home *** CD-ROM | disk | FTP | other *** search
/ CD Direkt 1997 #6-#7 / CDD_6_7_97.ISO / cdd / avirus / fp-226 / virus.doc < prev   
Text File  |  1996-09-08  |  11KB  |  222 lines

  1.  
  2.                          Computer Viruses: An Introduction
  3.  
  4. What is a computer virus ?
  5.  
  6. Well, the best definition we have been able to come up with is the
  7. following 4-part one:
  8.  
  9.    #1 A virus is a program that is able to replicate, that is create
  10.       (possibly modified) copies of itself.
  11.  
  12.    #2 The replication is intentional, not just a side-effect.  
  13.  
  14.    #3 At least some of replicants in turn are also viruses by the same
  15.       definition.
  16.  
  17.    #4 A virus has to attach itself to a "host", in the sense that
  18.       execution of the host implies execution of the virus.  
  19.  
  20. #1 distinguishes viruses from non-replicating malware, such as Trojans,
  21. ANSI bombs and logic Bombs.
  22.  
  23. #2 distinguishes between viruses and programs such as DISKCOPY.COM
  24. that can replicate.
  25.  
  26. #3 is needed to exclude certain "intended viruses", that attempt to
  27. replicate, but fail - they simply do not qualify as "real" viruses.
  28.  
  29. #4 is necessary to distinguish between viruses and worms, which do not
  30. require a host.
  31.  
  32. A Trojan is a program that pretends to do something useful (or at least
  33. interesting), but when it is run, it may have some harmful effect, like
  34. scrambling your FAT (File Allocation Table) or formatting the hard disk.
  35.  
  36. Viruses and Trojans may contain a "time-bomb", intended to destroy
  37. programs or data on a specific date or when some condition has been
  38. fulfilled.
  39.  
  40. A time bomb is often designed to be harmful, maybe doing something like
  41. formatting the hard disk.  Sometimes it is relatively harmless, perhaps 
  42. slowing the computer down every Friday or making a ball bounce around the
  43. screen.  However, there is really no such thing as a harmless virus.  Even if
  44. a virus has been intended to cause no damage, it may do so in certain cases,
  45. often due to the incompetence of the virus writer or unexpected hardware
  46. or software revisions.
  47.  
  48. A virus may be modified, either by the original author or someone else, so
  49. that a more harmful version of it appears.  It is also possible that the
  50. modification produces a less harmful virus, but that has only rarely
  51. happened.
  52.  
  53. The damage caused by a virus may consist of the deletion of data or
  54. programs, maybe even reformatting of the hard disk, but more subtle damage
  55. is also possible.  Some viruses may modify data or introduce typing errors
  56. into text.  Other viruses may have no intentional effects other than just
  57. replicating.
  58.  
  59. The major groups of viruses on PCs are boot sector viruses (BSV), program
  60. viruses and application viruses.
  61.  
  62. A BSV infects boot sectors on diskettes and/or hard disks.  On diskettes, 
  63. the boot sector normally contains code to load the operating system files. 
  64. The BSV replaces the original boot sector with itself and stores the
  65. original boot sector somewhere else on the diskette or simply replaces it
  66. totally.  When a computer is then later booted from this diskette, the
  67. virus takes control and hides in RAM.  It will then load and execute the
  68. original boot sector, and from then on everything will be as usual. 
  69. Except, of course, that every diskette inserted in the computer will be
  70. infected with the virus, unless it is write-protected.
  71.  
  72. A BSV will usually hide at the top of memory, reducing the amount of
  73. memory that the DOS sees.  For example, a computer with 640K might appear
  74. to have only 639K.
  75.  
  76. Most BSVs are also able to infect hard disks, where the process is similar
  77. to that described above, although they usually infect the master boot
  78. record instead of the DOS boot record.
  79.  
  80. Program viruses, the second type of computer viruses, infect executable
  81. programs, usually .COM and .EXE files, but they sometimes also infect
  82. overlay files, device drivers or even object files.
  83.  
  84. An infected program will contain a copy of the virus, usually at the end,
  85. in some cases at the beginning of the original program, and in a few cases
  86. the virus is inserted in the middle of the original program.
  87.  
  88. When an infected program is run, the virus may stay resident in memory
  89. and infect every program run.  Viruses using this method to spread the
  90. infection are called "Resident Viruses".
  91.  
  92. Other viruses may search for a new file to infect, when an infected
  93. program is executed.  The virus then transfers control to the original
  94. program.  Viruses using this method to spread the infection are
  95. called "Direct Action Viruses".  It is possible for a virus to use both
  96. methods of infection.
  97.  
  98. Most viruses try to recognize existing infections, so they do not infect
  99. what has already been infected.  This makes it possible to inoculate
  100. against specific viruses, by making the "victim" appear to be infected.
  101. However, this method is useless as a general defense, as it is not 
  102. possible to inoculate the same program against multiple viruses.
  103.  
  104. The third type of viruses are application viruses, which do not infect
  105. normal programs, but instead spread as "macros" in various types of files,
  106. typically word-processor documents or spreadsheets.
  107.  
  108. In general, viruses are just program - rather unusual programs perhaps,
  109. but written just like any other program.  It does not take a genius to
  110. write one - any average assembly language programmer can easily do it. 
  111. Fortunately, few of them do.
  112.  
  113. Now - to correct some common misconceptions, here are a few bits of
  114. information about what viruses cannot do.
  115.  
  116.         A virus cannot appear all by itself, it has to be written, just
  117.         like any other program.
  118.         
  119.         Not all viruses are intentionally harmful - some may only cause
  120.     minor damage as a side effect - however, there is no such thing
  121.     as a "harmless" virus.
  122.  
  123.     Reading plain data from an infected diskette cannot cause an
  124.     infection.  (However, it is not trivial to determine what
  125.     "plain data" is)
  126.  
  127.         A write-protected diskette cannot become infected, if the
  128.     hardware is working properly.
  129.  
  130. It used to be the case that a virus could not infect a computer unless it
  131. was booted from an infected diskette or an infected program was run on it,
  132. but alas, this is no longer true.  It is possible for a virus infection to
  133. spread, just by the act of reading an infected Microsoft Word document,
  134. for example, or through use of Lotus Notes, to name two well-known
  135. applications.
  136.  
  137. It also used to be the case that a virus could not infect data files or
  138. spread from one type of computer to another - a virus designed to infect
  139. Macintosh computers could not infect PCs or vice versa, but with the
  140. appearance of application viruses this has changed as well - there are now
  141. a few viruses that can infect WinWord as well as MacWord.
  142.  
  143. Apart from using anti-virus programs, there are several ways to protect
  144. your computer from viruses:
  145.  
  146.         Rule #1 is: MAKE BACKUPS!!!  Keep good backups (more than one) of
  147.         everything you do not want to lose.  This will not only protect you
  148.         from serious damage caused by viruses, but is also necessary in the
  149.         case of a serious hardware failure.
  150.  
  151.         Never boot a computer with a hard disk from a diskette because that
  152.         is the only way the hard disk could become infected with a boot
  153.     sector virus.  (Well, strictly speaking, it can happen if you run
  154.     a "dropper" program too, but that happens extremely rarely).
  155.  
  156.     If your BIOS allows you to change the boot sequence to "C: A:",
  157.     do it. This will give you very good protection against boot
  158.      sector virus infections.
  159.  
  160.         Should you, by accident, have left a non-bootable diskette in
  161.         drive A: when you turn the computer on, the message
  162.  
  163.                         Not a system disk.
  164.  
  165.         may appear.  If the diskette was infected with a virus, it will now
  166.         be active, but may not have infected the hard disk yet (Most
  167.     boot sector viruses will do it right away, however).  If this
  168.         happens, remove the diskette from the A: drive and turn the computer
  169.         off (or press the reset button).  It is important to note that
  170.         pressing Ctrl-Alt-Del is not sufficient, as a few viruses can
  171.         survive that.
  172.  
  173.         If the computer has no hard disk, but is booted from a diskette,
  174.         you should always use the s