home *** CD-ROM | disk | FTP | other *** search
/ Usenet 1994 October / usenetsourcesnewsgroupsinfomagicoctober1994disk1.iso / answers / computer-virus-faq < prev    next >
Internet Message Format  |  1993-12-20  |  86KB

  1. Path: senator-bedfellow.mit.edu!bloom-beacon.mit.edu!pad-thai.aktis.com!pad-thai.aktis.com!not-for-mail
  2. From: "Kenneth R. van Wyk" <krvw@cert.org>
  3. Newsgroups: comp.virus,comp.answers,news.answers
  4. Subject: VIRUS-L/comp.virus Frequently Asked Questions (FAQ)
  5. Supersedes: <computer-virus-faq_753858011@GZA.COM>
  6. Followup-To: comp.virus
  7. Date: 21 Dec 1993 00:00:25 -0500
  8. Organization: CERT Coordination Center
  9. Lines: 1751
  10. Sender: faqserv@security.ov.com
  11. Approved: news-answers-request@MIT.Edu
  12. Expires: 3 Feb 1994 05:00:16 GMT
  13. Message-ID: <computer-virus-faq_756450016@GZA.COM>
  14. Reply-To: <VIRUS-L@Lehigh.edu>
  15. NNTP-Posting-Host: pad-thai.aktis.com
  16. Summary: This posting contains a list of Frequently Asked Questions,
  17.          and their answers, about computer viruses.  It should be read
  18.          by anyone who wishes to post to VIRUS-L/comp.virus.
  19. X-Last-Updated: 1993/02/08
  20. Xref: senator-bedfellow.mit.edu comp.virus:13284 comp.answers:3107 news.answers:16046
  21.  
  22. Archive-name: computer-virus-faq
  23. Last-modified: 18 November 1992, 7:45 AM EST
  24.  
  25.            Frequently Asked Questions on VIRUS-L/comp.virus
  26.              Last Updated: 18 November 1992, 7:45 AM EST
  27.  
  28. ====================
  29. = Preface Section: =
  30. ====================
  31.  
  32. This document is intended to answer the most Frequently Asked
  33. Questions (FAQs) about computer viruses.  As you can see, there are
  34. many of them!  If you are desperately seeking help after recently
  35. discovering what appears to be a virus on your computer, consider
  36. skimming through sections A and B to learn the essential jargon, then
  37. concentrate on section C.
  38.  
  39. If you may have found a new virus, or are not quite sure if some file
  40. or boot sector is infected, it is important to understand the protocol
  41. for raising such questions, e.g. to avoid asking questions that can be
  42. answered in this document, and to avoid sending "live" viruses except
  43. to someone who is responsible (and even then in a safe form!).
  44.  
  45. Above all, remember the time to really worry about viruses is BEFORE
  46. your computer gets one!
  47.  
  48. The FAQ is a dynamic document, which changes as people's questions
  49. change.  Contributions are gratefully accepted -- please e-mail them
  50. to me at krvw@cert.org.  The most recent copy of this FAQ will always
  51. be available on the VIRUS-L/comp.virus archives, including the
  52. anonymous FTP on cert.org (192.88.209.5) in the file:
  53. pub/virus-l/FAQ.virus-l
  54.  
  55. Ken van Wyk, moderator VIRUS-L/comp.virus
  56.  
  57. Primary contributors (in alphabetical order):
  58.     Mark Aitchison <phys169@csc.canterbury.ac.nz>
  59.     Vaughan Bell <vaughan@computing-department.poly-south-west.ac.uk>
  60.     Matt Bishop <matt.bishop@dartmouth.edu>
  61.     Vesselin Bontchev <bontchev@fbihh.informatik.uni-hamburg.de>
  62.     Olivier M.J. Crepin-Leblond <umeeb37@vaxa.cc.ic.ac.uk>
  63.     David Chess <chess@watson.ibm.com>
  64.     John-David Childs <con_jdc@lewis.umt.edu>
  65.     Nick FitzGerald <cctr132@csc.canterbury.ac.nz>
  66.     Claude Bersano-Hayes <hayes@urvax.urich.edu>
  67.     John Kida <jhk@washington.ssds.COM>
  68.     Donald G. Peters <Peters@Dockmaster.NCSC.Mil>
  69.     A. Padgett Peterson <padgett%tccslr.dnet@mmc.com>
  70.     Y. Radai <radai@hujivms.huji.ac.il>
  71.     Rob Slade <rslade@sfu.ca>
  72.     Gene Spafford <spaf@cs.purdue.edu>
  73.     Otto Stolz <rzotto@nyx.uni-konstanz.de>
  74.  
  75. ====================
  76.  
  77.              Questions answered in this document
  78.  
  79. Section A:   Sources of Information and Anti-viral Software
  80.              (Where can I find HELP..!)
  81.  
  82. A1)  What is VIRUS-L/comp.virus?
  83. A2)  What is the difference between VIRUS-L and comp.virus?
  84. A3)  How do I get onto VIRUS-L/comp.virus?
  85. A4)  What are the guidelines for VIRUS-L?
  86. A5)  How can I get back-issues of VIRUS-L?
  87. A6)  What is VALERT-L?
  88. A7)  What are the known viruses, their names, major symptoms and
  89.      possible cures?
  90. A8)  Where can I get free or shareware anti-virus programs?
  91. A9)  Where can I get more information on viruses, etc.?
  92.  
  93.  
  94. Section B:   Definitions
  95.              (What is ...?)
  96.  
  97. B1)  What are computer viruses (and why should I worry about them)?
  98. B2)  What is a Trojan Horse?
  99. B3)  What are the main types of PC viruses?
  100. B4)  What is a stealth virus?
  101. B5)  What is a polymorphic virus?
  102. B6)  What are fast and slow infectors?
  103. B7)  What is a sparse infector?
  104. B8)  What is a companion virus?
  105. B9)  What is an armored virus?
  106. B10) Miscellaneous Jargon and Abbreviations
  107.  
  108.  
  109. Section C:   Virus Detection
  110.              (Is my computer infected?  What do I do?)
  111.  
  112. C1)  What are the symptoms and indications of a virus infection?
  113. C2)  What steps should be taken in diagnosing and identifying viruses?
  114. C3)  What is the best way to remove a virus?
  115. C4)  What does the <insert name here> virus do?
  116. C5)  What are "false positives" and "false negatives"?
  117. C6)  Could an anti-viral program itself be infected?
  118. C7)  Where can I get a virus scanner for my Unix system?
  119. C8)  Why does an antiviral scanner report an infection only sometimes?
  120. C9)  Is my disk infected with the Stoned virus?
  121. C10) I think I have detected a new virus; what do I do?
  122. C11) CHKDSK reports 639K (or less) total memory on my system; am I
  123.      infected?
  124. C12) I have an infinite loop of sub-directories on my hard drive; am I
  125.      infected?
  126.  
  127.  
  128. Section D:   Protection Plans
  129.              (What should I do to prepare against viruses?)
  130.  
  131. D1)  What is the best protection policy for my computer?
  132. D2)  Is it possible to protect a computer system with only software?
  133. D3)  Is it possible to write-protect the hard disk with only software?
  134. D4)  What can be done with hardware protection?
  135. D5)  Will setting DOS file attributes to READ ONLY protect them from
  136.      viruses?
  137. D6)  Will password/access control systems protect my files from
  138.      viruses?
  139. D7)  Will the protection systems in DR DOS work against viruses?
  140. D8)  Will a write-protect tab on a floppy disk stop viruses?
  141. D9)  Do local area networks (LANs) help to stop viruses or do they
  142.      facilitate their spread?
  143. D10) What is the proper way to make backups?
  144.  
  145.  
  146. Section E:    Facts and Fibs about computer viruses
  147.               (Can a virus...?)
  148.  
  149. E1)  Can boot sector viruses infect non-bootable floppy disks?
  150. E2)  Can a virus hide in a PC's CMOS memory?
  151. E3)  Can a virus hide in Extended or in Expanded RAM?
  152. E4)  Can a virus hide in Upper Memory or in High Memory?
  153. E5)  Can a virus infect data files?
  154. E6)  Can viruses spread from one type of computer to another?
  155. E7)  Can DOS viruses run on non-DOS machines (e.g. Mac, Amiga)?
  156. E8)  Can mainframe computers be susceptible to computer viruses?
  157. E9)  Some people say that disinfecting files is a bad idea. Is that
  158.      true?
  159. E10) Can I avoid viruses by avoiding shareware/free software/games?
  160. E11) Can I contract a virus on my PC by performing a "DIR" of an
  161.      infected floppy disk?
  162. E12) Is there any risk in copying data files from an infected floppy
  163.      disk to a clean PC's hard disk?
  164. E13) Can a DOS virus survive and spread on an OS/2 system using the
  165.      HPFS file system?
  166. E14) Under OS/2 2.0, could a virus infected DOS session infect another
  167.      DOS session?
  168. E15) Can normal DOS viruses work under MS Windows?
  169.  
  170.  
  171. Section F:    Miscellaneous Questions
  172.               (I was just wondering...)
  173.  
  174. F1) How many viruses are there?
  175. F2) How do viruses spread so quickly?
  176. F3) What is the plural of "virus"?  "Viruses" or "viri" or "virii" or...
  177. F4) When reporting a virus infection (and looking for assistance), what
  178.     information should be included?
  179. F5) How often should we upgrade our anti-virus tools to minimize
  180.     software and labor costs and maximize our protection?
  181.  
  182.  
  183. Section G:    Specific Virus and Anti-viral software Questions...
  184.  
  185. G1) I was infected by the Jerusalem virus and disinfected the infected
  186.     files with my favorite anti-virus program.  However, Wordperfect
  187.     and some other programs still refuse to work.  Why?
  188. G2) I was told that the Stoned virus displays the text "Your PC is now
  189.     Stoned" at boot time.  I have been infected by this virus several
  190.     times, but have never seen the message.  Why?
  191. G3) I was infected by both Stoned and Michelangelo.  Why has my
  192.     computer became unbootable?  And why, each time I run my favorite
  193.     scanner, does it find one of the viruses and say that it is
  194.     removed, but when I run it again, it says that the virus is still
  195.     there?
  196.  
  197.  
  198. ================================================================
  199. = Section A.   Sources of Information and Anti-viral Software. =
  200. ================================================================
  201.  
  202. A1) What is VIRUS-L/comp.virus?
  203.  
  204. It is a discussion forum with a focus on computer virus issues.  More
  205. specifically, VIRUS-L is an electronic mailing list and comp.virus is
  206. a USENET newsgroup.  Both groups are moderated; all submissions are
  207. sent to the moderator for possible inclusion in the group.  For more
  208. information, including a copy of the posting guidelines, see the file
  209. virus-l.README, available by anonymous FTP on cert.org in the
  210. pub/virus-l directory.  (FTP is the Internet File Transfer Protocol,
  211. and is described in more detail in the monthly VIRUS-L/comp.virus
  212. archive postings - see below.)
  213.  
  214. Note that there have been, from time to time, other USENET
  215. cross-postings of VIRUS-L, including the bit.listserv.virus-l.  These
  216. groups are generally set up by individual site maintainers and are not
  217. as globally accessible as VIRUS-L and comp.virus.
  218.  
  219.  
  220. A2) What is the difference between VIRUS-L and comp.virus?
  221.  
  222. As mentioned above, VIRUS-L is a mailing list and comp.virus is a
  223. newsgroup.  In addition, VIRUS-L is distributed in digest format (with
  224. multiple e-mail postings in one large digest) and comp.virus is
  225. distributed as individual news postings.  However, the content of the
  226. two groups is identical.
  227.  
  228.  
  229. A3) How do I get onto VIRUS-L/comp.virus?
  230.  
  231. Send e-mail to LISTSERV@LEHIGH.EDU stating: "SUB VIRUS-L your-name".
  232. To "subscribe" to comp.virus, simply use your favorite USENET news
  233. reader to read the group (assuming that your site receives USENET
  234. news).
  235.  
  236.  
  237. A4) What are the guidelines for VIRUS-L?
  238.  
  239. The list of posting guidelines is available by anonymous FTP on
  240. cert.org.  See the file pub/virus-l/virus-l.README for the most recent
  241. copy.  In general, however, the moderator requires that discussions
  242. are polite and non-commercial.  (Objective postings of product
  243. availability, product reviews, etc., are fine, but commercial
  244. advertisements are not.)  Also, requests for viruses (binary or
  245. disassembly) are not allowed.  Technical discussions are strongly
  246. encouraged, however, within reason.
  247.  
  248.  
  249. A5) How can I get back-issues of VIRUS-L?
  250.  
  251. VIRUS-L/comp.virus includes a series of archive sites that carry all
  252. the back issues of VIRUS-L, as well as public anti-virus software (for
  253. various computers) and documents.  The back-issues date back to the
  254. group's inception, 21 April 1988.  The list of archive sites is
  255. updated monthly and distributed to the group; it includes a complete
  256. listing of the sites, what they carry, access instructions, as well as
  257. information on how to access FTP sites by e-mail.  The anonymous FTP
  258. archive at cert.org carries all of the VIRUS-L back issues.  See the
  259. file pub/virus-l/README for more information on the cert.org archive
  260. site.
  261.  
  262.  
  263. A6) What is VALERT-L?
  264.  
  265. VALERT-L is a sister group to VIRUS-L, but is intended for virus
  266. alerts and warnings only -- NO DISCUSSIONS.  There is no direct USENET
  267. counterpart to VALERT-L; it is a mailing list only.  All VALERT-L
  268. postings are re-distributed to VIRUS-L/comp.virus later.  This group
  269. is also moderated, but on a much higher priority than VIRUS-L.  The
  270. group is monitored during business hours (East Coast, U.S.A.,
  271. GMT-5/GMT-4); high priority off-hour postings can be made by
  272. submitting to the group and then telephoning the CERT/CC hotline at +1
  273. 412 268 7090 -- instruct the person answering the hotline to call or
  274. page Ken van Wyk.
  275.  
  276. Subscriptions to VALERT-L are handled identically to VIRUS-L --
  277. contact the LISTSERV.
  278.  
  279.  
  280. A7) What are the known viruses, their names, major symptoms and
  281.     possible cures?
  282.  
  283. First of all, the reader must be aware that there is no universally
  284. accepted naming convention for viruses, nor is there any standard
  285. means of testing.  As a consequence nearly ALL viral information is
  286. highly subjective and subject to interpretation and dispute.
  287.  
  288. There are several major sources of information on specific viruses.
  289. Probably the biggest one is Patricia Hoffman's hypertext VSUM.  It
  290. describes only DOS viruses, but almost all of them which are known
  291. at any given time.  Unfortunately, it is regarded by many in the field
  292. as being inaccurate, so we do not advise people to rely solely on it.
  293. It can be downloaded from most major archive sites except SIMTEL20.
  294.  
  295. The second one is the Computer Virus Catalog, published by the Virus
  296. Test Center in Hamburg.  It contains a highly technical description of
  297. computer viruses for several platforms: DOS, Mac, Amiga, Atari ST,
  298. Unix.  Unfortunately, the DOS section is quite incomplete.  The CVC
  299. is available for anonymous FTP from ftp.informatik.uni-hamburg.de
  300. (IP=134.100.4.42), directory pub/virus/texts/catalog.  (A copy of the
  301. CVC is also available by anonymous FTP on cert.org in the
  302. pub/virus-l/docs/vtc directory.)
  303.  
  304. A third source of information is the monthly Virus Bulletin, published
  305. in the UK.  Among other things, it gives detailed technical
  306. information on viruses (see also A9 below).  Unfortunately, it is very
  307. expensive (the subscription price is $395 per year).  US subscriptions
  308. can be obtained by calling 203-431-8720 or writing to 590 Danbury
  309. Road, Ridgefield, CT 06877; for European subscriptions, the number is
  310. +44-235-555139 and the address is: The Quadrant, Abingdon, OX14 3YS,
  311. England.
  312.  
  313. A fourth good source of information on DOS viruses is the "Computer
  314. Viruses" report of the National/International Computer Security
  315. Association.  This is updated regularly, and is fairly complete.
  316. Copies cost approximately $75, and can be ordered by calling +1-
  317. 202-244-7875.  ICSA/NCSA also publishes the monthly "Virus News and
  318. Reviews" and other publications.
  319.  
  320. Another source of information is the documentation of Dr. Solomon's
  321. Anti-Virus ToolKit.  It is more complete than the CVC list, just as
  322. accurate (if not more), but lists only DOS viruses.  However, it is
  323. not available electronically; you must buy his anti-virus package and
  324. the virus information is part of the documentation.
  325.  
  326. Yet another source of information is "Virus News International",
  327. published by S & S International.  And, while not entirely virus-
  328. related, "Computers & Security" provides information on many
  329. aspects of computer security, including viruses.
  330.  
  331. The best source of information available on Apple Macintosh viruses is
  332. the on-line documentation provided with the freeware Disinfectant
  333. program by John Norstad.  This is available at most Mac archive sites.
  334.  
  335.  
  336. A8) Where can I get free or shareware anti-virus programs?
  337.  
  338. The VIRUS-L/comp.virus archive sites carry publicly distributable
  339. anti-virus software products.  See a recent listing of the archive
  340. sites (or ask the moderator for a recent listing) for more information
  341. on these sites.
  342.  
  343. Many freeware/shareware anti-virus programs for DOS are available via
  344. anonymous FTP on WSMR-SIMTEL20.ARMY.MIL (192.88.110.20), in the
  345. directory PD1:<MSDOS.TROJAN-PRO>.  Note that the SIMTEL20 archives
  346. are also "mirrored" at many other anonymous FTP sites, including
  347. oak.oakland.edu (141.210.10.117, pub/msdos/trojan-pro),
  348. wuarchive.wustl.edu (128.252.135.4, /mirrors/msdos/trojan-pro),
  349. and nic.funet.fi (128.214.6.100, /pub/msdos/utilities/trojan-pro).
  350. They can also be obtained via e-mail in uuencoded form from various
  351. TRICKLE sites, especially in Europe.
  352.  
  353. Likewise, Macintosh anti-virus programs can be found on SIMTEL20 in
  354. the PD3:<MACINTOSH.VIRUS> directory.
  355.  
  356. A list of many anti-viral programs, incl. commercial products and one
  357. person's rating of them, can be obtained by anonymous ftp from
  358. cert.org (192.88.209.5) in pub/virus-l/docs/reviews as file
  359. slade.quickref.rvw.
  360.  
  361.  
  362. A9)  Where can I get more information on viruses, etc.?
  363.  
  364. There are four excellent books on computer viruses available that
  365. should cover most of the introductory and technical questions you
  366. might have:
  367.  
  368.     * "Computers Under Attack: Intruders, Worms and Viruses," edited by
  369.    Peter J. Denning, ACM Press/Addison-Wesley, 1990.  This is a book of
  370.    collected readings that discuss computer viruses, computer worms,
  371.    break-ins, legal and social aspects, and many other items related to
  372.    computer security and malicious software.  A very solid, readable
  373.    collection that doesn't require a highly-technical background.
  374.    Price: $20.50.
  375.  
  376.      * "Rogue Programs: Viruses, Worms and Trojan Horses," edited by
  377.    Lance J. Hoffman, Van Nostrand Reinhold, 1990.  This is a book of
  378.    collected readings describing in detail how viruses work, where they
  379.    come from, what they do, etc.  It also has material on worms, trojan
  380.    horse programs, and other malicious software programs.  This book
  381.    focuses more on mechanism and relatively less on social aspects than
  382.    does the Denning book; however, there is an excellent piece by Anne
  383.    Branscomb that covers the legal aspects.  Price: $32.95.
  384.  
  385.      * "A Pathology of Computer Viruses," by David Ferbrache,
  386.    Springer-Verlag, 1992.  This is a recent, in-depth book on the
  387.    history, operation, and effects of computer viruses.  It is one of the
  388.    most complete books on the subject, with an extensive history section,
  389.    a section on Macintosh viruses, network worms, and Unix viruses (if
  390.    they were to exist).
  391.  
  392.      * "A Short Course on Computer Viruses", by Dr. Fred B. Cohen, ASP
  393.    Press, 1990.  This book is by a well-known pioneer in virus research,
  394.    who has also written dozens of technical papers on the subject.  The
  395.    book can be obtained by writing to ASP Press, P.O. Box 81270,
  396.    Pittsburgh, PA 15217.  Price: $24.00.
  397.  
  398. A somewhat dated, but still useful, high-level description of viruses,
  399. suitable for a complete novice without extensive computer background
  400. is in "Computer Viruses: Dealing with Electronic Vandalism and
  401. Programmed Threats," by Eugene H. Spafford, Kathleen A. Heaphy, and
  402. David J. Ferbrache, ADAPSO (Arlington VA), 1989.  ADAPSO is a
  403. computer industry service organization and not a publisher, so the
  404. book cannot be found in bookstores; copies can be obtained directly
  405. from ADAPSO @ +1 703-522-5055).  There is a discount for ADAPSO
  406. members, educators, and law enforcement personnel.  Many people have
  407. indicated they find this a very understandable reference; portions of
  408. it have been reprinted many other places, including Denning &
  409. Hoffman's books (above).
  410.  
  411. It is also worth consulting various publications such as _Computers &
  412. Security_ (which, while not restricted to viruses, contains many of
  413. Cohen's papers) and the _Virus Bulletin_ (published in the UK; its
  414. technical articles are considered good, although there has been much
  415. criticism in VIRUS-L of some of its product evaluations).
  416.  
  417.  
  418. ======================================================
  419. = Section B.   Definitions and General Information   =
  420. ======================================================
  421.  
  422. B1) What are computer viruses (and why should I worry about them)?
  423.  
  424. According to Fred Cohen's well-known definition, a COMPUTER VIRUS is a
  425. computer program that can infect other computer programs by modifying
  426. them in such a way as to include a (possibly evolved) copy of itself.
  427. Note that a program does not have to perform outright damage (such as
  428. deleting or corrupting files) in order to to be called a "virus".
  429. However, Cohen uses the terms within his definition (e.g. "program"
  430. and "modify") a bit differently from the way most anti-virus
  431. researchers use them, and classifies as viruses some things which most
  432. of us would not consider viruses.
  433.  
  434. Many people use the term loosely to cover any sort of program that
  435. tries to hide its (malicious) function and tries to spread onto as
  436. many computers as possible.  (See the definition of "Trojan".)  Be
  437. aware that what constitutes a "program" for a virus to infect may
  438. include a lot more than is at first obvious - don't assume too much
  439. about what a virus can or can't do!
  440.  
  441. These software "pranks" are very serious; they are spreading faster
  442. than they are being stopped, and even the least harmful of viruses
  443. could be fatal.  For example, a virus that stops your computer and
  444. displays a message, in the context of a hospital life-support
  445. computer, could be fatal.  Even those who created the viruses could
  446. not stop them if they wanted to; it requires a concerted effort from
  447. computer users to be "virus-aware", rather than the ignorance and
  448. ambivalence that have allowed them to grow to such a problem.
  449.  
  450.  
  451. B2) What is a Trojan Horse?
  452.  
  453. A TROJAN HORSE is a program that does something undocumented which the
  454. programmer intended, but that the user would not approve of if he knew
  455. about it.  According to some people, a virus is a particular case of a
  456. Trojan Horse, namely one which is able to spread to other programs
  457. (i.e., it turns them into Trojans too).  According to others, a virus
  458. that does not do any deliberate damage (other than merely replicating)
  459. is not a Trojan.  Finally, despite the definitions, many people use
  460. the term "Trojan" to refer only to a *non-replicating* malicious
  461. program, so that the set of Trojans and the set of viruses are
  462. disjoint.
  463.  
  464.  
  465. B3) What are the main types of PC viruses?
  466.  
  467. Generally, there are two main classes of viruses.  The first class
  468. consists of the FILE INFECTORS which attach themselves to ordinary
  469. program files.  These usually infect arbitrary .COM and/or .EXE
  470. programs, though some can infect any program for which execution is
  471. requested, such as .SYS, .OVL, .PRG, & .MNU files.
  472.  
  473. File infectors can be either DIRECT ACTION or RESIDENT.  A direct-
  474. action virus selects one or more other programs to infect each time
  475. the program which contains it is executed.  A resident virus hides
  476. itself somewhere in memory the first time an infected program is
  477. executed, and thereafter infects other programs when *they* are
  478. executed (as in the case of the Jerusalem) or when certain other
  479. conditions are fulfilled.  The Vienna is an example of a direct-action
  480. virus.  Most other viruses are resident.
  481.  
  482. The second category is SYSTEM or BOOT-RECORD INFECTORS: those viruses
  483. which infect executable code found in certain system areas on a disk
  484. which are not ordinary files.   On DOS systems, there are ordinary
  485. boot-sector viruses, which infect only the DOS boot sector, and MBR
  486. viruses which infect the Master Boot Record on fixed disks and the DOS
  487. boot sector on diskettes.  Examples include Brain, Stoned, Empire,
  488. Azusa, and Michelangelo.  Such viruses are always resident viruses.
  489.  
  490. Finally, a few viruses are able to infect both (the Tequila virus is
  491. one example).  These are often called "MULTI-PARTITE" viruses, though
  492. there has been criticism of this name; another name is "BOOT-AND-FILE"
  493. virus.
  494.  
  495. FILE SYSTEM or CLUSTER viruses (e.g. Dir-II) are those which modify
  496. directory table entries so that the virus is loaded and executed
  497. before the desired program is.  Note that the program itself is not
  498. physically altered, only the directory entry is.  Some consider these
  499. infectors to be a third category of viruses, while others consider
  500. them to be a sub-category of the file infectors.
  501.  
  502.  
  503. B4) What is a stealth virus?
  504.  
  505. A STEALTH virus is one which hides the modifications it has made in
  506. the file or boot record, usually by monitoring the system functions
  507. used by programs to read files or physical blocks from storage media,
  508. and forging the results of such system functions so that programs
  509. which try to read these areas see the original uninfected form of the
  510. file instead of the actual infected form. Thus the viral modifications
  511. go undetected by anti-viral programs.  However, in order to do this,
  512. the virus must be resident in memory when the anti-viral program is
  513. executed.
  514.  
  515. Example: The very first DOS virus, Brain, a boot-sector infector,
  516. monitors physical disk I/O and re-directs any attempt to read a
  517. Brain-infected boot sector to the disk area where the original boot
  518. sector is stored.  The next viruses to use this technique were the
  519. file infectors Number of the Beast and Frodo (= 4096 = 4K).
  520.  
  521. Countermeasures: A "clean" system is needed so that no virus is
  522. present to distort the results.  Thus the system should be built from
  523. a trusted, clean master copy before any virus-checking is attempted;
  524. this is "The Golden Rule of the Trade."  With DOS, (1) boot from
  525. original DOS diskettes (i.e. DOS Startup/Program diskettes from a
  526. major vendor that have been write-protected since their creation);
  527. (2) use only tools from original diskettes until virus-checking has
  528. completed.
  529.  
  530.  
  531. B5) What is a polymorphic virus?
  532.  
  533. A POLYMORPHIC virus is one which produces varied (yet fully
  534. operational) copies of itself, in the hope that virus scanners (see
  535. D1) will not be able to detect all instances of the virus.
  536.  
  537. One method to evade signature-driven virus scanners is self-encryption
  538. with a variable key; however these viruses (e.g. Cascade) are not
  539. termed "polymorphic," as their decryption code is always the same and
  540. thus can be used as a virus signature even by the simplest, signature-
  541. driven virus scanners (unless another virus or program uses the
  542. identical decryption routine).
  543.  
  544. One method to make a polymorphic virus is to choose among a variety of
  545. different encryption schemes requiring different decryption routines:
  546. only one of these routines would be plainly visible in any instance of
  547. the virus (e.g. the Whale virus).  A signature-driven virus scanner
  548. would have to exploit several signatures (one for each possible
  549. encryption method) to reliably identify a virus of this kind.
  550.  
  551. A more sophisticated polymorphic virus (e.g. V2P6) will vary the
  552. sequence of instructions in its copies by interspersing it with
  553. "noise" instructions (e.g. a No Operation instruction, or an
  554. instruction to load a currently unused register with an arbitrary
  555. value), by interchanging mutually independent instructions, or even by
  556. using various instruction sequences with identical net effects (e.g.
  557. Subtract A from A, and Move 0 to A).  A simple-minded, signature-based
  558. virus scanner would not be able to reliably identify this sort of
  559. virus; rather, a sophisticated "scanning engine" has to be constructed
  560. after thorough research into the particular virus.
  561.  
  562. The most sophisticated form of polymorphism discovered so far is the
  563. MtE "Mutation Engine" written by the Bulgarian virus writer who calls
  564. himself the "Dark Avenger".  It comes in the form of an object module.
  565. Any virus can be made polymorphic by adding certain calls to the
  566. assembler source code and linking to the mutation-engine and
  567. random-number-generator modules.
  568.  
  569. The advent of polymorphic viruses has rendered virus-scanning an ever
  570. more difficult and expensive endeavor; adding more and more search
  571. strings to simple scanners will not adequately deal with these
  572. viruses.
  573.  
  574.  
  575. B6) What are fast and slow infectors?
  576.  
  577. A typical file infector (such as the Jerusalem) copies itself to
  578. memory when a program infected by it is executed, and then infects
  579. other programs when they are executed.
  580.  
  581. A FAST infector is a virus which, when it is active in memory, infects
  582. not only programs which are executed, but even those which are merely
  583. opened.  The result is that if such a virus is in memory, running a
  584. scanner or integrity checker can result in all (or at least many)
  585. programs becoming infected all at once.  Examples are the Dark Avenger
  586. and the Frodo viruses.
  587.  
  588. The term "SLOW infector" is sometimes used for a virus which, if it is
  589. active in memory, infects only files as they are modified (or
  590. created).  The purpose is to fool people who use integrity checkers
  591. into thinking that the modification reported by the integrity checker
  592. is due solely to legitimate reasons.  An example is the Darth Vader
  593. virus.
  594.  
  595.  
  596. B7) What is a sparse infector?
  597.  
  598. The term "SPARSE infector" is sometimes given to a virus which
  599. infects only occasionally, e.g. every 10th executed file, or only
  600. files whose lengths fall within a narrow range, etc.  By infecting
  601. less often, such viruses try to minimize the probability of being
  602. discovered by the user.
  603.  
  604.  
  605. B8) What is a companion virus?
  606.  
  607. A COMPANION virus is one which, instead of modifying an existing file,
  608. creates a new program which (unknown to the user) gets executed by the
  609. command-line interpreter instead of the intended program.  (On exit,
  610. the new program executes the original program so that things will
  611. appear normal.)  The only way this has been done so far is by creating
  612. an infected .COM file with the same name as an existing .EXE file.
  613. Note that those integrity checkers which look only for *modifications*
  614. in *existing* files will fail to detect such viruses.
  615.  
  616. (Note that not all researchers consider this type of malicious code
  617. to be a virus, since it does not modify existing files.)
  618.  
  619.  
  620. B9) What is an armored virus?
  621.  
  622. An ARMORED virus is one which uses special tricks to make the tracing,
  623. disassembling and understanding of their code more difficult.  A good
  624. example is the Whale virus.
  625.  
  626.  
  627. B10) Miscellaneous Jargon and Abbreviations
  628.  
  629. BSI = Boot Sector Infector: a virus which takes control when the
  630.  computer attempts to boot (as opposed to a file infector).
  631.  
  632. CMOS = Complementary Metal Oxide Semiconductor: A memory area that is
  633.  used in AT and higher class PCs for storage of system information.
  634.  CMOS is battery backed RAM (see below), originally used to maintain
  635.  date and time information while the PC was turned off.  CMOS memory
  636.  is not in the normal CPU address space and cannot be executed.  While
  637.  a virus may place data in the CMOS or may corrupt it, a virus cannot
  638.  hide there.
  639.  
  640. DOS = Disk Operating System.  We use the term "DOS" to mean any of the
  641.  MS-DOS, PC-DOS, or DR DOS systems for PCs and compatibles, even
  642.  though there are operating systems called "DOS" on other (unrelated)
  643.  machines.
  644.  
  645. MBR = Master Boot Record: the first Absolute sector (track 0, head 0,
  646.  sector 1) on a PC hard disk, that usually contains the partition table
  647.  (but on some PCs may simply contain a boot sector).  This is not the
  648.  same as the first DOS sector (Logical sector 0).
  649.  
  650. RAM = Random Access Memory: the place programs are loaded into in
  651.  order to execute; the significance for viruses is that, to be active,
  652.  they must grab some of this for themselves.  However, some virus
  653.  scanners may declare that a virus is active simply when it is found
  654.  in RAM, even though it might be simply left over in a buffer area of
  655.  RAM rather than truly being active.
  656.  
  657. TOM = Top Of Memory: the end of conventional memory, an architectural
  658.  design limit at the 640K mark on most PCs.  Some early PCs may not
  659.  be fully populated, but the amount of memory is always a multiple of
  660.  64K.  A boot-record virus on a PC typically resides just below this
  661.  mark and changes the value which will be reported for the TOM to the
  662.  location of the beginning of the virus so that it won't get
  663.  overwritten.  Checking this value for changes can help detect a
  664.  virus, but there are also legitimate reasons why it may change (see
  665.  C11).  A very few PCs with unusual memory managers/settings may
  666.  report in excess of 640K.
  667.  
  668. TSR = Terminate but Stay Resident: these are PC programs that stay in
  669.  memory while you continue to use the computer for other purposes;
  670.  they include pop-up utilities, network software, and the great
  671.  majority of viruses.  These can often be seen using utilities such as
  672.  MEM, MAPMEM, PMAP, F-MMAP and INFOPLUS.
  673.  
  674.  
  675. =================================
  676. = Section C.    Virus Detection =
  677. =================================
  678.  
  679. C1)  What are the symptoms and indications of a virus infection?
  680.  
  681. Viruses try to spread as much as possible before they deliver their
  682. "payload", but there can be symptoms of virus infection before this,
  683. and it is important to use this opportunity to spot and eradicate the
  684. virus before any destruction.
  685.  
  686. There are various kinds of symptoms which some virus authors have
  687. written into their programs, such as messages, music and graphical
  688. displays.  However, the main indications are changes in file sizes and
  689. contents, changing of interrupt vectors or the reassignment of other
  690. system resources.  The unaccounted use of RAM or a reduction in the
  691. amount known to be in the machine are important indicators.  The
  692. examination of the code is valuable to the trained eye, but even the
  693. novice can often spot the gross differences between a valid boot
  694. sector and an infected one.  However, these symptoms, along with
  695. longer disk activity and strange behavior from the hardware, can also
  696. be caused by genuine software, by harmless "prank" programs, or by
  697. hardware faults.
  698.  
  699. The only foolproof way to determine that a virus is present is for an
  700. expert to analyze the assembly code contained in all programs and
  701. system areas, but this is usually impracticable.  Virus scanners go
  702. some way towards that by looking in that code for known viruses; some
  703. will even try to use heuristic means to spot viral code, but this is
  704. not always reliable.  It is wise to arm yourself with the latest
  705. anti-viral software, but also to pay close attention to your system;
  706. look particularly for any change in the memory map or configuration as
  707. soon as you start the computer.  For users of DOS 5.0, the MEM program
  708. with the /C switch is very handy for this.  If you have DRDOS, use MEM
  709. with the /A switch; if you have an earlier version, use CHKDSK or the
  710. commonly-available PMAP or MAPMEM utilities.  You don't have to know
  711. what all the numbers mean, only that they change.  Mac users have
  712. "info" options that give some indication of memory use, but may need
  713. ResEdit for more detail.
  714.  
  715.  
  716. C2)  What steps should be taken in diagnosing and identifying viruses?
  717.  
  718. Most of the time, a virus scanner program will take care of that for
  719. you.  (Remember, though, that scanning programs must be kept up to
  720. date.  Also remember that different scanner authors may call the same
  721. virus by different names.  If you want to identify a virus in order to
  722. ask for help, it is best to run at least two scanners on it and, when
  723. asking, say which scanners, and what versions, gave the names.)  To
  724. help identify problems early, run it on new programs and diskettes;
  725. when an integrity checker reports a mismatch, when a generic
  726. monitoring program sounds an alarm; or when you receive an updated
  727. version of a scanner (or a different scanner than the one you have
  728. been using).  However, because of the time required, it is not
  729. generally advisable to insert into your AUTOEXEC.BAT file a command to
  730. run a scanner on an entire hard disk on every boot.
  731.  
  732. If you run into an alarm that the scanner doesn't identify, or
  733. doesn't properly clean up for you, first verify that the version that
  734. you are using is the most recent, and then get in touch with one of
  735. the reputable antivirus researchers, who may ask you to send a copy
  736. of the infected file to him.  See also question C10.
  737.  
  738.  
  739. C3) What is the best way to remove a virus?
  740.  
  741. In order that downtime be short and losses low, do the minimum that
  742. you must to restore the system to a normal state, starting with
  743. booting the system from a clean diskette.  It is very unlikely that
  744. you need to low-level reformat the hard disk!
  745.  
  746. If backups of the infected files are available and appropriate care
  747. was taken when making the backups (see D10), this is the safest
  748. solution, even though it requires a lot of work if many files are
  749. involved.
  750.  
  751. More commonly, a disinfecting program is used.  If the virus is a boot
  752. sector infector, you can continue using the computer with relative
  753. safety if you boot it from a clean system diskette, but it is wise to
  754. go through all your diskettes removing infection, since sooner or
  755. later you may be careless and leave a diskette in the machine when it
  756. reboots.  Boot sector infections on PCs can be cured by a two-step
  757. approach of replacing the MBR (on the hard disk), either by using a
  758. backup or by the FDISK/MBR command (from DOS 5 and up), then using the
  759. SYS command to replace the DOS boot sector.
  760.  
  761.  
  762. C4) What does the <insert name here> virus do?
  763.  
  764. If an anti-virus program has detected a virus on your computer, don't
  765. rush to post a question to this list asking what it does.  First, it
  766. might be a false positive alert (especially if the virus is found only
  767. in one file), and second, some viruses are extremely common, so the
  768. question "What does the Stoned virus do?" or "What does the Jerusalem
  769. virus do?" is asked here repeatedly.  While this list is monitored by
  770. several anti-virus experts, they get tired of perpetually answering
  771. the same questions over and over again.  In any case, if you really
  772. need to know what a particular virus does (as opposed to knowing
  773. enough to get rid of it), you will need a longer treatise than could
  774. be given to you here.
  775.  
  776. For example, the Stoned virus replaces the disk's boot record with its
  777. own, relocating the original to a sector on the disk that may (or may
  778. not) occur in an unused portion of the root directory of a DOS
  779. diskette; when active, it sits in an area a few kilobytes below the
  780. top of memory.  All this description could apply to a number of common
  781. viruses; but the important points of where the original boot sector
  782. goes - and what effect that has on networking software, non-DOS
  783. partitions, and so on are all major questions in themselves.
  784.  
  785. Therefore, it is better if you first try to answer your question
  786. yourself.  There are several sources of information about the known
  787. computer viruses, so please consult one of them before requesting
  788. information publicly.  Chances are that your virus is rather well known
  789. and that it is already described in detail in at least one of these
  790. sources.  (See the answer to question A7, for instance.)
  791.  
  792.  
  793. C5) What are "false positives" and "false negatives"?
  794.  
  795. A FALSE POSITIVE (or Type-I) error is one in which the anti-viral
  796. software claims that a given file is infected by a virus when in
  797. reality the file is clean.  A FALSE NEGATIVE (or Type-II) error is one
  798. in which the software fails to indicate that an infected file is
  799. infected.  Clearly false negatives are more serious than false
  800. positives, although both are undesirable.
  801.  
  802. It has been proven by Dr. Fred Cohen that every virus detector must
  803. have either false positives or false negatives or both.  This is
  804. expressed by saying that detection of viruses is UNDECIDABLE.
  805. However his theorem does not preclude a program which has no false
  806. negatives and *very few* false positives (e.g. if the only false
  807. positives are those due to the file containing viral code which is
  808. never actually executed, so that technically we do not have a virus).
  809.  
  810. In the case of virus scanners, false positives are rare, but they can
  811. arise if the scan string chosen for a given virus is also present in
  812. some benign programs because the string was not well chosen.  False
  813. negatives are more common with virus scanners because scanners will
  814. miss a completely new or a heavily modified virus.
  815.  
  816. One other serious problem could occur: A positive that is misdiagnosed
  817. (e.g., a scanner that detects the Empire virus in a boot record but
  818. reports it as the Stoned).  In the case of a boot sector infector, use
  819. of a Stoned specific "cure" to recover from the Empire could result in
  820. an unreadable disk or loss of extended partitions.  Similarly,
  821. sometimes "generic" recovery can result in unusable files, unless a
  822. check is made (e.g. by comparing checksums) that the recovered file is
  823. identical to the original file.  Some more recent products store
  824. information about the original programs to allow verification of
  825. recovery processes.
  826.  
  827.  
  828. C6) Could an anti-viral program itself be infected?
  829.  
  830. Yes, so it is important to obtain this software from good sources, and
  831. to trust results only after running scanners from a "clean" system.
  832. But there are situations where a scanner appears to be infected when
  833. it isn't.
  834.  
  835. Most antiviral programs try very hard to identify only viral
  836. infections, but sometimes they give false alarms.  If two different
  837. antiviral programs are both of the "scanner" type, they will contain
  838. "signature strings" to identify viral infections.  If the strings are
  839. not "encrypted", then they will be identified as a virus by another
  840. scanner type program.  Also, if the scanner does not remove the
  841. strings from memory after they are run, then another scanner may
  842. detect the virus string "in memory".
  843.  
  844. Some "change detection" type antiviral programs add a bit of code or
  845. data to a program when "protecting" it.  This might be detected by
  846. another "change detector" as a change to a program, and therefore
  847. suspicious.
  848.  
  849. It is good practice to use more than one antiviral program.  Do be
  850. aware, however, that antiviral programs, by their nature, may confuse
  851. each other.
  852.  
  853.  
  854. C7) Where can I get a virus scanner for my Unix system?
  855.  
  856. Basically, you shouldn't bother scanning for Unix viruses at this
  857. point in time.  Although it is possible to write Unix-based viruses,
  858. we have yet to see any instance of a non-experimental virus in that
  859. environment.  Someone with sufficient knowledge and access to write an
  860. effective virus would be more likely to conduct other activities than
  861. virus-writing.  Furthermore, the typical form of software sharing in
  862. an Unix environment would not support virus spread.
  863.  
  864. This answer is not meant to imply that viruses are impossible, or that
  865. there aren't security problems in a typical Unix environment -- there
  866. are.  However, true viruses are highly unlikely and would corrupt file
  867. and/or memory integrity.  For more information on Unix security, see
  868. the book "Practical Unix Security" by Garfinkel and Spafford, O'Reilly
  869. & Associates, 1991 (it can be ordered via e-mail from nuts@ora.com).
  870.  
  871. However, there are special cases for which scanning Unix systems for
  872. non-Unix viruses does make sense.  For example, a Unix system which is
  873. acting as a file server (e.g., PC-NFS) for PC systems is quite capable
  874. of containing PC file infecting viruses that are a danger to PC clients.
  875. Note that, in this example, the UNIX system would be scanned for PC
  876. viruses, not UNIX viruses.
  877.  
  878. Another example is in the case of a 386/486 PC system running Unix,
  879. since this system is still vulnerable to infection by MBR infectors
  880. such as Stoned and Michelangelo, which are operating system
  881. independent.  (Note that an infection on such a Unix PC system would
  882. probably result in disabling the Unix disk partition(s) from booting.)
  883.  
  884. In addition, a file integrity checker (to detect unauthorized changes
  885. in executable files) on Unix systems is a very good idea.  (One free
  886. program which can do this test, as well as other tests, is the COPS
  887. package, available by anonymous FTP on cert.org.)  Unauthorized
  888. file changes on Unix systems are very common, although they usually
  889. are not due to virus activity.
  890.  
  891.  
  892. C8) Why does my anti-viral scanner report an infection only sometimes?
  893.  
  894. There are circumstances where part of a virus exists in RAM without
  895. being active:  If your scanner reports a virus in memory only
  896. occasionally, it could be due to the operating system buffering disk
  897. reads, keeping disk contents that include a virus in memory
  898. (harmlessly), in which case it should also find it on disk.  Or after
  899. running another scanner, there may be scan strings left (again
  900. harmlessly) in memory.  This is sometimes called a "ghost positive"
  901. alert.
  902.  
  903.  
  904. C9) Is my disk infected with the Stoned virus?
  905.  
  906. Of course the answer to this, and many similar questions, is to obtain
  907. a good virus detector.  There are many to choose from, including ones
  908. that will scan diskettes automatically as you use them.  Remember to
  909. check all diskettes, even non-system ("data") diskettes.
  910.  
  911. It is possible, if you have an urgent need to check a system when
  912. you don't have any anti-viral tools, to boot from a clean system
  913. diskette, and use the CHKDSK method (mentioned in C1) to see if it is
  914. in memory, then look at the boot sector with a disk editor.  Usually
  915. the first few bytes will indicate the characteristic far jump of the
  916. Stoned virus; however, you could be looking at a perfectly good disk
  917. that has been "innoculated" against the virus, or at a diskette that
  918. seems safe but contains a totally different type of virus.
  919.  
  920.  
  921. C10) I think I have detected a new virus; what do I do?
  922.  
  923. Whenever there is doubt over a virus, you should obtain the latest
  924. versions of several (not just one) major virus scanners. Some scanning
  925. programs now use "heuristic" methods (F-PROT, CHECKOUT and SCANBOOT
  926. are examples), and "activity monitoring" programs can report a disk or
  927. file as being possibly infected when it is in fact perfectly safe
  928. (odd, perhaps, but not infected).  If no string-matching scan finds a
  929. virus, but a heuristic program does (or there are other reasons to
  930. suspect the file, e.g., change in size of files) then it is possible
  931. that you have found a new virus, although the chances are probably
  932. greater that it is an odd-but-okay disk or file.  Start by looking in
  933. recent VIRUS-L postings about "known" false positives, then contact
  934. the author of the anti-virus software that reports it as virus-like;
  935. the documentation for the software may have a section explaining what
  936. to do if you think you have found a new virus.  Consider using the
  937. BootID or Checkout programs to calculate the "hashcode" of a diskette
  938. in the case of boot sector infectors, rather than send a complete
  939. diskette or "live" virus until requested.
  940.  
  941.  
  942. C11) CHKDSK reports 639K (or less) total memory on my system; am I
  943.      infected?
  944.  
  945. If CHKDSK displays 639K for the total memory instead of 640K (655,360
  946. bytes) - so that you are missing only 1K - then it is probably due to
  947. reasons other than a virus since there are very few viruses which take
  948. only 1K from total memory.  Legitimate reasons for a deficiency of 1K
  949. include:
  950.  
  951. 1) A PS/2 computer.  IBM PS/2 computers reserve 1K of conventional
  952.   RAM for an Extended BIOS Data Area, i.e. for additional data storage
  953.   required by its BIOS.
  954. 2) A computer with American Megatrends Inc. (AMI) BIOS, which is set
  955.   up (with the built-in CMOS setup program) in such a way that the BIOS
  956.   uses the upper 1K of memory for its internal variables.  (It can be
  957.   instructed to use lower memory instead.)
  958. 3) A SCSI controller.
  959. 4) The DiskSecure program.
  960. 5) Mouse buffers for older Compaqs.
  961.  
  962. If, on the other hand, you are missing 2K or more from the 640K, 512K,
  963. or whatever the conventional memory normally is for your PC, the
  964. chances are greater that you have a boot-record virus (e.g. Stoned,
  965. Michelangelo), although even in this case there may be legitimate
  966. reasons for the missing memory:
  967.  
  968. 1) Many access control programs for preventing booting from a floppy.
  969. 2) H/P Vectra computers.
  970. 3) Some special BIOSes which use memory (e.g.) for a built-in calendar
  971.   and/or calculator.
  972.  
  973. However, these are only rough guides.  In order to be more certain
  974. whether the missing memory is due to a virus, you should:
  975. (1) run several virus detectors;
  976. (2) look for a change in total memory every now and then;
  977. (3) compare the total memory size with that obtained when cold booting
  978.   from a "clean" system diskette.  The latter should show the normal
  979.   amount of total memory for your configuration.
  980.  
  981. Note: in all cases, CHKDSK should be run without software such as
  982. MS-Windows or DesqView loaded, since GUIs seem to be able to open DOS
  983. boxes only on whole K boundaries (some seem to be even coarser); thus
  984. CHKDSK run from a DOS box may report unrepresentative values.
  985.  
  986. Note also that some machines have only 512K or 256K instead of 640K of
  987. conventional memory.
  988.  
  989.  
  990. C12) I have an infinite loop of sub-directories on my hard drive; am I
  991.      infected?
  992.  
  993. Probably not.  This happens now and then, when something sets the
  994. "cluster number" field of some subdirectory the same cluster as an
  995. upper-level (usually the root) directory.  The /F parameter of CHKDSK,
  996. and any of various popular utility programs, should be able to fix
  997. this, usually by removing the offending directory.  *Don't* erase any
  998. of the "replicated" files in the odd directory, since that will erase
  999. the "copy" in the root as well (it's really not a copy at all; just a
  1000. second pointer to the same file).
  1001.  
  1002.  
  1003. ===================================
  1004. = Section D.    Protection plans  =
  1005. ===================================
  1006.  
  1007. D1) What is the best protection policy for my computer?
  1008.  
  1009. There is no "best" anti-virus policy.  In particular, there is no
  1010. program that can magically protect you against all viruses.  But you
  1011. can design an anti-virus protection strategy based on multiple layers
  1012. of defense.  There are three main kinds of anti-viral software, plus
  1013. several other means of protection (such as hardware write-protect
  1014. methods).
  1015.  
  1016. 1) GENERIC MONITORING programs.  These try to prevent viral activity
  1017.    before it happens, such as attempts to write to another executable,
  1018.    reformat the disk, etc.
  1019.    Examples: SECURE and FluShot+ (PC), and GateKeeper (Macintosh).
  1020.  
  1021. 2) SCANNERS.  Most look for known virus strings (byte sequences which
  1022.    occur in known viruses, but hopefully not in legitimate software) or
  1023.    patterns, but a few use heuristic techniques to recognize viral
  1024.    code.  A scanner may be designed to examine specified disks or
  1025.    files on demand, or it may be resident, examining each program
  1026.    which is about to be executed.  Most scanners also include virus
  1027.    removers.
  1028.    Examples: FindViru in Dr Solomon's Anti-Virus Toolkit, FRISK's
  1029.    F-Prot, McAfee's VIRUSCAN (all PC), Disinfectant (Macintosh).
  1030.    Resident scanners: McAfee's V-Shield, and VIRSTOP.
  1031.    Heuristic scanners: the Analyse module in FRISK's F-PROT package,
  1032.    and SCANBOOT.
  1033.  
  1034. 3) INTEGRITY CHECKERS or MODIFICATION DETECTORS.  These compute a
  1035.    small "checksum" or "hash value" (usually CRC or cryptographic)
  1036.    for files when they are presumably uninfected, and later compare
  1037.    newly calculated values with the original ones to see if the files
  1038.    have been modified.  This catches unknown viruses as well as known
  1039.    ones and thus provides *generic* detection.  On the other hand,
  1040.    modifications can also be due to reasons other than viruses.
  1041.    Usually, it is up to the user to decide which modifications are
  1042.    intentional and which might be due to viruses, although a few
  1043.    products give the user help in making this decision.  As in the
  1044.    case of scanners, integrity checkers may be called to checksum
  1045.    entire disks or specified files on demand, or they may be resident,
  1046.    checking each program which is about to be executed (the latter is
  1047.    sometimes called an INTEGRITY SHELL).  A third implementation is as
  1048.    a SELF-TEST, i.e. the checksumming code is attached to each
  1049.    executable file so that it checks itself just before execution.
  1050.    Examples: Fred Cohen's ASP Integrity Toolkit (commercial), and
  1051.    Integrity Master and VDS (shareware), all for the PC.
  1052.  
  1053. 3a) A few modification detectors come with GENERIC DISINFECTION.  I.e.,
  1054.    sufficient information is saved for each file that it can be
  1055.    restored to its original state in the case of the great majority
  1056.    of viral infections, even if the virus is unknown.
  1057.    Examples: V-Analyst 3 (BRM Technologies, Israel), marketed in the
  1058.    US as Untouchable (by Fifth Generation), and the VGUARD module of
  1059.    V-care.
  1060.  
  1061. Of course, only a few examples of each type have been given.  All of
  1062. them can find their place in the protection against computer viruses,
  1063. but you should appreciate the limitations of each method, along with
  1064. system-supplied security measures that may or may not be helpful in
  1065. defeating viruses.  Ideally, you would arrange a combination of
  1066. methods that cover the loopholes between them.
  1067.  
  1068. A typical PC installation might include a protection system on the
  1069. hard disk's MBR to protect against viruses at load time (ideally this
  1070. would be hardware or in BIOS, but software methods such as DiskSecure
  1071. and PanSoft's Immunise are pretty good).  This would be followed by
  1072. resident virus detectors loaded as part of the machine's startup
  1073. (CONFIG.SYS or AUTOEXEC.BAT), such as FluShot+ and/or VirStop together
  1074. with ScanBoot.  A scanner such as F-Prot or McAfee's SCAN could be
  1075. put into AUTOEXEC.BAT to look for viruses as you start up, but this
  1076. may be a problem if you have a large disk to check (or don't reboot
  1077. often enough).  Most importantly, new files should be scanned as they
  1078. arrive on the system.  If your system has DR DOS installed, you should
  1079. use the PASSWORD command to write-protect all system executables and
  1080. utilities.  If you have Stacker or SuperStore, you can get some
  1081. improved security from these compressed drives, but also a risk that
  1082. those viruses stupid enough to directly write to the disk could do
  1083. much more damage than normal; using a software write-protect system
  1084. (such as provided with Disk Manager or Norton Utilities) may help, but
  1085. the best solution (if possible) is to put all executables on a disk of
  1086. their own, protected by a hardware read-only system that sounds an
  1087. alarm if a write is attempted.
  1088.  
  1089. If you do use a resident BSI detector or a scan-while-you-copy
  1090. detector, it is important to trace back any infected diskette to its
  1091. source; the reason why viruses survive so well is that usually you
  1092. cannot do this, because the infection is found long after the
  1093. infecting diskette has been forgotten with most people's lax scanning
  1094. policies.
  1095.  
  1096. Organizations should devise and implement a careful policy, that may
  1097. include a system of vetting new software brought into the building and
  1098. free virus detectors for home machines of employees/students/etc who
  1099. take work home with them.
  1100.  
  1101. Other anti-viral techniques include:
  1102. (a) Creation of a special MBR to make the hard disk inaccessible when
  1103.     booting from a diskette (the latter is useful since booting from a
  1104.     diskette will normally bypass the protection in the CONFIG.SYS and
  1105.     AUTOEXEC.BAT files of the hard disk).  Example: GUARD.
  1106. (b) Use of Artificial Intelligence to learn about new viruses and
  1107.     extract scan patterns for them.  Examples: V-Care (CSA Interprint,
  1108.     Israel; distributed in the U.S. by Sela Consultants Corp.), Victor
  1109.     Charlie (Bangkok Security Associates, Thailand; distributed in the
  1110.     US by Computer Security Associates).
  1111. (c) Encryption of files (with decryption before execution).
  1112.  
  1113.  
  1114. D2) Is it possible to protect a computer system with only software?
  1115.  
  1116. Not perfectly; however, software defenses can significantly reduce
  1117. your risk of being affected by viruses WHEN APPLIED APPROPRIATELY.
  1118. All virus defense systems are tools - each with their own capabilities
  1119. and limitations.  Learn how your system works and be sure to work
  1120. within its limitations.
  1121.  
  1122. From a software standpoint, a very high level of protection/detection
  1123. can be achieved with only software, using a layered approach.
  1124.  
  1125. 1)  ROM BIOS - password (access control) and selection of boot disk.
  1126.     (Some may consider this hardware.)
  1127.  
  1128. 2)  Boot sectors - integrity management and change detection.
  1129.  
  1130. 3)  OS programs - integrity management of existing programs,
  1131.     scanning of unknown programs.  Requirement of authentication
  1132.     values for any new or transmitted software.
  1133.  
  1134. 4)  Locks that prevent writing to a fixed or floppy disk.
  1135.  
  1136. As each layer is added, invasion without detection becomes more
  1137. difficult.  However complete protection against any possible attack
  1138. cannot be provided without dedicating the computer to pre-existing or
  1139. unique tasks.  The international standardization of the world on the
  1140. IBM PC architecture is both its greatest asset and its greatest
  1141. vulnerability.
  1142.  
  1143.  
  1144. D3) Is it possible to write-protect the hard disk with only software?
  1145.  
  1146. The answer is no.  There are several programs which claim to do that,
  1147. but *all* of them can be bypassed using only the currently known
  1148. techniques that are used by some viruses.  Therefore you should
  1149. never rely on such programs *alone*, although they can be useful in
  1150. combination with other anti-viral measures.
  1151.  
  1152.  
  1153. D4) What can be done with hardware protection?
  1154.  
  1155. Hardware protection can accomplish various things, including: write
  1156. protection for hard disk drives, memory protection, monitoring and
  1157. trapping unauthorized system calls, etc.  Again, no tool is foolproof.
  1158.  
  1159. The popular idea of write-protection (see D3) may stop viruses
  1160. spreading to the disk that is protected, but doesn't, in itself,
  1161. prevent a virus from running.
  1162.  
  1163. Also, some of the existing hardware protections can be easily
  1164. bypassed, fooled, or disconnected, if the virus writer knows them
  1165. well and designs a virus which is aware of the particular defense.
  1166.  
  1167.  
  1168. D5) Will setting DOS file attributes to READ ONLY protect them from
  1169.     viruses?
  1170.  
  1171. No.  While the Read Only attribute will protect your files from a few
  1172. viruses, most simply override it, and infect normally.  So, while
  1173. setting executable files to Read Only is not a bad idea, it is
  1174. certainly not a thorough protection against viruses!
  1175.  
  1176.  
  1177. D6) Will password/access control systems protect my files from
  1178.     viruses?
  1179.  
  1180. All password and other access control systems are designed to protect
  1181. the user's data from other users and/or their programs.  Remember,
  1182. however, that when you execute an infected program the virus in it
  1183. will gain your current rights/privileges.  Therefore, if the access
  1184. control system provides *you* the right to modify some files, it will
  1185. provide it to the virus too.  Note that this does not depend on the
  1186. operating system used - DOS, Unix, or whatever.  Therefore, an access
  1187. control system will protect your files from viruses no better than it
  1188. protects them from you.
  1189.  
  1190. Under DOS, there is no memory protection, so a virus could disable the
  1191. access control system in memory, or even patch the operating system
  1192. itself.  On the more advanced operating systems (Unix) this is not
  1193. possible, so at least the protection cannot be disabled by a virus.
  1194. However it will still spread, due to the reasons noted above.  In
  1195. general, the access control systems (if implemented correctly) are
  1196. able only to slow down the virus spread, not to eliminate viruses
  1197. entirely.
  1198.  
  1199. Of course, it's better to have access control than not to have it at
  1200. all.  Just be sure not to develop a false sense of security and to
  1201. rely *entirely* on the access control system to protect you.
  1202.  
  1203.  
  1204. D7) Will the protection systems in DR DOS work against viruses?
  1205.  
  1206. Partially.  Neither the password file/directory protection available
  1207. from DR DOS version 5 onwards, nor the secure disk partitions
  1208. introduced in DR DOS 6 are intended to combat viruses, but they do to
  1209. some extent.  If you have DR DOS, it is very wise to password-protect
  1210. your files (to stop accidental damage too), but don't depend on it as
  1211. the only means of defense.
  1212.  
  1213. The use of the password command (e.g. PASSWORD/W:MINE *.EXE *.COM)
  1214. will stop more viruses than the plain DOS attribute facility, but that
  1215. isn't saying much!  The combination of the password system plus a disk
  1216. compression system may be more secure (because to bypass the password
  1217. system they must access the disk directly, but under SuperStore or
  1218. Stacker the physical disk is meaningless to the virus). There may be
  1219. some viruses which, rather than invisibly infecting files on
  1220. compressed disks in fact very visibly corrupt the disk.
  1221.  
  1222. The "secure disk partitions" system introduced with DR DOS 6 may be of
  1223. some help against a few viruses that look for DOS partitions on a
  1224. disk.  The main use is in stopping people fiddling with (and
  1225. infecting) your hard disk while you are away.
  1226.  
  1227. Furthermore, DR DOS is not very compatible with MS/PC-DOS, especially
  1228. down to the low-level tricks that some viruses are using.  For
  1229. instance, some internal memory structures are "read-only" in the sense
  1230. that they are constantly updated (for DOS compatibility) but not
  1231. really used by DR DOS, so that even if a sophisticated virus modifies
  1232. them, this does not have any effect.
  1233.  
  1234. In general, using a less compatible system diminishes the number of
  1235. viruses that can infect it.  For instance, the introduction of hard
  1236. disks made the Brain virus almost disappear; the introduction of 80286
  1237. and DOS 4.x+ made the Yale and Ping Pong viruses extinct, and so on.
  1238.  
  1239.  
  1240. D8) Will a write-protect tab on a floppy disk stop viruses?
  1241.  
  1242. In general, yes.  The write-protection on IBM PC (and compatible) and
  1243. Macintosh floppy disk drives is implemented in hardware, not software,
  1244. so viruses cannot infect a diskette when the write-protection mechanism
  1245. is functioning properly.
  1246.  
  1247. But remember:
  1248.  
  1249. (a) A computer may have a faulty write-protect system (this happens!)
  1250.     - you can test it by trying to copy a file to the diskette when it
  1251.     is presumably write-protected.
  1252. (b) Someone may have removed the tab for a while, allowing a virus on.
  1253. (c) The files may have been infected before the disk was protected.
  1254.     Even some diskettes "straight from the factory" have been known to be
  1255.     infected in the production processes.
  1256.  
  1257. So it is worthwhile scanning even write-protected disks for viruses.
  1258.  
  1259.  
  1260. D9) Do local area networks (LANs) help to stop viruses or do they
  1261.     facilitate their spread?
  1262.  
  1263. Both.  A set of computers connected in a well managed LAN, with
  1264. carefully established security settings, with minimal privileges for
  1265. each user, and without a transitive path of information flow between
  1266. the users (i.e., the objects writable by any of the users are not
  1267. readable by any of the others) is more virus-resistant than the same
  1268. set of computers if they are not interconnected.  The reason is that
  1269. when all computers have (read-only) access to a common pool of
  1270. executable programs, there is usually less need for diskette swapping
  1271. and software exchange between them, and therefore less ways through
  1272. which a virus could spread.
  1273.  
  1274. However, if the LAN is not well managed, with lax security, it could
  1275. help a virus to spread like wildfire.  It might even be impossible to
  1276. remove the infection without shutting down the entire LAN.
  1277.  
  1278. A network that supports login scripting is inherently more resistant
  1279. to viruses than one that does not, if this is used to validate the
  1280. client before allowing access to the network.
  1281.  
  1282.  
  1283. D10) What is the proper way to make backups?
  1284.  
  1285. Data and text files, and programs in source form, should be backed up
  1286. each time they are modified.  However, the only backups you should
  1287. keep of COM, EXE and other *executable* files are the *original*
  1288. versions, since if you back up an executable file on your hard disk
  1289. over and over, it may have become infected meanwhile, so that you may
  1290. no longer have an uninfected backup of that file.  Therefore:
  1291.   1. If you've downloaded shareware, copy it (preferably as a ZIP or
  1292. other original archive file) onto your backup medium and do not
  1293. re-back it up later.
  1294.   2. If you have purchased commercial software, it's best to create a
  1295. ZIP (or other) archive from the original diskettes (assuming they're
  1296. not copy protected) and transfer the archive onto that medium.  Again,
  1297. do not re-back up.
  1298.   3. If you write your own programs, back up only the latest version
  1299. of the *source* programs.  Depend on recompilation to reproduce the
  1300. executables.
  1301.   4. If an executable has been replaced by a new version, then of
  1302. course you will want to keep a backup of the new version.  However, if
  1303. it has been modified as a result of your having changed configuration
  1304. information, it seems safer *not* to back up the modified file; you
  1305. can always re-configure the backup copy later if you have to.
  1306.   5. Theoretically, source programs could be infected, but until such
  1307. a virus is discovered, it seems preferable to treat such files as
  1308. non-executables and back them up whenever you modify them.  The same
  1309. advice is probably appropriate for batch files as well, despite the
  1310. fact that a few batch file infectors have been discovered.
  1311.  
  1312.  
  1313. =======================================================
  1314. = Section E.    Facts and Fibs about computer viruses =
  1315. =======================================================
  1316.  
  1317. E1) Can boot sector viruses infect non-bootable floppy disks?
  1318.  
  1319. Any diskette that has been properly formatted contains an executable
  1320. program in the boot sector.  If the diskette is not "bootable," all
  1321. that boot sector does is print a message like "Non-system disk or disk
  1322. error; replace and strike any key when ready", but it's still
  1323. executable and still vulnerable to infection.  If you accidentally
  1324. turn your machine on with a "non-bootable" diskette in the drive, and
  1325. see that message, it means that any boot virus that may have been on
  1326. that diskette *has* run, and has had the chance to infect your hard
  1327. drive, or whatever.  So when thinking about viruses, the word
  1328. "bootable" (or "non-bootable") is really misleading.  All formatted
  1329. diskettes are capable of carrying a virus.
  1330.  
  1331.  
  1332. E2) Can a virus hide in a PC's CMOS memory?
  1333.  
  1334. No.  The CMOS RAM in which system information is stored and backed up
  1335. by batteries is ported, not addressable.  That is, in order to get
  1336. anything out, you use I/O instructions.  So anything stored there is
  1337. not directly sitting in memory.  Nothing in a normal machine loads the
  1338. data from there and executes it, so a virus that "hid" in the CMOS RAM
  1339. would still have to infect an executable object of some kind in order
  1340. to load and execute whatever it had written to CMOS.  A malicious
  1341. virus can of course *alter* values in the CMOS as part of its payload,
  1342. but it can't spread through, or hide itself in, the CMOS.
  1343.  
  1344. A virus could also use the CMOS RAM to hide a small part of its
  1345. body (e.g., the payload, counters, etc.).  However, any executable
  1346. code stored there must be first extracted to ordinary memory in order
  1347. to be executed.
  1348.  
  1349.  
  1350. E3) Can a virus hide in Extended or in Expanded RAM?
  1351.  
  1352. Theoretically yes, although no such viruses are known yet.  However,
  1353. even if they are created, they will have to have a small part resident
  1354. in conventional RAM; they cannot reside *entirely* in Extended or in
  1355. Expanded RAM.
  1356.  
  1357.  
  1358. E4) Can a virus hide in Upper Memory or in High Memory?
  1359.  
  1360. Yes, it is possible to construct a virus which will locate itself
  1361. in Upper Memory (640K to 1024K) or in High Memory (1024K to 1088K),
  1362. and a few currently known viruses (e.g. EDV) do hide in Upper Memory.
  1363.  
  1364. It might be thought that there is no point in scanning in these areas
  1365. for any viruses other than those which are specifically known to
  1366. inhabit them.  However, there are cases when even ordinary viruses can
  1367. be found in Upper Memory.  Suppose that a conventional memory-resident
  1368. virus infects a TSR program and this program is loaded high by the
  1369. user (for instance, from AUTOEXEC.BAT).  Then the virus code will also
  1370. reside in Upper Memory.  Therefore, an effective scanner must be able
  1371. to scan this part of memory for viruses too.
  1372.  
  1373.  
  1374. E5) Can a virus infect data files?
  1375.  
  1376. Some viruses (e.g., Frodo, Cinderella) modify non-executable files.
  1377. However, in order to spread, the virus must be executed.  Therefore
  1378. the "infected" non-executable files cannot be sources of further
  1379. infection.
  1380.  
  1381. However, note that it is not always possible to make a sharp
  1382. distinction between executable and non-executable files.  One man's
  1383. code is another man's data and vice versa.  Some files that are not
  1384. directly executable contain code or data which can under some
  1385. conditions be executed or interpreted.
  1386.  
  1387. Some examples from the IBM PC world are .OBJ files, libraries, device
  1388. drivers, source files for any compiler or interpreter, macro files
  1389. for some packages like MS Word and Lotus 1-2-3, and many others.
  1390. Currently there are viruses that infect boot sectors, master boot
  1391. records, COM files, EXE files, BAT files, and device drivers, although
  1392. any of the objects mentioned above can theoretically be used as an
  1393. infection carrier.  PostScript files can also be used to carry a virus,
  1394. although no currently known virus does that.
  1395.  
  1396.  
  1397. E6) Can viruses spread from one type of computer to another?
  1398.  
  1399. The simple answer is that no currently known viruses can do this.
  1400. Although the disk formats may be the same (e.g. Atari ST and DOS), the
  1401. different machines interpret the code differently.  For example, the
  1402. Stoned virus cannot infect an Atari ST as the ST cannot execute the
  1403. virus code in the bootsector.  The Stoned virus contains instructions
  1404. for the 80x86 family of CPU's that the 680x0-family CPU (Atari ST)
  1405. can't understand or execute.
  1406.  
  1407. The more general answer is that such viruses are possible, but
  1408. unlikely.  Such a virus would be quite a bit larger than current
  1409. viruses and might well be easier to find.  Additionally, the low
  1410. incidence of cross-machine sharing of software means that any such
  1411. virus would be unlikely to spread -- it would be a poor environment
  1412. for virus growth.
  1413.  
  1414.  
  1415. E7) Can DOS viruses run on non-DOS machines (e.g. Mac, Amiga)?
  1416.  
  1417. In general, no.  However, on machines running DOS emulators (either
  1418. hardware or software based), DOS viruses - just like any DOS program -
  1419. may function.  These viruses would be subject to the file access
  1420. controls of the host operating system.  An example is when running a
  1421. DOS emulator such as VP/ix under a 386 UNIX environment, DOS
  1422. programs are not permitted access to files which the host UNIX system
  1423. does not allow them to.  Thus, it is important to administer these
  1424. systems carefully.
  1425.  
  1426.  
  1427. E8) Can mainframe computers be susceptible to computer viruses?
  1428.  
  1429. Yes.  Numerous experiments have shown that computer viruses spread
  1430. very quickly and effectively on mainframe systems.  However, to our
  1431. knowledge, no non-research computer virus has been seen on mainframe
  1432. systems.  (The Internet worm of November 1988 was not a computer virus
  1433. by most definitions, although it had some virus-like characteristics.)
  1434.  
  1435. Computer viruses are actually a special case of something else called
  1436. "malicious logic", and other forms of malicious logic -- notably
  1437. Trojan horses -- are far quicker, more effective, and harder to detect
  1438. than computer viruses.  Nevertheless, on personal computers many more
  1439. viruses are written than Trojans.  There are two reasons for this:
  1440. (1) Since a virus propagates, the number of users to which damage can
  1441. be caused is much greater than in the case of a Trojan; (2) It's
  1442. almost impossible to trace the source of a virus since viruses are
  1443. not attached to any particular program.
  1444.  
  1445. For further information on malicious programs on multi-user systems,
  1446. see Matt Bishop's paper, "An Overview of Malicious Logic in a Research
  1447. Environment", available by anonymous FTP on Dartmouth.edu
  1448. (129.170.16.4) as "pub/security/mallogic.ps".
  1449.  
  1450.  
  1451. E9) Some people say that disinfecting files is a bad idea.  Is that
  1452.     true?
  1453.  
  1454. Disinfecting a file is completely "safe" only if the disinfecting
  1455. process restores the non-infected state of the object completely.  That
  1456. is, not only the virus must be removed from the file, but the original
  1457. length of the file must be restored exactly, as well as its time and
  1458. date of last modification, all fields in the header, etc.  Sometimes
  1459. it is necessary to be sure that the file is placed on the same
  1460. clusters of the disk that it occupied prior to infection.  If this is
  1461. not done, then a program which uses some kind of self-checking or
  1462. copy protection may stop functioning properly, if at all.
  1463.  
  1464. None of the currently available disinfecting programs do all this.
  1465. For instance, because of the bugs that exist in many viruses, some of
  1466. the information of the original file is destroyed and cannot be
  1467. recovered. Other times, it is even impossible to detect that this
  1468. information has been destroyed and to warn the user.  Furthermore,
  1469. some viruses corrupt information very slightly and in a random way
  1470. (Nomenklatura, Phoenix), so that it is not even possible to tell which
  1471. files have been corrupted.
  1472.  
  1473. Therefore, it is usually better to replace the infected objects with
  1474. clean backups, provided you are certain that your backups are
  1475. uninfected (see D10).  You should try to disinfect files only if they
  1476. contain some valuable data that cannot be restored from backups or
  1477. compiled from their original source.
  1478.  
  1479.  
  1480. E10) Can I avoid viruses by avoiding shareware/free software/games?
  1481.  
  1482. No.  There are many documented instances in which even commercial
  1483. "shrink wrap" software was inadvertently distributed containing
  1484. viruses.  Avoiding shareware, freeware, games, etc. only isolates you
  1485. from a vast collection of software (some of it very good, some of it
  1486. very bad, most of it somewhere in between...).
  1487.  
  1488. The important thing is not to avoid a certain type of software, but to
  1489. be cautious of ANY AND ALL newly acquired software.  Simply scanning
  1490. all new software media for known viruses would be rather effective at
  1491. preventing virus infections, especially when combined with some other
  1492. prevention/detection strategy such as integrity management of
  1493. programs.
  1494.  
  1495.  
  1496. E11) Can I contract a virus on my PC by performing a "DIR" of an
  1497.      infected floppy disk?
  1498.  
  1499. If you assume that the PC you are using is virus free before you
  1500. perform the DIR command, then the answer is no.  However, when you
  1501. perform a DIR, the contents of the boot sector of the diskette are
  1502. loaded into a buffer for use when determining disk layout etc., and
  1503. certain anti-virus products will scan these buffers.  If a boot sector
  1504. virus has infected your diskette, the virus code will be contained in
  1505. the buffer, which may cause some anti-virus packages to give the
  1506. message "xyz virus found in memory, shut down computer immediately".
  1507. In fact, the virus is not a threat at this point since control of the
  1508. CPU is never passed to the virus code residing in the buffer.  But,
  1509. even though the virus is really not a threat at this point, this
  1510. message should not be ignored.  If you get a message like this, and
  1511. then reboot from a clean DOS diskette and scan your hard-drive and
  1512. find no virus, then you know that the false positive was caused by the
  1513. fact that the infected boot-sector was loaded into a buffer, and the
  1514. diskette should be appropriately disinfected before use.  The use of
  1515. DIR will not infect a clean system, even if the diskette it is being
  1516. performed on does contain a virus.
  1517.  
  1518.  
  1519. E12) Is there any risk in copying data files from an infected floppy
  1520.     disk to a clean PC's hard disk?
  1521.  
  1522. Assuming that you did not boot or run any executable programs from the
  1523. infected disk, the answer is generally no.  There are two caveats: 1)
  1524. you should be somewhat concerned about checking the integrity of these
  1525. data files as they may have been destroyed or altered by the virus,
  1526. and 2) if any of the "data" files are interpretable as executable by
  1527. some other program (such as a Lotus macro) then these files should be
  1528. treated as potentially malicious until the symptoms of the infection
  1529. are known.  The copying process itself is safe (given the above
  1530. scenario).  However, you should be concerned with what type of files
  1531. are being copied to avoid introducing other problems.
  1532.  
  1533.  
  1534. E13) Can a DOS virus survive and spread on an OS/2 system using the
  1535.      HPFS file system?
  1536.  
  1537. Yes, both file-infecting and boot sector viruses can infect HPFS
  1538. partitions.  File-infecting viruses function normally and can activate
  1539. and do their dirty deeds, and boot sector viruses can prevent OS/2
  1540. from booting if the primary bootable partition is infected.  Viruses
  1541. that try to directly address disk sectors cannot function because OS/2
  1542. prevents this activity.
  1543.  
  1544.  
  1545. E14) Under OS/2 2.0, could a virus infected DOS session infect another
  1546.     DOS session?
  1547.  
  1548. Each DOS program is run in a separate Virtual DOS Machine (their
  1549. memory spaces are kept separated by OS/2).  However, any DOS program
  1550. has almost complete access to the files and disks, so infection can
  1551. occur if the virus infects files; any other DOS session that executes
  1552. a program infected by a virus that makes itself memory resident would
  1553. itself become infected.
  1554.  
  1555. However, bear in mind that all DOS sessions share the same copy of the
  1556. command interpreter.  Hence if it becomes infected, the virus will be
  1557. active in *all* DOS sessions.
  1558.  
  1559.  
  1560. E15) Can normal DOS viruses work under MS Windows?
  1561.  
  1562. Most of them cannot.  A system that runs exclusively MS Windows is,
  1563. in general, more virus-resistant than a plain DOS system.  The reason
  1564. is that most resident viruses are not compatible with the memory
  1565. management in Windows.  Furthermore, most of the existing viruses will
  1566. damage the Windows applications if they try to infect them as normal
  1567. EXE files.  The damaged applications will stop working and this will
  1568. alert the user that something is wrong.
  1569.  
  1570. However, virus-resistant is by no means virus-proof.  For instance,
  1571. most of the well-behaved resident viruses that infect only COM files
  1572. (Cascade is an excellent example), will work perfectly in a DOS
  1573. window.  All non-resident COM infectors will be able to run and infect
  1574. too.  And currently there exists at least one Windows-specific virus
  1575. which is able to properly infect Windows applications (it is
  1576. compatible with the NewEXE file format).
  1577.  
  1578. Any low level trapping of Interrupt 13, as by resident boot sector and
  1579. MBR viruses, can also affect Windows operation, particularly if
  1580. protected disk access (32BitDiskAccess=ON in SYSTEM.INI) is used.
  1581.  
  1582.  
  1583. =========================================
  1584. = Section F.    Miscellaneous Questions =
  1585. =========================================
  1586.  
  1587. F1) How many viruses are there?
  1588.  
  1589. It is not possible to give an exact number because new viruses are
  1590. being created literally every day.  Furthermore, different anti-virus
  1591. researchers use different criteria to decide whether two viruses are
  1592. different or one and the same.  Some count viruses as different if
  1593. they differ by at least one bit in their non-variable code.  Others
  1594. group the viruses in families and do not count the closely related
  1595. variants in one family as different viruses.
  1596.  
  1597. Taking a rough average, as of October 1992 there were about 1,800 IBM
  1598. PC viruses, about 150 Amiga viruses, about 30 Macintosh viruses, about
  1599. a dozen Acorn Archimedes viruses, several Atari ST viruses, and a few
  1600. Apple II viruses.
  1601.  
  1602. However, very few of the existing viruses are widespread.  For
  1603. instance, only about three dozen of the known IBM PC viruses are
  1604. causing most of the reported infections.
  1605.  
  1606.  
  1607. F2) How do viruses spread so quickly?
  1608.  
  1609. This is a very complex issue.  Most viruses don't spread very quickly.
  1610. Those that do spread widely are able to do so for a variety of
  1611. reasons.  A large target population (i.e., millions of compatible
  1612. computers) helps...  A large virus population helps...  Vendors whose
  1613. quality assurance mechanisms rely on, for example, outdated scanners
  1614. help...  Users who gratuitously insert new software into their systems
  1615. without making any attempt to test for viruses help...  All of these
  1616. things are factors.
  1617.  
  1618.  
  1619. F3) What is the plural of "virus"?  "Viruses" or "viri" or "virii" or...
  1620.  
  1621. The correct English plural of "virus" is "viruses."  The Latin word is
  1622. a mass noun (like "air"), and there is no correct Latin plural.
  1623. Please use "viruses," and if people use other forms, please don't use
  1624. VIRUS-L/comp.virus to correct them.
  1625.  
  1626.  
  1627. F4) When reporting a virus infection (and looking for assistance), what
  1628.     information should be included?
  1629.  
  1630. People frequently post messages to VIRUS-L/comp.virus requesting
  1631. assistance on a suspected virus problem.  Quite often, the information
  1632. supplied is not sufficient for the various experts on the list to be
  1633. able to help out.  Also note that any such assistance from members of
  1634. the list is provided on a volunteer basis; be grateful for any help
  1635. received.  Try to provide the following information in your requests
  1636. for assistance:
  1637.         - The name of the virus (if known);
  1638.         - The name of the program that detected it;
  1639.         - The version of the program that detected it;
  1640.         - Any other anti-virus software that you are running and
  1641. whether it has been able to detect the virus or not, and if yes, by
  1642. what name did it call it;
  1643.         - Your software and hardware configuration (computer type,
  1644. kinds of disk(ette) drives, amount of memory and configuration
  1645. (extended/expanded/conventional), TSR programs and device drivers
  1646. used, OS version, etc.)
  1647.  
  1648. It is helpful if you can use more than one scanning program to
  1649. identify a virus, and to say which scanner gave which identification.
  1650. However, some scanning programs leave "signatures" in memory which
  1651. will confuse others, so it is best to do a "cold reboot" between runs
  1652. of successive scanners, particularly if you are getting confusing
  1653. results.
  1654.  
  1655.  
  1656. F5) How often should we upgrade our anti-virus tools to minimize
  1657.     software and labor costs and maximize our protection?
  1658.  
  1659. This is a difficult question to answer.  Antiviral software is a kind
  1660. of insurance, and these type of calculations are difficult.
  1661.  
  1662. There are two things to watch out for here: the general "style" of the
  1663. software, and the signatures which scanners use to identify viruses.
  1664. Scanners should be updated more frequently than other software, and it
  1665. is probably a good idea to update your set of signatures at least once
  1666. every two months.
  1667.  
  1668. Some antiviral software looks for changes to programs or specific
  1669. types of viral "activity," and these programs generally claim to be
  1670. good for "all current and future viral programs."  However, even these
  1671. programs cannot guarantee to protect against all future viruses, and
  1672. should probably be upgraded once per year.
  1673.  
  1674. Of course, not every anti-virus product is effective against all
  1675. viruses, even if upgraded regularly.  Thus, do *not* depend on the
  1676. fact that you have upgraded your product recently as a guarantee that
  1677. your system is free of viruses!
  1678.  
  1679.  
  1680. =====================================================================
  1681. = Section G.    Specific Virus and Anti-viral software Questions... =
  1682. =====================================================================
  1683.  
  1684.  
  1685. G1) I was infected by the Jerusalem virus and disinfected the infected
  1686.     files with my favorite anti-virus program.  However, Wordperfect
  1687.     and some other programs still refuse to work.  Why?
  1688.  
  1689. The Jerusalem virus and WordPerfect 4.2 program combination is an
  1690. example of a virus and program that cannot be completely disinfected
  1691. by an anti-virus tool.  In some cases such as this one, the virus will
  1692. destroy code by overwriting it instead of appending itself to the
  1693. file.  The only solution is to re-install the programs from clean
  1694. (non-infected) backups or distribution media.  (See question D10.)
  1695.  
  1696.  
  1697. G2) I was told that the Stoned virus displays the text "Your PC is now
  1698.     Stoned" at boot time.  I have been infected by this virus several
  1699.     times, but have never seen the message.  Why?
  1700.  
  1701. The "original" Stoned message was ".Your PC is now Stoned!", where the
  1702. "." represents the "bell" character (ASCII 7 or "PC speaker beep").
  1703. The message is displayed with a probability of 1 in 8 only when a PC is
  1704. booted from an infected diskette.  When booting from an infected hard
  1705. disk, Stoned never displays this message.
  1706.  
  1707. Recently, versions of Stoned with no message whatsoever or only the
  1708. leading bell character have become very common.  These versions of
  1709. Stoned are likely to go unnoticed by all but the most observant, even
  1710. when regularly booting from infected diskettes.
  1711.  
  1712. Contrary to some reports, the Stoned virus -does NOT- display the
  1713. message "LEGALISE MARIJUANA", although such a string is quite clearly
  1714. visible in the boot sectors of diskettes infected with the "original"
  1715. version of Stoned in "standard" PC's.
  1716.  
  1717.  
  1718. G3) I was infected by both Stoned and Michelangelo.  Why has my
  1719.     computer became unbootable?  And why, each time I run my favorite
  1720.     scanner, does it find one of the viruses and say that it is
  1721.     removed, but when I run it again, it says that the virus is still
  1722.     there?
  1723.  
  1724. These two viruses store the original Master Boot Record at one and the
  1725. same place on the hard disk.  They do not recognize each other, and
  1726. therefore a computer can become infected with both of them at the same
  1727. time.
  1728.  
  1729. The first of these viruses that infects the computer will overwrite
  1730. the Master Boot Record with its body and store the original MBR at a
  1731. certain place on the disk.  So far, this is normal for a boot-record
  1732. virus.  But if now the other virus infects the computer too, it will
  1733. replace the MBR (which now contains the virus that has come first)
  1734. with its own body, and store what it believes is the original MBR (but
  1735. in fact is the body of the first virus) AT THE SAME PLACE on the hard
  1736. disk, thus OVERWRITING the original MBR.  When this happens, the
  1737. contents of the original MBR are lost.  Therefore the disk becomes
  1738. non-bootable.
  1739.  
  1740. When a virus removal program inspects such a hard disk, it will see
  1741. the SECOND virus in the MBR and will try to remove it by overwriting
  1742. it with the contents of the sector where this virus normally stores
  1743. the original MBR.  However, now this sector contains the body of the
  1744. FIRST virus.  Therefore, the virus removal program will install the
  1745. first virus in trying to remove the second.  In all probability it
  1746. will not wipe out the sector where the (infected) MBR has been stored.
  1747.  
  1748. When the program is run again, it will find the FIRST virus in the
  1749. MBR.  By trying to remove it, the program will get the contents of the
  1750. sector where this virus normally stores the original MBR, and will
  1751. move it over the current (infected) MBR.  Unfortunately, this sector
  1752. still contains the body of the FIRST virus.  Therefore, the body of
  1753. this virus will be re-installed over the MBR ad infinitum.
  1754.  
  1755. There is no easy solution to this problem, since the contents of the
  1756. original MBR is lost.  The only solution for the anti-virus program is
  1757. to detect that there is a problem, and to overwrite the contents of
  1758. the MBR with a valid MBR program, which the anti-virus program will
  1759. have to carry with itself.  If your favorite anti-virus program is not
  1760. that smart, consider replacing it with a better one, or just boot from
  1761. a write-protected uninfected DOS 5.0 diskette, and execute the program
  1762. FDISK with the option /MBR.  This will re-create the executable code
  1763. in the MBR without modifying the partition table data.
  1764.  
  1765. In general, infection by multiple viruses of the same file or area is
  1766. possible and vital areas of the original may be lost.  This can make
  1767. it difficult or impossible for virus disinfection tools to be
  1768. effective, and replacement of the lost file/area will be necessary.
  1769.  
  1770. ====================
  1771. [End of VIRUS-L/comp.virus FAQ]
  1772.  
  1773.