home *** CD-ROM | disk | FTP | other *** search
/ Best Objectech Shareware Selections / UNTITLED.iso / boss / util / viru / 002 / catchmte.doc next >
Text File  |  1992-11-26  |  9KB  |  196 lines
  1.                                  CatchMtE  1.8
  2.  
  3.                                November 12, 1992
  4.                                
  5.                  Copyright (c) 1992 by VDS Advanced Research Group
  6.                              All Rights Reserved
  7.  
  8.            Use of this program for non-commercial purposes is free.
  9.            We do not sell it for profit, neither should anyone else.
  10.            You can distribute it to your friends or BBSes as long
  11.            as it is not modified and it includes this documentation.
  12.            If you cannot obtain it from BBSes or FTP sites, then you
  13.            can get it directly from us for a small fee of $10 US.
  14.            Even if CatchMtE helps only one user to detect an MtE-based
  15.            virus and saves him much agony, we consider our time spent
  16.            developing CatchMtE well worth it.
  17.  
  18.                                 DISCLAIMER
  19.  
  20.         The developers of CatchMtE make no warranty of any kind, either
  21.      express or implied, with respect to this software and accompanying
  22.      documentation. In no event shall the developers be liable for any
  23.      damages arising out of the use of or inability to use the included
  24.      programs. The entire risk as to the results and performance of this
  25.      software package is assumed by the customer. We specifically disclaim
  26.      any implied warranties of merchantability or fitness for any purpose.
  27.      Use at your own risk.
  28.         The developers of CatchMtE reserve the right to revise the software
  29.      and accompanying documentation and to make changes in the contents
  30.      without obligation to notify any person of such revision or changes.
  31. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
  32.  
  33.                             ACKNOWLEDGEMENTS        
  34.  
  35.        We would like to thank Mr. Vesselin Bontchev for his help in
  36.        testing CatchMtE and offering suggestions to improve it. He even
  37.        sent us sample code to implement a more flexible input path. We
  38.        also thank Mr. Henri Delger for pointing out a bug in the program.
  39.  
  40. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
  41.                    WARNING   WARNING   WARNING   WARNING
  42.  
  43.     YOU SHOULD BOOT FROM A CLEAN, WRITE-PROTECTED DOS DISKETTE BEFORE USING
  44.     CatchMtE TO SEARCH YOUR DISKS. THIS WILL ELIMINATE THE RISK OF HAVING
  45.     A MEMORY-RESIDENT VIRUS GAIN CONTROL OF THE CPU DURING OPERATION.
  46.  
  47. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
  48. Description:
  49.  
  50.    CatchMtE is designed to recognize viral code based on the so-called
  51. Mutation Engine distributed by DarkAvenger from Bulgaria (see the included 
  52. MTE-INFO.TXT file for details). CatchMtE uses sophisticated algorithms to 
  53. determine if a program is infected by an MtE-based virus.
  54.  
  55.    We have tested it on MS/PC DOS 3.3+ as well as Netware 386 based disks. 
  56. On network drives, some files may not be opened and will generate an error
  57. message. The program uses handle-oriented DOS file access for compatibility.
  58.  
  59.    CatchMtE is NOT a pattern matcher; although it uses Boyer-Moore search
  60. algorithm and a few patterns to recognize the mutations that are in plaintext.
  61. This is necessary because MtE sometimes fails to encrypt code as expected.
  62. The following known viruses are recognized if they are in plaintext:
  63.  
  64.    Pogue
  65.    Dedicated/Fear  
  66.    Groove
  67.    CoffeeShop      
  68.    MtE-Spawn       
  69.    Questo          
  70.    CryptoLab       
  71.    Encroach        
  72.  
  73.    If none of the patterns extracted from these viruses are found, then two
  74. patterns extracted from MtE itself are searched for. This should detect
  75. new viruses using MtE for polymorphism in the cases when the decryptor
  76. has null effect.
  77.  
  78.    We have tested CatchMtE against thousands of Pogue and Dedicated/Fear
  79. mutations in our lab. It achieved 100% hit rate in all cases. If you find
  80. a mutation that it fails to recognize, please contact us so that we can
  81. determine the cause and make the necessary corrections to the program.
  82.  
  83.    CatchMtE is NOT a general virus scanner. It only looks for MtE-based
  84. viruses. If you would like to search your disks for other viruses as well,
  85. you should obtain a general virus scanner such as F-PROT or our VDSFSCAN. 
  86. These programs can look for hundreds of other known viruses.
  87.  
  88. Requirements:
  89.  
  90.    IBM/PC compatible computer with DOS 3.0 or higher
  91.    128K of available memory
  92.    Booting from floppy diskette is recommended
  93.  
  94. Limitations:
  95.  
  96.    Only the files with COM or EXE extension are checked. If the file
  97.    size is less than or equal to 1K, it will be skipped as well.
  98.    Subdirectories are scanned recursively. It doesn't check one single file. 
  99.  
  100. Bugs & Problems:
  101.     
  102.    Previous versions of CatchMtE had a problem finding the EXE and some COM
  103.    program entry points and sometimes failed to correctly identify infected 
  104.    files. Version 1.0 triggered false alarms on the following files:
  105.  
  106.              Name            Size
  107.            ----------------------
  108.            DIREX.COM         1987
  109.            LEGAL.EXE       264080
  110.            NETBIND.EXE      15639
  111.            PCSORT.EXE       21776
  112.            XTVEGA.COM        2751          
  113.  
  114.    Version 1.5 reported a false positive on:
  115.    
  116.              Name            Size
  117.            ----------------------
  118.            PYRO22.EXE       95280
  119.  
  120.    If you come across a false positive, please contact us so that we can
  121. make the necessary corrections and warn others.           
  122.  
  123. Usage:
  124.  
  125.   CATCHMTE.EXE <path> [-Mono] [-Pause] [-Ofname] [-Zfname] [-Batch] [-Delete] 
  126.  
  127.   Example:
  128.       To search C: drive starting from root directory:
  129.  
  130.          CATCHMTE.EXE  -P -Oinfected.txt -Zpassed.txt  C:\
  131.  
  132.       To search another directory and all subdirectories:
  133.  
  134.          CATCHMTE.EXE  -p  C:\DOS
  135.  
  136.  -Mono option forces CatchMtE not to use color output to make it easier
  137.   to read on some screens, mostly laptops emulating VGA.
  138.  
  139.  -Pause option will allow you to see the list of infected files a screen
  140.   at a time; otherwise, they will scroll off the screen, so you should use
  141.   it unless you are testing the program against a zoo of mutations to verify
  142.   hit rate, as we did.
  143.  
  144.  -O option will write the names of the files that were found to have an
  145.   MtE-based virus to the specified file. Final statistics will also be
  146.   written to this file.
  147.  
  148.  -Z option will write the names of the files that were found NOT to have an
  149.   MtE-based virus to the specified file. This is good for zoo testing
  150.   since it will provide a list of mutations that were MISSED. If you are
  151.   not doing zoo testing, you do not need this option. If you find such a
  152.   mutation, please send us a copy of at least the decryptor portion if not
  153.   the complete sample for analysis.
  154.  
  155.  -Batch option is useful in running CatchMtE from batch files and eliminates
  156.   the pause at the end asking you to press a key. You can examine the error
  157.   level returned as follows:
  158.  
  159.       errorlevel  --> 0   : No viruses found
  160.       errorlevel  --> 1   : Infected files found
  161.       errorlevel  --> 2   : Infected files found and deleted
  162.       errorlevel  --> 128 : User break, search not completed
  163.       errorlevel  --> 255 : Errors occurred during search
  164.  
  165.  -Delete option allows you to delete files that are found to be infected.
  166.   You should always delete infected files and replace them with clean
  167.   backup copies.
  168.  
  169. A Piece of Advice:
  170.  
  171.    You are strongly encouraged to consider "integrity checkers" as a strong
  172. line of defense against virus attacks. There are some products in the market
  173. that concentrate on integrity checking. They can provide you with an early
  174. warning that can save you many man-hours of work. Once the spread of viruses
  175. is contained, they are not a significant threat.
  176.  
  177.    Virus scanning software is useful in looking for known viruses. They are
  178. not meant to detect new viruses. With the escalating number of viruses and
  179. toolkits such as MtE, you are more likely to encounter new viruses that
  180. scanners cannot keep up with.
  181.  
  182.    We have developed an anti-viral product (VDS, or Virus Detection System)
  183. that emph