home *** CD-ROM | disk | FTP | other *** search
/ Shareware Grab Bag / Shareware Grab Bag.iso / 090 / fichk.arc / CHECKUP.DOC next >
Encoding:
Text File  |  1988-06-23  |  21.5 KB  |  488 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11.  
  12.  
  13.  
  14.  
  15.  
  16.  
  17.  
  18.  
  19.  
  20.  
  21.  
  22.  
  23.  
  24.  
  25.                                   June, 1988
  26.  
  27.  
  28.        Preventive Computer Medicine to help keep your system virus free.
  29.  
  30.                             ***********************
  31.                             ***                 ***
  32.                             *** CHECKUP ver 1.0 ***
  33.                             ***                 ***
  34.                             ***********************
  35.  
  36.                        (C)Copyright 1988, Gilmore Systems
  37.  
  38.                                 Gilmore Systems
  39.                                  P.O. Box 3831
  40.                           Beverly Hills, CA 90212-0831
  41.                                      U.S.A.
  42.  
  43.                              Phone: (213) 275-8006
  44.  
  45.                         Program written by Chuck Gilmore
  46.  
  47.  
  48.  
  49.     CHECKUP                                                          Page  1
  50.  
  51.  
  52.  
  53.                                   Introduction
  54.  
  55.     Computer  viruses  have  now  become  an international concern.  They've
  56.     infected places such as NASA, EDS (subsidiary of GM), universities  such
  57.     as Lehigh university, and Miami university) and countless other firms as
  58.     well as individuals.  Major software  houses are not immune either.   If
  59.     they admit  being struck  by a  virus, nobody  would buy their software.
  60.     You know  things are  getting bad  when you  buy a  name brand  software
  61.     package at a computer store and find that it's infected by a virus!
  62.  
  63.                          Just what IS a computer Virus?
  64.  
  65.     A computer virus is a small  piece of code contained within a  seemingly
  66.     innocent program.  What's unique about the code is that when the program
  67.     is run, it attaches itself to other programs.  When those other programs
  68.     are run, the virus inside them seeks out and attaches itself to yet more
  69.     programs on your disks.  These  other programs (the targets) can  be ANY
  70.     program including your operating system (ie: command.com).  Depending on
  71.     what instructions are present within the viral code, the results can  be
  72.     quite  severe  -  anything  from  wiping  out  your entire fixed disk to
  73.     ruining  your  data  to  altering  video  I/O functions so that your CRT
  74.     explodes!  These catastrophic results are usually not carried out  right
  75.     away - the people writing these viruses usually set "time bombs" in  the
  76.     viral code.  These "time bombs" can be anything - when a certain date is
  77.     reached,  or  a  certain  memory  location  is written to with a certain
  78.     value, or the number of files on your disk reaches a certain number,  or
  79.     you run  a program  a certain  number of  times -  these are  just a few
  80.     examples  of  "triggers"  that  viruses  set  and  look  for.   When the
  81.     "trigger" happens, then the viral code does its catastrophic dirty work.
  82.  
  83.                              Bulletin Board Systems
  84.  
  85.     In addition to spreading  computer viruses by infected  software houses,
  86.     Bulletin Board  Systems are  a major  target for  the people  who derive
  87.     pleasure  out  of  writing  viral  code.   ANY  program  on a BBS can be
  88.     downloaded by ANYONE.  The person  downloading a program from a  BBS may
  89.     be a "virus implanter" and implant the downloaded program with a  virus,
  90.     then upload  it to  other BBS's  where perhaps  thousands of people will
  91.     download the infected version of  the program.  The problem is  reaching
  92.     epidemic proportions  and as  a result,  some companies  have banned the
  93.     downloading of programs from BBS's.  This is indeed a shame, since BBS's
  94.     are there for the sharing of knowledge, information, and the opportunity
  95.     to get talented programmer's works known.
  96.  
  97.               How Can I Tell If MY Computer Has Infected Programs?
  98.  
  99.     Simply put, YOU  CANNOT!  That's the  scariest part of  it all.  Viruses
  100.     may lie dormant for  months or years on  an infected system before  they
  101.     show their symptoms.  Programs will  continue to run normally until  one
  102.     day when the "trigger" is reached.
  103.  
  104.                     What Can I Do to Stop a Potential Virus?
  105.  
  106.  
  107.  
  108.                      Checkup User Guide - (C)Copyright 1988, Gilmore Systems
  109.  
  110.  
  111.  
  112.     CHECKUP                                                          Page  2
  113.  
  114.  
  115.     There are some viral-fighting  programs available such as  FLU-SHOT, and
  116.     versions of VACCINE.  These programs attempt to block viruses from doing
  117.     things that viruses typically do.  They attempt to block any altering of
  118.     COMMAND.COM or your other operating system's system files.  They try  to
  119.     alert you  of low-level  disk writing.   These programs  look for  other
  120.     things as well but may slow your system down as a result.  Some  require
  121.     you to  make lists  of approved  programs and  TSR's.  The  problem with
  122.     these  programs  are  that  they  are  running  on your system which may
  123.     contain a  virus that  looks for  these particular  programs and renders
  124.     them inactive  or makes  them think  that everything's  ok (sounds  like
  125.     AIDs, doesn't it?) while they do their dirty work.  The original version
  126.     of FLU-SHOT was found to contain a virus itself, although newer versions
  127.     have been corrected.
  128.  
  129.                               Introducing CHECKUP
  130.  
  131.     CHECKUP is a program which differs from vaccine-type programs and  other
  132.     programs that attempt to find, block, or alert you to viruses.   CHECKUP
  133.     does none of these things.  As  a matter of fact, CHECKUP can't  even be
  134.     run from  your fixed  disk!  CHECKUP  is a  preventive medicine  program
  135.     which sort of takes a snapshot (x-ray) of your entire fixed disk(s)  and
  136.     logs it to a  file.  The things checkup  logs are the date,  time, size,
  137.     attribute, and CRC (Cyclic Redundancy Check) of every file on your fixed
  138.     disk(s).  It looks for differences  in all of these things  whenever you
  139.     decide to  run it  again and  alerts you  to any  changes.  Any  changes
  140.     potentially mean a  virus is at  work - Viruses  have to alter  files in
  141.     some way in order to spread themselves.
  142.  
  143.                                  Using CHECKUP
  144.  
  145.     CHECKUP should NOT be placed on your fixed disk - it will ONLY RUN  FROM
  146.     A FLOPPY, and furthermore,  it won't even run  from a floppy unless  you
  147.     BOOT DOS FROM FLOPPY!
  148.  
  149.     Why all the hassle of booting  from and running from a floppy?   Simple.
  150.     If you boot from a fixed disk, you may be booting from an infected  copy
  151.     of your  operating system,  starting an  infected TSR,  have an infected
  152.     device driver, or may  have run an infected  program.  If you boot  from
  153.     floppy, you don't give the viruses on your fixed disk a chance to become
  154.     active.  Therefore, the  first thing you  should do in  order to prepare
  155.     for using the CHECKUP program is:
  156.  
  157.       1) Boot DOS from your ORIGINAL distribution disk.
  158.       2) Format a bootable floppy. (use the command "FORMAT A:/S")
  159.       3) Copy CHECKUP.EXE to the newly formatted disk.
  160.       4) Diskcopy this new disk for as many fixed disk drives or logical
  161.          drives you have on your system and label each one for a specific
  162.          drive (ie: CHECKUP for drive C:, CHECKUP for drive D:, etc).
  163.  
  164.     Anytime you  want to  run CHECKUP,  you should  first turn your computer
  165.     OFF,  then  back  on  with  the  bootable  CHECKUP  diskette in drive A:
  166.     (Hitting Ctrl-Alt-Del may not get rid of actively running viruses).
  167.  
  168.     You can run CHECKUP  in either of 2  ways: interactively, or by  command
  169.  
  170.  
  171.                      Checkup User Guide - (C)Copyright 1988, Gilmore Systems
  172.  
  173.  
  174.  
  175.     CHECKUP                                                          Page  3
  176.  
  177.  
  178.     line arguments.
  179.  
  180.                          Running CHECKUP Interactively
  181.  
  182.     Simply type and  enter "CHECKUP" on  the command line  (without quotes).
  183.     You'll be presented with  a screen containing 3  sets of fields to  fill
  184.     in:
  185.  
  186.        1) The Drive Letter of the fixed disk you wish to check.
  187.        2) The Processing Option you wish CHECKUP to perform.
  188.        3) The filename extensions of the files you wish to check.
  189.  
  190.     The first field simply asks for the drive letter of the fixed disk drive
  191.     you wish to check.
  192.  
  193.     The second field has  one of three answers:  N, C, or P  which stand for
  194.     New, Check, and Print, respectively.  The first time you run CHECKUP you
  195.     should choose N which will scan your fixed disk and log a "snapshot"  of
  196.     your  files.   CHECKUP  will  create  a  log  on  floppy  drive  A named
  197.     DRIVEx.CKP, where the "x" is the drive letter of the drive that's  being
  198.     logged.  You should run CHECKUP with the N option after every BACKUP  or
  199.     immediately  before  running  a  new  program,  or whenever appropriate.
  200.     Using the N option  logs all files which  may have been added  since the
  201.     last time you used the N option.
  202.  
  203.     Choosing C or P requires that your printer be turned on (writes to  LPT1
  204.     or PRN).  After running N, you should re-run the program choosing P  for
  205.     a readable hardcopy of the log.
  206.  
  207.     Run CHECKUP with  the C option  after anytime you've  run a new  program
  208.     such as one that may have been downloaded from a BBS (or even  purchased
  209.     from a store).  Besides  after running a new  program, it would be  very
  210.     beneficial to give  your disk a  weekly checkup by  running CHECKUP with
  211.     the C  option.  CHECKUP  will print  any discrepencies  in checks of the
  212.     actual files  on your  fixed disk  against the  log entries,  as well as
  213.     report on deleted files, removed directories, and changed volume  names.
  214.     This report should alert you to possible infection by viruses present on
  215.     your system and which files or programs may have become infected.   Some
  216.     discrepencies are normal:
  217.  
  218.        -  If you're a programmer, the only EXE or COM files that should
  219.           change are the ones YOU create or modify.
  220.        -  If you've edited an existing text file this will be reported
  221.           by CHECKUP if you've used "*" or supplied its extension.
  222.        -  Many programs modify data files (ie: database programs modify
  223.           database files, games may modify their own data files, etc). This
  224.           is normal but will be reported by CHECKUP nonetheless.
  225.  
  226.     The  third  field  lets  you  enter  anywhere  from  0  to  10 different
  227.     extensions (filename extensions) which can be anywhere from one to three
  228.     characters including the  wildcards (? and  *).  If you're  not familiar
  229.     with wildcards, please  consult your DOS  manual.  Whenever you  specify
  230.     extensions, CHECKUP only  looks for and  checks filenames on  your fixed
  231.     disk that match the extensions you supply.  For instance, if you  supply
  232.  
  233.  
  234.                      Checkup User Guide - (C)Copyright 1988, Gilmore Systems
  235.  
  236.  
  237.  
  238.     CHECKUP                                                          Page  4
  239.  
  240.  
  241.     EXE, COM, SYS, and BAT (which  we recommend as a minimum), CHECKUP  will
  242.     only  check  or  look  for  files  matching those extensions (ie: *.EXE,
  243.     *.COM, *.SYS, and *.BAT).  Some programs use overlays, usually  matching
  244.     the OV? extension.  For maximum  protection, use "*" by itself  (without
  245.     quotes) to check and look for  EVERY file on your fixed disk  (including
  246.     those  without  any  extensions).   If  you  use "*" (without quotes) by
  247.     itself, ALL files on your fixed  disk will be specified, whereas if  you
  248.     use "*" as in  "XX*", all files matching  "XX*" will be specified  along
  249.     with any other exensions you specify  (if any).  If you don't enter  any
  250.     extensions, "*" will default (ALL files).
  251.  
  252.     Once all three fields  have been filled in  by you, press the  F2 key on
  253.     your keyboard to start processing.  Anytime before pressing F2, you  can
  254.     press F1 for  brief help with  the field you're  on, or F10  to quit the
  255.     program.
  256.  
  257.                   Running CHECKUP With Command Line Arguments
  258.  
  259.     You can run CHECKUP with command line arguments as follows:
  260.  
  261.        CHECKUP  d:  /n=EXT | /c=EXT | /p=EXT  [/o=OUTFILE]
  262.  
  263.     The arguments are not  case sensitive so feel  free to use lower  and/or
  264.     uppercase  characters.   Spacing  is  not  important  either, use spaces
  265.     wherever you want or none at all.  The argument definitions are:
  266.  
  267.        d:       - The drive letter of the fixed disk drive to check.
  268.  
  269.        /n=      - Identical to N of field 2 of interactive usage.
  270.  
  271.        /c=      - Identical to C of field 2 of interactive usage.
  272.  
  273.        /p=      - Identical to P of field 2 of interactive usage.
  274.  
  275.        EXT      - Identical to field 3 of interactive usage. Extensions
  276.                   must be separated by commas.
  277.  
  278.        [/o=OUTFILE] - The brackets surrounding this argument mean it's
  279.                       optional - don't use the brackets. /o=OUTFILE if
  280.                       present, will print output to the filespec specified
  281.                       by OUTFILE instead of your printer. OUTFILE should
  282.                       contain a complete path including drive. Note that
  283.                       printed output (which would be routed to OUTFILE)
  284.                       takes place when the C or P options are used.
  285.  
  286.     Note that ONLY ONE of  /n=, /c=, or /p=  is to be used (just as in the
  287.     interactive mode).
  288.  
  289.     Examples:
  290.  
  291.      CHECKUP c: /n=*                 creates new log of files on drive C:
  292.  
  293.      CHECKUP c: /n=exe,com,sys,bat   creates new log of files on drive C:
  294.                                      matching *.exe, *.com, *.sys, *.bat
  295.  
  296.  
  297.                      Checkup User Guide - (C)Copyright 1988, Gilmore Systems
  298.  
  299.  
  300.  
  301.     CHECKUP                                                          Page  5
  302.  
  303.  
  304.  
  305.      CHECKUP e:/p=*                  makes a readable hardcopy of everything
  306.                                      in the DRIVEE.CKP log.
  307.  
  308.      CHECKUP e:/p=* /o=c:\log_e      same as above but creates file C:\LOG_E
  309.                                      and prints to this file instead of your
  310.                                      printer.
  311.  
  312.      CHECKUP f:/c=*                  checks drive F against the log
  313.                                      DRIVEF.CKP and prints any discrepencies
  314.                                      on your printer.
  315.  
  316.      CHECKUP f: /c=* /o=c:\report    same as above but creates file
  317.                                      C:\REPORT and prints to this file
  318.                                      instead of your printer.
  319.  
  320.      CHECKUP d: /c=exe,com,sys,bat   checks drive D against log DRIVED.CKP
  321.                                      and prints any discrepencies on your
  322.                                      printer. Note that only *.exe, *.com,
  323.                                      *.sys, and *.bat will be checked.
  324.  
  325.  
  326.  
  327.                       ***********************************
  328.                       ***   IMPORTANT FINAL REMARKS   ***
  329.                       ***********************************
  330.  
  331.     Running CHECKUP with  the N option  will only log  the current state  of
  332.     your files  on your  fixed disk(s),  which may  already contain infected
  333.     files.  Subsequent  runs using  the C  option alert  you to  any changes
  334.     which may have occurred.  Any of  the changes reported is an alert  of a
  335.     potential virus.  If a file  has changed that shouldn't have,  remove it
  336.     from your system immediately and replace it with the same file from your
  337.     original  distribution   diskette.   If   COMMAND.COM,  IBMBIO.COM,   or
  338.     IBMDOS.COM  have  changed  on  your  drive  C,  turn  off  your computer
  339.     immediately.  Insert your original DOS  diskette in Drive A and  restart
  340.     your computer.  Once restarted, do  a "SYS C:" to overwrite  these files
  341.     to  the  way  they  should  be.   If  COMMAND.COM was the only file that
  342.     changed, turn off your  computer immediately.  Insert your  original DOS
  343.     Diskette in  Drive A  and restart  your computer.   Once restarted, do a
  344.     "COPY COMMAND.COM C:" or to the appropriate disk drive.
  345.  
  346.     CHECKUP  searches  all  file  attributes  -  system,  hidden, etc.  Once
  347.     processing  has  started,  checkup  starts  a  timer and when processing
  348.     finishes, checkup prints how long  it ran.  On computer running  at 4.77
  349.     Mhz such as the original IBM XT's, CHECKUP may take a while to  complete
  350.     its job.  On computers such as the IBM PS/2 Model 80 running at 20  Mhz,
  351.     CHECKUP flies through in minutes.  We've incorporated fast algorithms so
  352.     that CHECKUP will run through your system as fast as possible.
  353.  
  354.     It's pretty difficult  to evade a  CRC (cyclic redunancy  check) of your
  355.     files, not to mention changing file size by adding a couple of bytes  or
  356.     so.
  357.  
  358.  
  359.  
  360.                      Checkup User Guide - (C)Copyright 1988, Gilmore Systems
  361.  
  362.  
  363.  
  364.     CHECKUP                                                          Page  6
  365.  
  366.  
  367.     Clever viruses install themselves over unused portions of program files,
  368.     and manage to keep the same size, date, time, and attribute of the file.
  369.  
  370.     But even with these protective checks, CRC does not guarantee that  some
  371.     clever deviant may code a virus to attempt to match the original CRC  of
  372.     a file it altered.   There are no reports  of this yet, but  as more CRC
  373.     checking programs  such as  this are  in use,  virus-writing programmers
  374.     will  have  to  incorporate  code  (mutations)  to  match the CRC of the
  375.     original file  when they  alter it.   It's not  a small  task for  them,
  376.     however CRC checking is a well known method.  If you can test a file for
  377.     CRC, you can alter a file such that its CRC stays the same.  Because  of
  378.     this, we offer another version of CHECKUP (MCHECKUP or Modified CHECKUP)
  379.     which  uses  a  unique,  modified  CRC  check  which is not known to the
  380.     virus-writing programmers (and we won't make the method public in  order
  381.     to protect you).  Since the modification we made to the CRC algorithm is
  382.     unknown to anyone but us,  a virus-writing programmer will not  know how
  383.     to defeat the check.
  384.  
  385.                           ***************************
  386.                           ***   Register Today!   ***
  387.                           ***************************
  388.  
  389.     If you've obtained  this copy of  CHECKUP from a  friend or BBS  (shared
  390.     programs), there is NO guarantee that your copy of CHECKUP hasn't become
  391.     infected by a virus.  We cannot guarantee that somebody didn't  download
  392.     this program, infect it (purposely  or accidentally), and pass it  on by
  393.     uploading it to other BBS's or giving it to friends.
  394.  
  395.     Since this is shareware we would normally encourage you to try it,  then
  396.     register if you like it.  Recall that FLU-SHOT became infected.  You may
  397.     use this program at your own risk.
  398.  
  399.     We can only guarantee that the copy of CHECKUP we send you on floppy via
  400.     U.S. mail is free of viruses.  When you get your copy of CHECKUP through
  401.     the mail, please  boot DOS from  the original DOS  distribution diskette
  402.     and then  do a  DOS compare  (COMP) on  our CHECKUP  versus the  one you
  403.     downloaded  or  got  from  a  friend.   Report  any  differences  to  us
  404.     immediately, along  with the  name and  telephone number  of the BBS you
  405.     obtained it from.
  406.  
  407.     Registration is  $15 (U.S.  currency, check,  or use  your VISA/MC  when
  408.     registering by phone).
  409.  
  410.     When you register, we'll send you not only a copy of CHECKUP, but a copy
  411.     of MCHECKUP  as well.   We recommend  the use  of MCHECKUP  over CHECKUP
  412.     since virus-writing programmers don't know what we're looking for.
  413.  
  414.     Unless you specifically request a 3-1/2" micro-floppy disk, we will send
  415.     you  a  5-1/4"  disk.   CHECKUP  will  run  on  all  true IBM compatible
  416.     computers running the  IBM PC-DOS or  MS-DOS operating systems  versions
  417.     2.0 and above.  Some fixed disks require drivers which should be  placed
  418.     on your boot diskettes  from the original driver  distribution diskette.
  419.     CHECKUP runs  on the  entire family  of IBM  (and compatible)  computers
  420.     ranging from the XT  to the PS/2 model  80.  Fixed disks containing  the
  421.  
  422.  
  423.                      Checkup User Guide - (C)Copyright 1988, Gilmore Systems
  424.  
  425.  
  426.  
  427.     CHECKUP                                                          Page  7
  428.  
  429.  
  430.     OS/2 operating  system and  associated files  can also  be checked  with
  431.     CHECKUP since they maintain  the same file structure  as DOS - you  must
  432.     still format DOS bootable diskettes to use CHECKUP.
  433.  
  434.     To register, send $15 to:
  435.  
  436.                                 Gilmore Systems
  437.                                  P.O. Box 3831
  438.                           Beverly Hills, CA 90212-0831
  439.  
  440.                     - or call us with your VISA/MC number -
  441.  
  442.                                  (213) 275-8006
  443.  
  444.     Many  companies  such  as  us  use  BBS  systems  to  exchange and share
  445.     information, ideas, new technologies, programs, tools, and multitudes of
  446.     other things.  How can we continue to use these invaluable offerings  in
  447.     fear  of  destruction  of  your  most  valuable  programs, data, or even
  448.     hardware?  We hope  that CHECKUP will  offer you security  against these
  449.     fears and  at the  same time  inspire other  programmers to create other
  450.     anti-viral or preventive computer medicine type programs.
  451.  
  452.  
  453.     - Chuck Gilmore, President
  454.  
  455.  
  456.  
  457.  
  458.  
  459.  
  460.  
  461.  
  462.  
  463.  
  464.  
  465.  
  466.  
  467.  
  468.  
  469.  
  470.  
  471.  
  472.  
  473.  
  474.  
  475.  
  476.  
  477.  
  478.  
  479.  
  480.  
  481.  
  482.  
  483.  
  484.  
  485.  
  486.                      Checkup User Guide - (C)Copyright 1988, Gilmore Systems
  487.  
  488.