home *** CD-ROM | disk | FTP | other *** search
/ BBS in a Box 5 / BBS in a Box -Volume V (BBS in a Box) (April 1992).iso / Files / Util / Df-Dz / DIS1.5INFO < prev    next >
Encoding:
Text File  |  1989-12-17  |  8.0 KB  |  172 lines  |  [TEXT/MSWD]
  1. Disinfectant 1.5
  2. ================
  3.  
  4. December 14, 1989
  5.  
  6. Disinfectant 1.5 is a new release of our free Macintosh
  7. virus detection and repair utility.
  8.  
  9. Shortly after the release of version 1.4, a new strain
  10. of the WDEF virus was discovered.  Version 1.5 has been
  11. configured to recognize the new strain.  Version 1.5
  12. also contains code to detect and repair other strains
  13. of WDEF which may exist but have not yet been
  14. reported.
  15.  
  16. Disinfectant 1.5 is available now via anonymous FTP
  17. from site acns.nwu.edu [129.105.49.1].  It will also
  18. be available soon on sumex-aim, comp.binaries.mac,
  19. ComuServe, Genie, Delphi, BIX, MacNet, America Online,
  20. Calvacom, and other popular sources for free and
  21. shareware software.
  22.  
  23. The following text is extracted from the new section
  24. on WDEF in Disinfectant's online document.  It
  25. describes what we know to date about this new virus.
  26. The description has been expanded to include new
  27. information that has recently become available.
  28.  
  29. The WDEF virus was first discovered in December, 1989 in Belgium
  30. and in one of our labs at Northwestern University. Since the
  31. initial discovery, it has also been reported at many other
  32. locations throughout the United States, so we fear that it is
  33. widespread. We have reason to believe that the virus has been in
  34. existence since at least mid-October of 1989. We know of two
  35. strains, which we call "WDEF A" and "WDEF B."
  36.  
  37. WDEF only infects the invisible "Desktop" files used by the
  38. Finder. With a few exceptions, every Macintosh disk (hard drives
  39. and floppies) contains one of these files. WDEF does not infect
  40. applications, document files, or other system files. Unlike the
  41. other viruses, it is not spread through the sharing of
  42. applications, but rather through the sharing and distribution of
  43. disks, usually floppy disks.
  44.  
  45. WDEF may have been introduced initially via a Trojan Horse
  46. application, in a fashion similar to the way the MacMag virus was
  47. first introduced via a Trojan Horse HyperCard stack. We do not yet
  48. know if this is indeed the case, and we may never know.
  49.  
  50. WDEF spreads from disk to disk very rapidly. It is not necessary
  51. to run a program for the virus to spread.
  52.  
  53. The WDEF A and WDEF B strains are very similar.  The only
  54. significant difference is that WDEF B beeps every time it infects
  55. a new Desktop file, while WDEF A does not beep.
  56.  
  57. Although the virus does not intentionally try to do any damage,
  58. WDEF contains bugs which can cause very serious problems. We have
  59. received reports of the following problems:
  60.  
  61. * The virus causes both the Mac IIci and the portable to crash.
  62. * Under some circumstances the virus can cause severe performance
  63. problems on AppleTalk networks with AppleShare servers.
  64. * Many people have reported frequent crashes when trying to save
  65. files in applications under MultiFinder.
  66. * The virus causes problems with the proper display of font styles
  67. (the outline style in particular).
  68. * We have two reports that the virus can damage disks.
  69. * We have a report that the virus causes Macs with 8 megabytes of
  70. memory to crash.
  71. * We have a report that the virus is incompatible with the
  72. "Virtual" INIT from Connectix.
  73.  
  74. Even though AppleShare servers do not use the normal Finder
  75. Desktop file, many servers have an unused copy of this file
  76. anyway. If the AppleShare administrator has granted the "make
  77. changes" privilege to the root directory on the server, then any
  78. infected user of the server can infect the Desktop file on the
  79. server. This is one of the situations which can lead to the severe
  80. performance problems mentioned above. For this reason,
  81. administrators should never grant the "make changes" privilege on
  82. server root directories. We also recommend deleting the Desktop
  83. file if it exists. It does not appear that the virus can spread
  84. from an AppleShare server to other Macs on the network, however.
  85.  
  86. When using Disinfectant to repair WDEF infections, you must use
  87. Finder instead of MultiFinder. Under MultiFinder the Desktop files
  88. are always "busy," and Disinfectant is not able to repair them. If
  89. you try to repair using MultiFinder, you will get an error
  90. message.
  91.  
  92. Unfortunately, when the WDEF virus first appeared, none of the
  93. current versions of the most popular virus prevention tools were
  94. able to detect or prevent WDEF infections. This includes Vaccine
  95. 1.0.1, GateKeeper 1.1.1, Symantec's SAM Intercept 1.10, and HJC's
  96. Virex INIT 1.12.
  97.  
  98. Chris Johnson, the author of Gatekeeper, has released "GateKeeper
  99. Aid," a free system startup document (INIT) that detects and
  100. automatically removes WDEF infections and notifies the user of the
  101. infection. GateKeeper Aid can be used together with GateKeeper or
  102. together with Vaccine to provide protection against WDEF.
  103.  
  104. New versions of the commercial tools should also be released soon,
  105. and we expect that at least one other free protection tool will
  106. also be available soon.
  107.  
  108. It is very important that all Mac users obtain and install
  109. GateKeeper Aid or some other WDEF protection tool. You can use
  110. Disinfectant to remove an existing infection, but if you do not
  111. install a protection tool you may very likely become infected
  112. again.
  113.  
  114. In addition to the two known strains of the WDEF virus,
  115. Disinfectant will also detect and repair other strains which may
  116. exist but have not yet been reported. If an unknown strain is
  117. detected, Disinfectant places the following message in the report:
  118.  
  119.    ### File infected by an unknown strain of WDEF
  120.  
  121. If you see this message, and if you have not already repaired the
  122. file, we would appreciate it if you would send a copy to the
  123. author. The author's addresses are at the end of this document.
  124. You may need the assistance of an expert, since the Desktop files
  125. that are infected by the WDEF virus are normally invisible. You
  126. should use ResEdit or some other file editing tool to make the
  127. file visible, then make a copy to send to us, then use the same
  128. tool to make the original file invisible again, and use
  129. Disinfectant to repair it. Send the copy to the author, then
  130. delete the copy.
  131.  
  132. Please do not worry if you are not comfortable with these
  133. instructions and you do not have access to an expert. Go ahead and
  134. repair the infected file. It is more important that you rid your
  135. system of the virus than it is for us to get a copy of the unknown
  136. strain.
  137.  
  138. This version of Disinfectant is being released only one week after
  139. the discovery of the WDEF virus. We do not yet understand it as
  140. thoroughly as we do the other older viruses. We have disassembled
  141. it completely, and we understand the basic replication mechanism.
  142. We know that it can cause serious problems, and we know why it
  143. causes some of the problems. Research into the behavior and
  144. adverse effects of this virus will continue for some time.
  145.  
  146. You should keep in touch with your local Mac user group or
  147. bulletin board for more information about this new virus as it
  148. becomes available. Commercial online services like CompuServe and
  149. Genie and the Macintosh trade press publications like MacWeek are
  150. also good sources of information.
  151.  
  152. When the WDEF virus was first discovered, the authors of most of
  153. the popular virus-fighting programs and other experts immediately
  154. began working together to analyze and test the virus. The
  155. information presented here is a compilation of our joint
  156. discoveries. The author would like to thank everybody who helped
  157. in the investigation. Particular thanks to Chris Johnson
  158. (GateKeeper), Jeff Shulman (VirusDetective), Paul Cozza (SAM),
  159. Robert Woodhead (Virex), Dave Platt, Werner Uhrig, and the Apple
  160. Virus Rx team. Thanks also to the many Mac users who sent reports
  161. of WDEF sightings and problems caused by the virus.
  162.  
  163. John Norstad
  164. Academic Computing and Network Services
  165. Northwestern University
  166. 2129 Sheridan Road
  167. Evanston, IL 60208
  168.  
  169. Bitnet: jln@nuacc
  170. Internet: jln@acns.nwu.edu
  171. CompuServe: 76666,573
  172. AppleLink: A0173