home *** CD-ROM | disk | FTP | other *** search
/ Reverse Code Engineering RCE CD +sandman 2000 / ReverseCodeEngineeringRceCdsandman2000.iso / RCE / Library / +ORC / Orc pac 3 / FILEZ.ZIP / MONKEY.ZIP / KILLMONK.ZIP / KILLMNK3.DOC < prev    next >
Encoding:
Text File  |  1993-11-01  |  11.7 KB  |  257 lines
  1. KILLMNK3.DOC               Instruction file for the KillMonk.exe program
  2. Version 3.0                                                October, 1993
  3.  
  4.         /-- Monkey and Int_10 Virus Detector and Remover --\
  5.         |                  Version 3.0                     |
  6.         |                 By Tim Martin                    |
  7.         |                                                  |
  8.         |           1993   all rights reserved             |
  9.         |                                                  |
  10.         |           Department of Soil Science             |
  11.         |          4-42 Earth Sciences Building            |
  12.         |             University of Alberta                |
  13.         |               Edmonton, Alberta                  |
  14.         |               Canada    T6G 2E3                  |
  15.         |                                                  |
  16.         |         martin@ulysses.sis.ualberta.ca           |
  17.         | * Please let me know if this program is useful * |
  18.         \--------------------------------------------------/
  19.  
  20.  Note that this program removes ONLY the Monkey and Int_10 viruses.
  21.  Use a good general scanner, to detect other viruses.
  22.  
  23. New in Version 2.0
  24. ------------------
  25. 1.  KillMonk now cleans Monkey from a second hard drive.
  26. 2.  KillMonk properly recognizes whether MS Windows is running, and
  27.     refuses to run if it is.  (The virus search and cleaning process 
  28.     doesn't work if Windows is running.)
  29.  
  30. New in Version 3.0
  31. ------------------
  32. 1.  KillMonk now cleans the Int_10 viruses as well.
  33. 2.  Earlier versions of KillMonk failed when users first tried to 
  34.     clean Monkey-infected computers using FDISK /MBR or general 
  35.     disk repair tools.  KillMonk now should be able to clean such 
  36.     computers successfully. 
  37. 3.  KillMonk should now properly clean computers that have less 
  38.     than 640k conventional memory.  I haven't been able to test
  39.     this, though.
  40.  
  41. Introduction
  42. ------------
  43. KillMonk is a program for finding and removing the Monkey and Int_10 
  44. viruses from hard disks and diskettes.   I wrote the first version of
  45. KillMonk because the Monkey viruses are atypically tricky to remove
  46. from a hard disk, and few (at that time none) of the popular anti-viral
  47. software packages did the job well.  I had hoped that by now KillMonk 
  48. would be obsolete, but instead the virus has spread worldwide, and
  49. most anti-virals still can't properly deal with the virus. I'm getting 
  50. regular electronic mail messages from people frustrated by the 
  51. limitations of the original KillMonk program.  Meantime, the Int_10 
  52. viruses have been seen on computers in my neighborhood, and they
  53. are (as far as I know) undetected by popular anti-viral software.  
  54. They have their own quirks to make things difficult for the general 
  55. anti-viral software writers. So it seemed time to redo KillMonk.
  56.  
  57. Contents
  58. --------
  59. The KILLMNK3.ZIP package should contain four files:
  60.   KILLMONK.EXE  - the executable program, version 3.0.
  61.   KILLMNK3.DOC  - this file.
  62.   MONKEY.NOT    - a text file (somewhat technical) on the Monkey viruses.
  63.   INT_10.NOT    - a text file on the Int_10 viruses.  Partially plagiarized 
  64.                   and slightly edited from a note by Padgett Peterson.
  65.  
  66. To Use KillMonk
  67. ---------------
  68. For any virus testing, it is best if you can start the computer from 
  69. a clean diskette.  KillMonk should work ok without this precaution,
  70. if Monkey or Int_10 is present, but if any other virus is present, 
  71. the consequences are unpredictable.  If KillMonk doesn't work when
  72. you boot from a clean diskette, try again, booting from the hard disk.
  73.  
  74. Steps:
  75. 1. Boot from a clean system diskette, if you have one.
  76.  
  77. 2. Check your system using an up-to-date, general virus scanner,
  78.    such as F-prot.  
  79.  
  80. 3. If the computer passes the general scan (or the scanner finds
  81.    Monkey or Int_10 but can't clean them) then run KillMonk.
  82.     
  83.    Carefully read anything KillMonk reports to the screen.
  84.    KillMonk will prompt you for any decisions it wants you
  85.    to make.  KillMonk only needs single key responses, such
  86.    as "y" for yes, or "n" for no.  The RETURN or ENTER key 
  87.    is not required: you should only need to use "y", "n", "a" 
  88.    to specify drive A:, "b" for drive B:, "q" for quit, and 
  89.    the elusive "ANY" key, as in "Press any key to continue..."
  90.  
  91. 4. If Monkey or Int_10 is found on your hard disk, you will be asked 
  92.    whether you want to clean the disk.  If you respond by pressing   
  93.    the "y" key,  KillMonk will try to remove the virus from the
  94.    hard disk.  If it is successful, the computer will be restarted
  95.    to ensure that the virus is not still running in memory.  I 
  96.    recommend you then re-run KillMonk, to ensure that the hard
  97.    disk was cleaned, and to check ALL your diskettes.
  98.    
  99. 5. On a system with two physical hard drives, the second drive is
  100.    checked and cleaned before the first drive.  The computer does
  101.    not reboot between cleaning the second and first hard drives.
  102.    
  103.    Note that I'm not talking about "partitions" on a single hard
  104.    drive, but actual separate drives.  Monkey and Int_10 will 
  105.    infect a hard drive only once, no matter how many partitions 
  106.    it might have.
  107.  
  108.    The technically-minded might point out that a virus infecting
  109.    a second drive's Master Boot Record cannot spread.  Unfortunately
  110.    when Monkey infects a second hard drive, it makes the partition 
  111.    table unreadable, rendering the second drive "unusable" until
  112.    the virus is removed.
  113.  
  114. 6. If KillMonk does not find the viruses in memory or on your hard disk,
  115.    you will be given the option of scanning diskettes for Monkey and 
  116.    Int_10.  You can choose to scan drive A:, scan drive B:, or quit. 
  117.    If you scan a diskette, the options are repeated until you choose 
  118.    quit.
  119.  
  120. 7. If KillMonk finds Monkey or Int_10 on a diskette, you are asked if 
  121.    you want to remove the virus.  If you select yes, the program will
  122.    try to remove the virus.  This should work with the four common
  123.    formats of diskettes: 360k, 720k, 1.2Mb and 1.44Mb. 
  124.  
  125. 8. If KillMonk finds problems but can't fix them, when you have
  126.    started the computer from a clean diskette, (or if you don't own
  127.    a clean system diskette), then restart the computer from the hard 
  128.    disk, and run Killmonk that way.
  129.  
  130. As a side effect, KillMonk may recognize that your system is infected  
  131. with another boot sector virus, such as Stoned.  It will tell you of  
  132. the infections, but it will not remove these viruses.  Instead use a 
  133. general virus disinfector to deal with these virus infections.
  134.  
  135. Known Bugs
  136. ----------
  137. 1.  The Int_10 virus sometimes changes the "Total Conventional Memory"
  138.     value returned by MEM, CHKDSK, or KillMonk, in an attempt to hide
  139.     its presence.  On most computers, KillMonk sees through this ploy.
  140.     However on true IBMs, and other computers that normally show only 
  141.     639k memory (654336 bytes) KillMonk might not find the virus while 
  142.     it is running.  If you computer normally returns a value of less 
  143.     than 640k of total conventional memory, when you run MEM, then be 
  144.     sure to rerun KillMonk after starting the computer from a clean 
  145.     diskette.
  146.  
  147. 2.  The Monkey virus is known to mess up OS/2 file systems that are
  148.     located on a second physical hard drive.  I don't understand 
  149.     what is going on in this case, because I have not studied the OS/2
  150.     file system.  KillMonk will successfully remove the virus, but 
  151.     OS/2 might not want to boot.
  152.  
  153. 3.  KillMonk will only clean up to two hard drives on a computer.
  154.     Computers with SCSI controller cards might have up to eight 
  155.     devices in the SCSI chain.  It should be possible to clean all 
  156.     of these by changing which is "drive 2", but I don't have an 
  157.     Intel box with a SCSI controller to test this, and my SCSI 
  158.     drives are all formatted with UNIX file systems at the moment.
  159.  
  160. 4.  When KillMonk cleans the virus from a diskette, it does not
  161.     clear the last sectors of the root directory, where the virus
  162.     has hidden its pieces.  Unlike the other bugs, this is an 
  163.     intentional design decision: I think problems are more likely
  164.     from failed attempts to clean these sectors than from leaving 
  165.     junk in them.  Unfortunately it means that diskettes that have 
  166.     been infected and cleaned have a reduced file capacity in the 
  167.     root directory.
  168.  
  169. 5.  Some of the algorithms I use, for example the routine to restart 
  170.     the computer after cleaning the hard disk, apparently are not
  171.     as robust as they might be, according to the true anti-virus
  172.     gurus.  There's a chance things won't work quite as expected, 
  173.     on your computer.  Mileage may vary, so to speak.  But as a 
  174.     first Assembler Programming project, it's been a lot of fun.
  175.  
  176. Disclaimer
  177. ----------
  178. Neither I nor the University of Alberta bear any responsibility 
  179. for any problems that may result from the use of the KillMonk 
  180. program.  USE KILLMONK AT YOUR OWN RISK.  I hope you find it 
  181. useful.
  182.  
  183. Copyright
  184. ---------
  185. All rights to KillMonk are the property of Tim Martin. 
  186. KillMonk may only be distributed free of charge.
  187.  
  188. Request
  189. -------
  190. If you find this program useful, please send me a postcard, or at
  191. least an e-mail message.  If you are a representative of an Institution
  192. of Some Repute, then please send a congratulatory and flattering note, 
  193. on Department letterhead, with hints of job offers even, to my boss.  
  194.  
  195. Tim Martin
  196. martin@ulysses.sis.ualberta.ca
  197.  
  198. -------------------------------------------------------------------------
  199. APPENDIX 1: 
  200. The following is the screen output of a typical KillMonk 3.0 session.
  201. In this session, the hard disk was clean, but a diskette was found
  202. to be infected.  KillMonk cleaned the diskette.
  203.  
  204. C:>killmonk
  205.         /-- Monkey and Int_10 Virus Detector and Remover --\
  206.         |                  Version 3.0                     |
  207.         |                 By Tim Martin                    |
  208.         |                                                  |
  209.         |           1993   all rights reserved             |
  210.         |                                                  |
  211.         |           Department of Soil Science             |
  212.         |          4-42 Earth Sciences Building            |
  213.         |             University of Alberta                |
  214.         |               Edmonton, Alberta                  |
  215.         |               Canada    T6G 2E3                  |
  216.         |                                                  |
  217.         |         martin@ulysses.sis.ualberta.ca           |
  218.         | * Please let me know if this program is useful * |
  219.         \--------------------------------------------------/
  220.  
  221.  Note that this program removes ONLY the Monkey and Int_10 viruses.
  222.  Use a good general scanner, to detect other viruses.
  223.  
  224.  New in Version 2.0: KillMonk now cleans Monkey from a second hard drive.
  225.  New in Version 3.0: KillMonk now cleans the Int_10 viruses as well.
  226.  
  227.      Press a key to continue.....
  228.  
  229.      Checking memory ...   Total Conventional Memory:  640k.
  230.  
  231. I must still check memory for Int_10 though.
  232.  
  233. Neither Monkey nor Int_10 is currently running on your computer.
  234.  
  235.      Checking the first hard disk's Master Boot Record...
  236.  
  237. The Master Boot Record program seems to be in place.
  238. Neither Monkey nor Int_10 is on your hard disk.
  239. I didn't look very carefully for other viruses, though.
  240. Use a general virus scanner/disinfector for that.
  241.  
  242. Would you like me to test a floppy diskette?
  243.  
  244.        Press a for drive A: 
  245.        Press b for drive B: 
  246.        Press q to quit. a
  247.  
  248. *** The floppy is infected with the Int_10 Virus.
  249. *** Shall I try to fix it? (y/n) y OK...
  250.  
  251. Would you like me to test a floppy diskette?
  252.  
  253.        Press a for drive A: 
  254.        Press b for drive B: 
  255.        Press q to quit. q
  256. C:>
  257.