
  451.  
  452. - ---------------------------------------------------------------------
  453. If you find this program useful, please send $5.00 in US funds to:
  454.  
  455.   Mike McCune
  456.   1100 S. Marietta Pky., Box 9007
  457.   Marietta, Ga. USA 30060
  458. - ---------------------------------------------------------------------
  459.  
  460. Boot-Sector infectors are among the most prevalent of computer viruses
  461. in the US.  Commercial programs that detect and clean out these viruses
  462. do not confer any immunity, and the same diskettes can be reinfected
  463. at a later date by the same virus.
  464.  
  465. INNOC5 is a general-purpose Boot virus immunizer for diskettes. It will
  466. not only destroy Boot Sector infectors, but will `inoculate' against some
  467. of the more common Boot viruses.  To use it, copy the program to the hard
  468. drive of a clean system, insert the desired diskette in Drive A: and type:
  469.  
  470.                         innoc <ENTER>
  471.  
  472. INNOC5 will immediately destroy any Boot infectors present on the diskette
  473. and will simultaneously immunize it against the following viruses:
  474.  
  475.         Ashar
  476.         Azusa
  477.         Brain
  478.         Disk Killer
  479.         Joshi
  480.         NoInt  (A new one discovered in early May 1991)
  481.         Ping-Pong
  482.         Stoned  (Including the Swedish variant)
  483.  
  484. Diskettes immunized by INNOC5 will not be infected by any of the viruses
  485. against which INNOC5 confers immunity. Such diskettes will be immune to
  486. infection from the viruses that cause most of Boot infections in the US.
  487.  
  488. The immunization is achieved by writing special code sequences into the
  489. Boot Sector.  A side-effect of immunization is that immunized diskettes
  490. can no longer be used as Booting disks.  Since most disks are never used
  491. in that manner, this is not a major problem.  If you should need to make
  492. a diskette bootable again, simply use DOS's SYS.COM (SYS A:.).  This,
  493. however, will destroy the immunization conferred by INNOC5.
  494.  
  495. INNOC5 issues the following messages:
  496. - -----------------------------------
  497.  
  498. Read Error   | An error occured while reading from the diskette. Simply
  499.                run the program again. Usually a hardware/media problem.
  500.  
  501. Write Error  | An error occured writing to the diskette. Same as above.
  502.                Try again.
  503.  
  504. Diskette A:  | Any Boot Sector viruses have been disabled, and the diskette
  505. Innoculated  | is now immunized against infection.
  506.  
  507.  
  508.                         DISCLAIMER
  509.                         ----------
  510. In order to avoid getting sued, I offer no warranty on this or any
  511. other program. I do appreciate suggestions, though. I can be reached
  512. on the ILink and FidoNet virus conferences. I can also be reached
  513. on the RelayNet DataProtect and Virus-L conferences. My BitNet address
  514. is MMCCUNE@SCTNVE and my InterNet address is MMCCUNE@SCTNVE.PEACHNET.
  515. EDU...<MM>.
  516.  
  517. ------------------------------
  518.  
  519. Date:    Wed, 15 May 91 12:42:33 -0700
  520. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  521. Subject: Revised Product Test - - VIREX-PC, version 1.20 (PC)
  522.  
  523. cmcdonal@wsmr-emh03.army.mil (Chris McDonald ASQNC-TWS-R-SO) writes:
  524.  
  525. > part, even though they were under no obligation to do so.  In May 1991 I
  526. > received Version 1.20 directly from Microcom.  This was a surprise since I
  527. > expected to have to pay for any upgrade and because I had not subscribed to
  528. > their annual update service.  A telephone conversation with a Microcom
  529. > represented confirmed that the vendor had chosen to send out the upgrade to a
  530. > registered users free of charge.  I have no idea how long this will continue.
  531.  
  532. Coincidentally, today an update disk from Microcom fell through the
  533. mail slot for me too.  The date on the postmark is May 8, 1991.
  534.  
  535. =============
  536. Vancouver          p1@arkham.wimsey.bc.ca   | "If you do buy a
  537. Institute for      Robert_Slade@mtsg.sfu.ca |  computer, don't
  538. Research into      (SUZY) INtegrity         |  turn it on."
  539. User               Canada V7K 2G6           | Richards' 2nd Law
  540. Security                                    | of Data Security
  541.  
  542. ------------------------------
  543.  
  544. Date:    Tue, 14 May 91 16:26:37 -0700
  545. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  546. Subject: Review of Eliminator (PC)
  547.  
  548.                                Comparison Review
  549.  
  550. Company and product:
  551.  
  552. International Computer Virus Institute
  553. 1257 Siskiyou Boulevard, Suite 179
  554. Ashland, OR   97520
  555. USA
  556. 503-488-3237
  557. 503-482-3284
  558. BBS 503-488-2251
  559. British Computer Virus Research Centre
  560. 12 Guildford Street, Brighton, East Sussex, BN1 3LS, England
  561. Tel: 0273-26105
  562. Joe Hirst
  563. Eliminator/Virus Monitor/Virus Clean, version V1.17, Oct. 1990, Rel B,
  564. also Virus Simulation Suite
  565.  
  566.  
  567. Summary:
  568.  
  569. Resident and manual virus scanning and disinfection, also demonstration
  570. virus simulators.  
  571.  
  572. Cost: range from $190 (single copy with updates) to volume $8.50/CPU
  573. (US)
  574.  
  575. Rating (1-4, 1 = poor, 4 = very good)
  576.       "Friendliness"
  577.             Installation      2
  578.             Ease of use       3
  579.             Help systems      1
  580.       Compatibility           2
  581.       Company
  582.             Stability         
  583.             Support           
  584.       Documentation           3
  585.       Hardware required       4
  586.       Performance             3
  587.       Availability            
  588.       Local Support           
  589.  
  590. General Description:
  591.  
  592. Virus Monitor is a resident scanning program which checks disks as
  593. accessed, and programs when invoked.  Virus Clean is a manual scanner
  594. and disinfector.  The programs are suitable for intermediate users in
  595. the average computing environment.
  596.  
  597. The suite of virus characteristic simulator programs are interesting,
  598. and may be useful in boosting attention in virus awareness training.
  599.  
  600.                   Comparison of features and specifications
  601.  
  602.  
  603.  
  604. User Friendliness
  605.  
  606. Installation
  607.  
  608. The programs are shipped protected, but on a writable disk.  There is no
  609. installation program, as installation consists merely of copying the
  610. files to the system they are to be run on.  Virus Monitor (VM.COM) is a
  611. resident checker, and the user is instructed to add it as the first line
  612. in the AUTOEXEC.BAT file, but no direction is given as to how this is to
  613. be done.
  614.  
  615. The package comes with a printed manual.  There is also a file on disk
  616. (MANUAL.TXT) which is the same information in softcopy.  The disk label
  617. directs the user to type "ICVI" to get information.  Doing this presents
  618. a menu which offers to list onscreen or print out the manual (as well as
  619. the documentation for the virus simulators.)
  620.  
  621. The documentation is brief, but fairly clear aside from the lack of
  622. installation instructions.  There is no discussion of dealing with
  623. pre-existing infections.
  624.  
  625. Ease of use
  626.  
  627. The resident scanner, VM.COM, has no options and, the documentation
  628. suggests, should be started at boot time.  When invoked, it will examine
  629. memory for viral infections, and then go into the background.  (If any
  630. infection is found, the program will disable it.)  As disks are
  631. accessed, VM will examine the boot sector, and will alert the user to
  632. known virus code.  No other action is taken or suggested, the user is
  633. merely prompted to "Press any key to continue."  If an infected program
  634. is called, the program will alert the user and refuse to run the file.
  635.  
  636. The Virus Clean program (VC.COM) accepts command line switches to check
  637. only boot sectors, check only files, check files with specific
  638. extensions, check all files, list files checked, pause when the screen
  639. has filled, output to a file, delete infected files or remove
  640. infections.  The removal option has five sub-options, boot sector only,
  641. .COM ONLY, .EXE only, all and none.  The default settings are stated to
  642. be to check boot sectors, .COM and .EXE files, not to list checked files
  643. and to remove only boot sector and .COM infections.  (This is suggested
  644. by the documentation because of the possible overwriting of overlay
  645. portions of .EXE files.)  However, in testing the program did not
  646. attempt any removal of infections.
  647.  
  648. When removal is attempted on a write protected disk, the program will
  649. generate an error message.
  650.  
  651. The virus simulator programs that come with the disk are amusing, and
  652. can be useful in demonstrating to users the type of activities that
  653. viral programs *may* demonstrate.  I have found that they stimulate
  654. great interest in seminars, but must be used with caution so as not to
  655. suggest that all viral programs demonstrate these, or similar,
  656. characteristics.  (Joe Hirst is to be congratulated on the TSR expertise
  657. that allows Cascade, Ping-Pong/Italian, Oropax and Yankee Doodle to play
  658. simultaneously.  Note that attempts to run Cascade on 386 systems have
  659. not been successful.)
  660.  
  661. Help systems
  662.  
  663. None provided.
  664.  
  665. Compatibility
  666.  
  667. Given the old release date (as supplied), the program finds a
  668. significant number of common viral programs.  Of interest is the fact
  669. that the program checks for variation in known viral strains, and alerts
  670. the user to keep a copy for forwarding to the distributor for study.
  671.  
  672. Company Stability
  673.  
  674. Unknown.
  675.  
  676. Company Support
  677.  
  678. Unknown.
  679.  
  680. Documentation
  681.  
  682. The documentation is brief, in terms of program operation, but clear. 
  683. Over two thirds of the documentation is given to a description of the
  684. operation of the viral programs that the program will detect.  This
  685. section has about the same level of detail as that supplied with FPROT,
  686. but with fewer viral programs listed.
  687.  
  688. Hardware Requirements
  689.  
  690. No special hardware required.
  691.  
  692. Performance
  693.  
  694. Although the program does not match the number of viral programs
  695. detected by some others, the speed of operation ranks with the fastest
  696. scanners tested.
  697.  
  698. Local Support
  699.  
  700. Unknown.
  701.  
  702. Support Requirements
  703.  
  704. Although the program is not very complicated, the lack of automated
  705. installation, the lack of detail in the installation section of the
  706. documentation, and the command line switches used by VC.COM suggest that
  707. novice users will need some assistance.
  708.  
  709. copyright Robert M. Slade, 1991   PCELMNTR.RVW  910514
  710.  
  711.  
  712. =============
  713. Vancouver          p1@arkham.wimsey.bc.ca   | "If you do buy a
  714. Institute for      Robert_Slade@mtsg.sfu.ca |  computer, don't
  715. Research into      (SUZY) INtegrity         |  turn it on."
  716. User               Canada V7K 2G6           | Richards' 2nd Law
  717. Security                                    | of Data Security
  718.  
  719. ------------------------------
  720.  
  721. End of VIRUS-L Digest [Volume 4 Issue 84]
  722. *****************************************
  723.