home *** CD-ROM | disk | FTP | other *** search
/ HaCKeRz Kr0nlcKLeZ 1 / HaCKeRz Kr0nlcKLeZ.iso / chibacity / comp.faq / text0000.txt < prev    next >
Encoding:
Text File  |  1996-04-22  |  51.4 KB  |  1,080 lines
  1. Archive-name: computer-virus-faq
  2. Last-modified: 18 November 1992, 7:45 AM EST
  3.  
  4.            Frequently Asked Questions on VIRUS-L/comp.virus
  5.              Last Updated: 18 November 1992, 7:45 AM EST
  6.  
  7. ====================
  8. = Preface Section: =
  9. ====================
  10.  
  11. This document is intended to answer the most Frequently Asked
  12. Questions (FAQs) about computer viruses.  As you can see, there are
  13. many of them!  If you are desperately seeking help after recently
  14. discovering what appears to be a virus on your computer, consider
  15. skimming through sections A and B to learn the essential jargon, then
  16. concentrate on section C.
  17.  
  18. If you may have found a new virus, or are not quite sure if some file
  19. or boot sector is infected, it is important to understand the protocol
  20. for raising such questions, e.g. to avoid asking questions that can be
  21. answered in this document, and to avoid sending "live" viruses except
  22. to someone who is responsible (and even then in a safe form!).
  23.  
  24. Above all, remember the time to really worry about viruses is BEFORE
  25. your computer gets one!
  26.  
  27. The FAQ is a dynamic document, which changes as people's questions
  28. change.  Contributions are gratefully accepted -- please e-mail them
  29. to me at krvw@cert.org.  The most recent copy of this FAQ will always
  30. be available on the VIRUS-L/comp.virus archives, including the
  31. anonymous FTP on cert.org (192.88.209.5) in the file:
  32. pub/virus-l/FAQ.virus-l
  33.  
  34. Ken van Wyk, moderator VIRUS-L/comp.virus
  35.  
  36. Primary contributors (in alphabetical order):
  37.     Mark Aitchison <phys169@csc.canterbury.ac.nz>
  38.     Vaughan Bell <vaughan@computing-department.poly-south-west.ac.uk>
  39.     Matt Bishop <matt.bishop@dartmouth.edu>
  40.     Vesselin Bontchev <bontchev@fbihh.informatik.uni-hamburg.de>
  41.     Olivier M.J. Crepin-Leblond <umeeb37@vaxa.cc.ic.ac.uk>
  42.     David Chess <chess@watson.ibm.com>
  43.     John-David Childs <con_jdc@lewis.umt.edu>
  44.     Nick FitzGerald <cctr132@csc.canterbury.ac.nz>
  45.     Claude Bersano-Hayes <hayes@urvax.urich.edu>
  46.     John Kida <jhk@washington.ssds.COM>
  47.     Donald G. Peters <Peters@Dockmaster.NCSC.Mil>
  48.     A. Padgett Peterson <padgett%tccslr.dnet@mmc.com>
  49.     Y. Radai <radai@hujivms.huji.ac.il>
  50.     Rob Slade <rslade@sfu.ca>
  51.     Gene Spafford <spaf@cs.purdue.edu>
  52.     Otto Stolz <rzotto@nyx.uni-konstanz.de>
  53.  
  54. ====================
  55.  
  56.              Questions answered in this document
  57.  
  58. Section A:   Sources of Information and Anti-viral Software
  59.              (Where can I find HELP..!)
  60.  
  61. A1)  What is VIRUS-L/comp.virus?
  62. A2)  What is the difference between VIRUS-L and comp.virus?
  63. A3)  How do I get onto VIRUS-L/comp.virus?
  64. A4)  What are the guidelines for VIRUS-L?
  65. A5)  How can I get back-issues of VIRUS-L?
  66. A6)  What is VALERT-L?
  67. A7)  What are the known viruses, their names, major symptoms and
  68.      possible cures?
  69. A8)  Where can I get free or shareware anti-virus programs?
  70. A9)  Where can I get more information on viruses, etc.?
  71.  
  72.  
  73. Section B:   Definitions
  74.              (What is ...?)
  75.  
  76. B1)  What are computer viruses (and why should I worry about them)?
  77. B2)  What is a Trojan Horse?
  78. B3)  What are the main types of PC viruses?
  79. B4)  What is a stealth virus?
  80. B5)  What is a polymorphic virus?
  81. B6)  What are fast and slow infectors?
  82. B7)  What is a sparse infector?
  83. B8)  What is a companion virus?
  84. B9)  What is an armored virus?
  85. B10) Miscellaneous Jargon and Abbreviations
  86.  
  87.  
  88. Section C:   Virus Detection
  89.              (Is my computer infected?  What do I do?)
  90.  
  91. C1)  What are the symptoms and indications of a virus infection?
  92. C2)  What steps should be taken in diagnosing and identifying viruses?
  93. C3)  What is the best way to remove a virus?
  94. C4)  What does the <insert name here> virus do?
  95. C5)  What are "false positives" and "false negatives"?
  96. C6)  Could an anti-viral program itself be infected?
  97. C7)  Where can I get a virus scanner for my Unix system?
  98. C8)  Why does an antiviral scanner report an infection only sometimes?
  99. C9)  Is my disk infected with the Stoned virus?
  100. C10) I think I have detected a new virus; what do I do?
  101. C11) CHKDSK reports 639K (or less) total memory on my system; am I
  102.      infected?
  103. C12) I have an infinite loop of sub-directories on my hard drive; am I
  104.      infected?
  105.  
  106.  
  107. Section D:   Protection Plans
  108.              (What should I do to prepare against viruses?)
  109.  
  110. D1)  What is the best protection policy for my computer?
  111. D2)  Is it possible to protect a computer system with only software?
  112. D3)  Is it possible to write-protect the hard disk with only software?
  113. D4)  What can be done with hardware protection?
  114. D5)  Will setting DOS file attributes to READ ONLY protect them from
  115.      viruses?
  116. D6)  Will password/access control systems protect my files from
  117.      viruses?
  118. D7)  Will the protection systems in DR DOS work against viruses?
  119. D8)  Will a write-protect tab on a floppy disk stop viruses?
  120. D9)  Do local area networks (LANs) help to stop viruses or do they
  121.      facilitate their spread?
  122. D10) What is the proper way to make backups?
  123.  
  124.  
  125. Section E:    Facts and Fibs about computer viruses
  126.               (Can a virus...?)
  127.  
  128. E1)  Can boot sector viruses infect non-bootable floppy disks?
  129. E2)  Can a virus hide in a PC's CMOS memory?
  130. E3)  Can a virus hide in Extended or in Expanded RAM?
  131. E4)  Can a virus hide in Upper Memory or in High Memory?
  132. E5)  Can a virus infect data files?
  133. E6)  Can viruses spread from one type of computer to another?
  134. E7)  Can DOS viruses run on non-DOS machines (e.g. Mac, Amiga)?
  135. E8)  Can mainframe computers be susceptible to computer viruses?
  136. E9)  Some people say that disinfecting files is a bad idea. Is that
  137.      true?
  138. E10) Can I avoid viruses by avoiding shareware/free software/games?
  139. E11) Can I contract a virus on my PC by performing a "DIR" of an
  140.      infected floppy disk?
  141. E12) Is there any risk in copying data files from an infected floppy
  142.      disk to a clean PC's hard disk?
  143. E13) Can a DOS virus survive and spread on an OS/2 system using the
  144.      HPFS file system?
  145. E14) Under OS/2 2.0, could a virus infected DOS session infect another
  146.      DOS session?
  147. E15) Can normal DOS viruses work under MS Windows?
  148.  
  149.  
  150. Section F:    Miscellaneous Questions
  151.               (I was just wondering...)
  152.  
  153. F1) How many viruses are there?
  154. F2) How do viruses spread so quickly?
  155. F3) What is the plural of "virus"?  "Viruses" or "viri" or "virii" or...
  156. F4) When reporting a virus infection (and looking for assistance), what
  157.     information should be included?
  158. F5) How often should we upgrade our anti-virus tools to minimize
  159.     software and labor costs and maximize our protection?
  160.  
  161.  
  162. Section G:    Specific Virus and Anti-viral software Questions...
  163.  
  164. G1) I was infected by the Jerusalem virus and disinfected the infected
  165.     files with my favorite anti-virus program.  However, Wordperfect
  166.     and some other programs still refuse to work.  Why?
  167. G2) I was told that the Stoned virus displays the text "Your PC is now
  168.     Stoned" at boot time.  I have been infected by this virus several
  169.     times, but have never seen the message.  Why?
  170. G3) I was infected by both Stoned and Michelangelo.  Why has my
  171.     computer became unbootable?  And why, each time I run my favorite
  172.     scanner, does it find one of the viruses and say that it is
  173.     removed, but when I run it again, it says that the virus is still
  174.     there?
  175.  
  176.  
  177. ================================================================
  178. = Section A.   Sources of Information and Anti-viral Software. =
  179. ================================================================
  180.  
  181. A1) What is VIRUS-L/comp.virus?
  182.  
  183. It is a discussion forum with a focus on computer virus issues.  More
  184. specifically, VIRUS-L is an electronic mailing list and comp.virus is
  185. a USENET newsgroup.  Both groups are moderated; all submissions are
  186. sent to the moderator for possible inclusion in the group.  For more
  187. information, including a copy of the posting guidelines, see the file
  188. virus-l.README, available by anonymous FTP on cert.org in the
  189. pub/virus-l directory.  (FTP is the Internet File Transfer Protocol,
  190. and is described in more detail in the monthly VIRUS-L/comp.virus
  191. archive postings - see below.)
  192.  
  193. Note that there have been, from time to time, other USENET
  194. cross-postings of VIRUS-L, including the bit.listserv.virus-l.  These
  195. groups are generally set up by individual site maintainers and are not
  196. as globally accessible as VIRUS-L and comp.virus.
  197.  
  198.  
  199. A2) What is the difference between VIRUS-L and comp.virus?
  200.  
  201. As mentioned above, VIRUS-L is a mailing list and comp.virus is a
  202. newsgroup.  In addition, VIRUS-L is distributed in digest format (with
  203. multiple e-mail postings in one large digest) and comp.virus is
  204. distributed as individual news postings.  However, the content of the
  205. two groups is identical.
  206.  
  207.  
  208. A3) How do I get onto VIRUS-L/comp.virus?
  209.  
  210. Send e-mail to LISTSERV@LEHIGH.EDU stating: "SUB VIRUS-L your-name".
  211. To "subscribe" to comp.virus, simply use your favorite USENET news
  212. reader to read the group (assuming that your site receives USENET
  213. news).
  214.  
  215.  
  216. A4) What are the guidelines for VIRUS-L?
  217.  
  218. The list of posting guidelines is available by anonymous FTP on
  219. cert.org.  See the file pub/virus-l/virus-l.README for the most recent
  220. copy.  In general, however, the moderator requires that discussions
  221. are polite and non-commercial.  (Objective postings of product
  222. availability, product reviews, etc., are fine, but commercial
  223. advertisements are not.)  Also, requests for viruses (binary or
  224. disassembly) are not allowed.  Technical discussions are strongly
  225. encouraged, however, within reason.
  226.  
  227.  
  228. A5) How can I get back-issues of VIRUS-L?
  229.  
  230. VIRUS-L/comp.virus includes a series of archive sites that carry all
  231. the back issues of VIRUS-L, as well as public anti-virus software (for
  232. various computers) and documents.  The back-issues date back to the
  233. group's inception, 21 April 1988.  The list of archive sites is
  234. updated monthly and distributed to the group; it includes a complete
  235. listing of the sites, what they carry, access instructions, as well as
  236. information on how to access FTP sites by e-mail.  The anonymous FTP
  237. archive at cert.org carries all of the VIRUS-L back issues.  See the
  238. file pub/virus-l/README for more information on the cert.org archive
  239. site.
  240.  
  241.  
  242. A6) What is VALERT-L?
  243.  
  244. VALERT-L is a sister group to VIRUS-L, but is intended for virus
  245. alerts and warnings only -- NO DISCUSSIONS.  There is no direct USENET
  246. counterpart to VALERT-L; it is a mailing list only.  All VALERT-L
  247. postings are re-distributed to VIRUS-L/comp.virus later.  This group
  248. is also moderated, but on a much higher priority than VIRUS-L.  The
  249. group is monitored during business hours (East Coast, U.S.A.,
  250. GMT-5/GMT-4); high priority off-hour postings can be made by
  251. submitting to the group and then telephoning the CERT/CC hotline at +1
  252. 412 268 7090 -- instruct the person answering the hotline to call or
  253. page Ken van Wyk.
  254.  
  255. Subscriptions to VALERT-L are handled identically to VIRUS-L --
  256. contact the LISTSERV.
  257.  
  258.  
  259. A7) What are the known viruses, their names, major symptoms and
  260.     possible cures?
  261.  
  262. First of all, the reader must be aware that there is no universally
  263. accepted naming convention for viruses, nor is there any standard
  264. means of testing.  As a consequence nearly ALL viral information is
  265. highly subjective and subject to interpretation and dispute.
  266.  
  267. There are several major sources of information on specific viruses.
  268. Probably the biggest one is Patricia Hoffman's hypertext VSUM.  It
  269. describes only DOS viruses, but almost all of them which are known
  270. at any given time.  Unfortunately, it is regarded by many in the field
  271. as being inaccurate, so we do not advise people to rely solely on it.
  272. It can be downloaded from most major archive sites except SIMTEL20.
  273.  
  274. The second one is the Computer Virus Catalog, published by the Virus
  275. Test Center in Hamburg.  It contains a highly technical description of
  276. computer viruses for several platforms: DOS, Mac, Amiga, Atari ST,
  277. Unix.  Unfortunately, the DOS section is quite incomplete.  The CVC
  278. is available for anonymous FTP from ftp.informatik.uni-hamburg.de
  279. (IP=134.100.4.42), directory pub/virus/texts/catalog.  (A copy of the
  280. CVC is also available by anonymous FTP on cert.org in the
  281. pub/virus-l/docs/vtc directory.)
  282.  
  283. A third source of information is the monthly Virus Bulletin, published
  284. in the UK.  Among other things, it gives detailed technical
  285. information on viruses (see also A9 below).  Unfortunately, it is very
  286. expensive (the subscription price is $395 per year).  US subscriptions
  287. can be obtained by calling 203-431-8720 or writing to 590 Danbury
  288. Road, Ridgefield, CT 06877; for European subscriptions, the number is
  289. +44-235-555139 and the address is: The Quadrant, Abingdon, OX14 3YS,
  290. England.
  291.  
  292. A fourth good source of information on DOS viruses is the "Computer
  293. Viruses" report of the National/International Computer Security
  294. Association.  This is updated regularly, and is fairly complete.
  295. Copies cost approximately $75, and can be ordered by calling +1-
  296. 202-244-7875.  ICSA/NCSA also publishes the monthly "Virus News and
  297. Reviews" and other publications.
  298.  
  299. Another source of information is the documentation of Dr. Solomon's
  300. Anti-Virus ToolKit.  It is more complete than the CVC list, just as
  301. accurate (if not more), but lists only DOS viruses.  However, it is
  302. not available electronically; you must buy his anti-virus package and
  303. the virus information is part of the documentation.
  304.  
  305. Yet another source of information is "Virus News International",
  306. published by S & S International.  And, while not entirely virus-
  307. related, "Computers & Security" provides information on many
  308. aspects of computer security, including viruses.
  309.  
  310. The best source of information available on Apple Macintosh viruses is
  311. the on-line documentation provided with the freeware Disinfectant
  312. program by John Norstad.  This is available at most Mac archive sites.
  313.  
  314.  
  315. A8) Where can I get free or shareware anti-virus programs?
  316.  
  317. The VIRUS-L/comp.virus archive sites carry publicly distributable
  318. anti-virus software products.  See a recent listing of the archive
  319. sites (or ask the moderator for a recent listing) for more information
  320. on these sites.
  321.  
  322. Many freeware/shareware anti-virus programs for DOS are available via
  323. anonymous FTP on WSMR-SIMTEL20.ARMY.MIL (192.88.110.20), in the
  324. directory PD1:<MSDOS.TROJAN-PRO>.  Note that the SIMTEL20 archives
  325. are also "mirrored" at many other anonymous FTP sites, including
  326. oak.oakland.edu (141.210.10.117, pub/msdos/trojan-pro),
  327. wuarchive.wustl.edu (128.252.135.4, /mirrors/msdos/trojan-pro),
  328. and nic.funet.fi (128.214.6.100, /pub/msdos/utilities/trojan-pro).
  329. They can also be obtained via e-mail in uuencoded form from various
  330. TRICKLE sites, especially in Europe.
  331.  
  332. Likewise, Macintosh anti-virus programs can be found on SIMTEL20 in
  333. the PD3:<MACINTOSH.VIRUS> directory.
  334.  
  335. A list of many anti-viral programs, incl. commercial products and one
  336. person's rating of them, can be obtained by anonymous ftp from
  337. cert.org (192.88.209.5) in pub/virus-l/docs/reviews as file
  338. slade.quickref.rvw.
  339.  
  340.  
  341. A9)  Where can I get more information on viruses, etc.?
  342.  
  343. There are four excellent books on computer viruses available that
  344. should cover most of the introductory and technical questions you
  345. might have:
  346.  
  347.     * "Computers Under Attack: Intruders, Worms and Viruses," edited by
  348.    Peter J. Denning, ACM Press/Addison-Wesley, 1990.  This is a book of
  349.    collected readings that discuss computer viruses, computer worms,
  350.    break-ins, legal and social aspects, and many other items related to
  351.    computer security and malicious software.  A very solid, readable
  352.    collection that doesn't require a highly-technical background.
  353.    Price: $20.50.
  354.  
  355.      * "Rogue Programs: Viruses, Worms and Trojan Horses," edited by
  356.    Lance J. Hoffman, Van Nostrand Reinhold, 1990.  This is a book of
  357.    collected readings describing in detail how viruses work, where they
  358.    come from, what they do, etc.  It also has material on worms, trojan
  359.    horse programs, and other malicious software programs.  This book
  360.    focuses more on mechanism and relatively less on social aspects than
  361.    does the Denning book; however, there is an excellent piece by Anne
  362.    Branscomb that covers the legal aspects.  Price: $32.95.
  363.  
  364.      * "A Pathology of Computer Viruses," by David Ferbrache,
  365.    Springer-Verlag, 1992.  This is a recent, in-depth book on the
  366.    history, operation, and effects of computer viruses.  It is one of the
  367.    most complete books on the subject, with an extensive history section,
  368.    a section on Macintosh viruses, network worms, and Unix viruses (if
  369.    they were to exist).
  370.  
  371.      * "A Short Course on Computer Viruses", by Dr. Fred B. Cohen, ASP
  372.    Press, 1990.  This book is by a well-known pioneer in virus research,
  373.    who has also written dozens of technical papers on the subject.  The
  374.    book can be obtained by writing to ASP Press, P.O. Box 81270,
  375.    Pittsburgh, PA 15217.  Price: $24.00.
  376.  
  377. A somewhat dated, but still useful, high-level description of viruses,
  378. suitable for a complete novice without extensive computer background
  379. is in "Computer Viruses: Dealing with Electronic Vandalism and
  380. Programmed Threats," by Eugene H. Spafford, Kathleen A. Heaphy, and
  381. David J. Ferbrache, ADAPSO (Arlington VA), 1989.  ADAPSO is a
  382. computer industry service organization and not a publisher, so the
  383. book cannot be found in bookstores; copies can be obtained directly
  384. from ADAPSO @ +1 703-522-5055).  There is a discount for ADAPSO
  385. members, educators, and law enforcement personnel.  Many people have
  386. indicated they find this a very understandable reference; portions of
  387. it have been reprinted many other places, including Denning &
  388. Hoffman's books (above).
  389.  
  390. It is also worth consulting various publications such as _Computers &
  391. Security_ (which, while not restricted to viruses, contains many of
  392. Cohen's papers) and the _Virus Bulletin_ (published in the UK; its
  393. technical articles are considered good, although there has been much
  394. criticism in VIRUS-L of some of its product evaluations).
  395.  
  396.  
  397. ======================================================
  398. = Section B.   Definitions and General Information   =
  399. ======================================================
  400.  
  401. B1) What are computer viruses (and why should I worry about them)?
  402.  
  403. According to Fred Cohen's well-known definition, a COMPUTER VIRUS is a
  404. computer program that can infect other computer programs by modifying
  405. them in such a way as to include a (possibly evolved) copy of itself.
  406. Note that a program does not have to perform outright damage (such as
  407. deleting or corrupting files) in order to to be called a "virus".
  408. However, Cohen uses the terms within his definition (e.g. "program"
  409. and "modify") a bit differently from the way most anti-virus
  410. researchers use them, and classifies as viruses some things which most
  411. of us would not consider viruses.
  412.  
  413. Many people use the term loosely to cover any sort of program that
  414. tries to hide its (malicious) function and tries to spread onto as
  415. many computers as possible.  (See the definition of "Trojan".)  Be
  416. aware that what constitutes a "program" for a virus to infect may
  417. include a lot more than is at first obvious - don't assume too much
  418. about what a virus can or can't do!
  419.  
  420. These software "pranks" are very serious; they are spreading faster
  421. than they are being stopped, and even the least harmful of viruses
  422. could be fatal.  For example, a virus that stops your computer and
  423. displays a message, in the context of a hospital life-support
  424. computer, could be fatal.  Even those who created the viruses could
  425. not stop them if they wanted to; it requires a concerted effort from
  426. computer users to be "virus-aware", rather than the ignorance and
  427. ambivalence that have allowed them to grow to such a problem.
  428.  
  429.  
  430. B2) What is a Trojan Horse?
  431.  
  432. A TROJAN HORSE is a program that does something undocumented which the
  433. programmer intended, but that the user would not approve of if he knew
  434. about it.  According to some people, a virus is a particular case of a
  435. Trojan Horse, namely one which is able to spread to other programs
  436. (i.e., it turns them into Trojans too).  According to others, a virus
  437. that does not do any deliberate damage (other than merely replicating)
  438. is not a Trojan.  Finally, despite the definitions, many people use
  439. the term "Trojan" to refer only to a *non-replicating* malicious
  440. program, so that the set of Trojans and the set of viruses are
  441. disjoint.
  442.  
  443.  
  444. B3) What are the main types of PC viruses?
  445.  
  446. Generally, there are two main classes of viruses.  The first class
  447. consists of the FILE INFECTORS which attach themselves to ordinary
  448. program files.  These usually infect arbitrary .COM and/or .EXE
  449. programs, though some can infect any program for which execution is
  450. requested, such as .SYS, .OVL, .PRG, & .MNU files.
  451.  
  452. File infectors can be either DIRECT ACTION or RESIDENT.  A direct-
  453. action virus selects one or more other programs to infect each time
  454. the program which contains it is executed.  A resident virus hides
  455. itself somewhere in memory the first time an infected program is
  456. executed, and thereafter infects other programs when *they* are
  457. executed (as in the case of the Jerusalem) or when certain other
  458. conditions are fulfilled.  The Vienna is an example of a direct-action
  459. virus.  Most other viruses are resident.
  460.  
  461. The second category is SYSTEM or BOOT-RECORD INFECTORS: those viruses
  462. which infect executable code found in certain system areas on a disk
  463. which are not ordinary files.   On DOS systems, there are ordinary
  464. boot-sector viruses, which infect only the DOS boot sector, and MBR
  465. viruses which infect the Master Boot Record on fixed disks and the DOS
  466. boot sector on diskettes.  Examples include Brain, Stoned, Empire,
  467. Azusa, and Michelangelo.  Such viruses are always resident viruses.
  468.  
  469. Finally, a few viruses are able to infect both (the Tequila virus is
  470. one example).  These are often called "MULTI-PARTITE" viruses, though
  471. there has been criticism of this name; another name is "BOOT-AND-FILE"
  472. virus.
  473.  
  474. FILE SYSTEM or CLUSTER viruses (e.g. Dir-II) are those which modify
  475. directory table entries so that the virus is loaded and executed
  476. before the desired program is.  Note that the program itself is not
  477. physically altered, only the directory entry is.  Some consider these
  478. infectors to be a third category of viruses, while others consider
  479. them to be a sub-category of the file infectors.
  480.  
  481.  
  482. B4) What is a stealth virus?
  483.  
  484. A STEALTH virus is one which hides the modifications it has made in
  485. the file or boot record, usually by monitoring the system functions
  486. used by programs to read files or physical blocks from storage media,
  487. and forging the results of such system functions so that programs
  488. which try to read these areas see the original uninfected form of the
  489. file instead of the actual infected form. Thus the viral modifications
  490. go undetected by anti-viral programs.  However, in order to do this,
  491. the virus must be resident in memory when the anti-viral program is
  492. executed.
  493.  
  494. Example: The very first DOS virus, Brain, a boot-sector infector,
  495. monitors physical disk I/O and re-directs any attempt to read a
  496. Brain-infected boot sector to the disk area where the original boot
  497. sector is stored.  The next viruses to use this technique were the
  498. file infectors Number of the Beast and Frodo (= 4096 = 4K).
  499.  
  500. Countermeasures: A "clean" system is needed so that no virus is
  501. present to distort the results.  Thus the system should be built from
  502. a trusted, clean master copy before any virus-checking is attempted;
  503. this is "The Golden Rule of the Trade."  With DOS, (1) boot from
  504. original DOS diskettes (i.e. DOS Startup/Program diskettes from a
  505. major vendor that have been write-protected since their creation);
  506. (2) use only tools from original diskettes until virus-checking has
  507. completed.
  508.  
  509.  
  510. B5) What is a polymorphic virus?
  511.  
  512. A POLYMORPHIC virus is one which produces varied (yet fully
  513. operational) copies of itself, in the hope that virus scanners (see
  514. D1) will not be able to detect all instances of the virus.
  515.  
  516. One method to evade signature-driven virus scanners is self-encryption
  517. with a variable key; however these viruses (e.g. Cascade) are not
  518. termed "polymorphic," as their decryption code is always the same and
  519. thus can be used as a virus signature even by the simplest, signature-
  520. driven virus scanners (unless another virus or program uses the
  521. identical decryption routine).
  522.  
  523. One method to make a polymorphic virus is to choose among a variety of
  524. different encryption schemes requiring different decryption routines:
  525. only one of these routines would be plainly visible in any instance of
  526. the virus (e.g. the Whale virus).  A signature-driven virus scanner
  527. would have to exploit several signatures (one for each possible
  528. encryption method) to reliably identify a virus of this kind.
  529.  
  530. A more sophisticated polymorphic virus (e.g. V2P6) will vary the
  531. sequence of instructions in its copies by interspersing it with
  532. "noise" instructions (e.g. a No Operation instruction, or an
  533. instruction to load a currently unused register with an arbitrary
  534. value), by interchanging mutually independent instructions, or even by
  535. using various instruction sequences with identical net effects (e.g.
  536. Subtract A from A, and Move 0 to A).  A simple-minded, signature-based
  537. virus scanner would not be able to reliably identify this sort of
  538. virus; rather, a sophisticated "scanning engine" has to be constructed
  539. after thorough research into the particular virus.
  540.  
  541. The most sophisticated form of polymorphism discovered so far is the
  542. MtE "Mutation Engine" written by the Bulgarian virus writer who calls
  543. himself the "Dark Avenger".  It comes in the form of an object module.
  544. Any virus can be made polymorphic by adding certain calls to the
  545. assembler source code and linking to the mutation-engine and
  546. random-number-generator modules.
  547.  
  548. The advent of polymorphic viruses has rendered virus-scanning an ever
  549. more difficult and expensive endeavor; adding more and more search
  550. strings to simple scanners will not adequately deal with these
  551. viruses.
  552.  
  553.  
  554. B6) What are fast and slow infectors?
  555.  
  556. A typical file infector (such as the Jerusalem) copies itself to
  557. memory when a program infected by it is executed, and then infects
  558. other programs when they are executed.
  559.  
  560. A FAST infector is a virus which, when it is active in memory, infects
  561. not only programs which are executed, but even those which are merely
  562. opened.  The result is that if such a virus is in memory, running a
  563. scanner or integrity checker can result in all (or at least many)
  564. programs becoming infected all at once.  Examples are the Dark Avenger
  565. and the Frodo viruses.
  566.  
  567. The term "SLOW infector" is sometimes used for a virus which, if it is
  568. active in memory, infects only files as they are modified (or
  569. created).  The purpose is to fool people who use integrity checkers
  570. into thinking that the modification reported by the integrity checker
  571. is due solely to legitimate reasons.  An example is the Darth Vader
  572. virus.
  573.  
  574.  
  575. B7) What is a sparse infector?
  576.  
  577. The term "SPARSE infector" is sometimes given to a virus which
  578. infects only occasionally, e.g. every 10th executed file, or only
  579. files whose lengths fall within a narrow range, etc.  By infecting
  580. less often, such viruses try to minimize the probability of being
  581. discovered by the user.
  582.  
  583.  
  584. B8) What is a companion virus?
  585.  
  586. A COMPANION virus is one which, instead of modifying an existing file,
  587. creates a new program which (unknown to the user) gets executed by the
  588. command-line interpreter instead of the intended program.  (On exit,
  589. the new program executes the original program so that things will
  590. appear normal.)  The only way this has been done so far is by creating
  591. an infected .COM file with the same name assystem information.
  592.  CMOS is battery backed RAM (see below), originally used to maintain
  593.  date and time information while the PC was turned off.  CMOS memory
  594.  is not in the normal CPU address space and cannot be executed.  While
  595.  a virus may place data in the CMOS or may corrupt it, a virus cannot
  596.  hide there.
  597.  
  598. DOS = Disk Operating System.  We use the term "DOS" to mean any of the
  599.  MS-DOS, PC-DOS, or DR DOS systems for PCs and compatibles, even
  600.  though there are operating systems called "DOS" on other (unrelated)
  601.  machines.
  602.  
  603. MBR = Master Boot Record: the first Absolute sector (track 0, head 0,
  604.  sector 1) on a PC hard disk, that usually contains the partition table
  605.  (but on some PCs may simply contain a boot sector).  This is not the
  606.  same as the first DOS sector (Logical sector 0).
  607.  
  608. RAM = Random Access Memory: the place programs are loaded into in
  609.  order to execute; the significance for viruses is that, to be active,
  610.  they must grab some of this for themselves.  However, some virus
  611.  scanners may declare that a virus is active simply when it is found
  612.  in RAM, even though it might be simply left over in a buffer area of
  613.  RAM rather than truly being active.
  614.  
  615. TOM = Top Of Memory: the end of conventional memory, an architectural
  616.  design limit at the 640K mark on most PCs.  Some early PCs may not
  617.  be fully populated, but the amount of memory is always a multiple of
  618.  64K.  A boot-record virus on a PC typically resides just below this
  619.  mark and changes the value which will be reported for the TOM to the
  620.  location of the beginning of the virus so that it won't get
  621.  overwritten.  Checking this value for changes can help detect a
  622.  virus, but there are also legitimate reasons why it may change (see
  623.  C11).  A very few PCs with unusual memory managers/settings may
  624.  report in excess of 640K.
  625.  
  626. TSR = Terminate but Stay Resident: these are PC programs that stay in
  627.  memory while you continue to use the computer for other purposes;
  628.  they include pop-up utilities, network software, and the great
  629.  majority of viruses.  These can often be seen using utilities such as
  630.  MEM, MAPMEM, PMAP, F-MMAP and INFOPLUS.
  631.  
  632.  
  633. =================================
  634. = Section C.    Virus Detection =
  635. =================================
  636.  
  637. C1)  What are the symptoms and indications of a virus infection?
  638.  
  639. Viruses try to spread as much as possible before they deliver their
  640. "payload", but there can be symptoms of virus infection before this,
  641. and it is important to use this opportunity to spot and eradicate the
  642. virus before any destruction.
  643.  
  644. There are various kinds of symptoms which some virus authors have
  645. written into their programs, such as messages, music and graphical
  646. displays.  However, the main indications are changes in file sizes and
  647. contents, changing of interrupt vectors or the reassignment of other
  648. system resources.  The unaccounted use of RAM or a reduction in the
  649. amount known to be in the machine are important indicators.  The
  650. examination of the code is valuable to the trained eye, but even the
  651. novice can often spot the gross differences between a valid boot
  652. sector and an infected one.  However, these symptoms, along with
  653. longer disk activity and strange behavior from the hardware, can also
  654. be caused by genuine software, by harmless "prank" programs, or by
  655. hardware faults.
  656.  
  657. The only foolproof way to determine that a virus is present is for an
  658. expert to analyze the assembly code contained in all programs and
  659. system areas, but this is usually impracticable.  Virus scanners go
  660. some way towards that by looking in that code for known viruses; some
  661. will even try to use heuristic means to spot viral code, but this is
  662. not always reliable.  It is wise to arm yourself with the latest
  663. anti-viral software, but also to pay close attention to your system;
  664. look particularly for any change in the memory map or configuration as
  665. soon as you start the computer.  For users of DOS 5.0, the MEM program
  666. with the /C switch is very handy for this.  If you have DRDOS, use MEM
  667. with the /A switch; if you have an earlier version, use CHKDSK or the
  668. commonly-available PMAP or MAPMEM utilities.  You don't have to know
  669. what all the numbers mean, only that they change.  Mac users have
  670. "info" options that give some indication of memory use, but may need
  671. ResEdit for more detail.
  672.  
  673.  
  674. C2)  What steps should be taken in diagnosing and identifying viruses?
  675.  
  676. Most of the time, a virus scanner program will take care of that for
  677. you.  (Remember, though, that scanning programs must be kept up to
  678. date.  Also remember that different scanner authors may call the same
  679. virus by different names.  If you want to identify a virus in order to
  680. ask for help, it is best to run at least two scanners on it and, when
  681. asking, say which scanners, and what versions, gave the names.)  To
  682. help identify problems early, run it on new programs and diskettes;
  683. when an integrity checker reports a mismatch, when a generic
  684. monitoring program sounds an alarm; or when you receive an updated
  685. version of a scanner (or a different scanner than the one you have
  686. been using).  However, because of the time required, it is not
  687. generally advisable to insert into your AUTOEXEC.BAT file a command to
  688. run a scanner on an entire hard disk on every boot.
  689.  
  690. If you run into an alarm that the scanner doesn't identify, or
  691. doesn't properly clean up for you, first verify that the version that
  692. you are using is the most recent, and then get in touch with one of
  693. the reputable antivirus researchers, who may ask you to send a copy
  694. of the infected file to him.  See also question C10.
  695.  
  696.  
  697. C3) What is the best way to remove a virus?
  698.  
  699. In order that downtime be short and losses low, do the minimum that
  700. you must to restore the system to a normal state, starting with
  701. booting the system from a clean diskette.  It is very unlikely that
  702. you need to low-level reformat the hard disk!
  703.  
  704. If backups of the infected files are available and appropriate care
  705. was taken when making the backups (see D10), this is the safest
  706. solution, even though it requires a lot of work if many files are
  707. involved.
  708.  
  709. More commonly, a disinfecting program is used.  If the virus is a boot
  710. sector infector, you can continue using the computer with relative
  711. safety if you boot it from a clean system diskette, but it is wise to
  712. go through all your diskettes removing infection, since sooner or
  713. later you may be careless and leave a diskette in the machine when it
  714. reboots.  Boot sector infections on PCs can be cured by a two-step
  715. approach of replacing the MBR (on the hard disk), either by using a
  716. backup or by the FDISK/MBR command (from DOS 5 and up), then using the
  717. SYS command to replace the DOS boot sector.
  718.  
  719.  
  720. C4) What does the <insert name here> virus do?
  721.  
  722. If an anti-virus program has detected a virus on your computer, don't
  723. rush to post a question to this list asking what it does.  First, it
  724. might be a false positive alert (especially if the virus is found only
  725. in one file), and second, some viruses are extremely common, so the
  726. question "What does the Stoned virus do?" or "What does the Jerusalem
  727. virus do?" is asked here repeatedly.  While this list is monitored by
  728. several anti-virus experts, they get tired of perpetually answering
  729. the same questions over and over again.  In any case, if you really
  730. need to know what a particular virus does (as opposed to knowing
  731. enough to get rid of it), you will need a longer treatise than could
  732. be given to you here.
  733.  
  734. For example, the Stoned virus replaces the disk's boot record with its
  735. own, relocating the original to a sector on the disk that may (or may
  736. not) occur in an unused portion of the root directory of a DOS
  737. diskette; when active, it sits in an area a few kilobytes below the
  738. top of memory.  All this description could apply to a number of common
  739. viruses; but the important points of where the original boot sector
  740. goes - and what effect that has on networking software, non-DOS
  741. partitions, and so on are all major questions in themselves.
  742.  
  743. Therefore, it is better if you first try to answer your question
  744. yourself.  There are several sources of information about the known
  745. computer viruses, so please consult one of them before requesting
  746. information publicly.  Chances are that your virus is rather well known
  747. and that it is already described in detail in at least one of these
  748. sources.  (See the answer to question A7, for instance.)
  749.  
  750.  
  751. C5) What are "false positives" and "false negatives"?
  752.  
  753. A FALSE POSITIVE (or Type-I) error is one in which the anti-viral
  754. software claims that a given file is infected by a virus when in
  755. reality the file is clean.  A FALSE NEGATIVE (or Type-II) error is one
  756. in which the software fails to indicate that an infected file is
  757. infected.  Clearly false negatives are more serious than false
  758. positives, although both are undesirable.
  759.  
  760. It has been proven by Dr. Fred Cohen that every virus detector must
  761. have either false positives or false negatives or both.  This is
  762. expressed by saying that detection of viruses is UNDECIDABLE.
  763. However his theorem does not preclude a program which has no false
  764. negatives and *very few* false positives (e.g. if the only false
  765. positives are those due to the file containing viral code which is
  766. never actually executed, so that technically we do not have a virus).
  767.  
  768. In the case of virus scanners, false positives are rare, but they can
  769. arise if the scan string chosen for a given virus is also present in
  770. some benign programs because the string was not well chosen.  False
  771. negatives are more common with virus scanners because scanners will
  772. miss a completely new or a heavily modified virus.
  773.  
  774. One other serious problem could occur: A positive that is misdiagnosed
  775. (e.g., a scanner that detects the Empire virus in a boot record but
  776. reports it as the Stoned).  In the case of a boot sector infector, use
  777. of a Stoned specific "cure" to recover from the Empire could result in
  778. an unreadable disk or loss of extended partitions.  Similarly,
  779. sometimes "generic" recovery can result in unusable files, unless a
  780. check is made (e.g. by comparing checksums) that the recovered file is
  781. identical to the original file.  Some more recent products store
  782. information about the original programs to allow verification of
  783. recovery processes.
  784.  
  785.  
  786. C6) Could an anti-viral program itself be infected?
  787.  
  788. Yes, so it is important to obtain this software from good sources, and
  789. to trust results only after running scanners from a "clean" system.
  790. But there are situations where a scanner appears to be infected when
  791. it isn't.
  792.  
  793. Most antiviral programs try very hard to identify only viral
  794. infections, but sometimes they give false alarms.  If two different
  795. antiviral programs are both of the "scanner" type, they will contain
  796. "signature strings" to identify viral infections.  If the strings are
  797. not "encrypted", then they will be identified as a virus by another
  798. scanner type program.  Also, if the scanner does not remove the
  799. strings from memory after they are run, then another scanner may
  800. detect the virus string "in memory".
  801.  
  802. Some "change detection" type antiviral programs add a bit of code or
  803. data to a program when "protecting" it.  This might be detected by
  804. another "change detector" as a change to a program, and therefore
  805. suspicious.
  806.  
  807. It is good practice to use more than one antiviral program.  Do be
  808. aware, however, that antiviral programs, by their nature, may confuse
  809. each other.
  810.  
  811.  
  812. C7) Where can I get a virus scanner for my Unix system?
  813.  
  814. Basically, you shouldn't bother scanning for Unix viruses at this
  815. point in time.  Although it is possible to write Unix-based viruses,
  816. we have yet to see any instance of a non-experimental virus in that
  817. environment.  Someone with sufficient knowledge and access to write an
  818. effective virus would be more likely to conduct other activities than
  819. virus-writing.  Furthermore, the typical form of software sharing in
  820. an Unix environment would not support virus spread.
  821.  
  822. This answer is not meant to imply that viruses are impossible, or that
  823. there aren't security problems in a typical Unix environment -- there
  824. are.  However, true viruses are highly unlikely and would corrupt file
  825. and/or memory integrity.  For more information on Unix security, see
  826. the book "Practical Unix Security" by Garfinkel and Spafford, O'Reilly
  827. & Associates, 1991 (it can be ordered via e-mail from nuts@ora.com).
  828.  
  829. However, there are special cases for which scanning Unix systems for
  830. non-Unix viruses does make sense.  For example, a Unix system which is
  831. acting as a file server (e.g., PC-NFS) for PC systems is quite capable
  832. of containing PC file infecting viruses that are a danger to PC clients.
  833. Note that, in this example, the UNIX system would be scanned for PC
  834. viruses, not UNIX viruses.
  835.  
  836. Another example is in the case of a 386/486 PC system running Unix,
  837. since this system is still vulnerable to infection by MBR infectors
  838. such as Stoned and Michelangelo, which are operating system
  839. independent.  (Note that an infection on such a Unix PC system would
  840. probably result in disabling the Unix disk partition(s) from booting.)
  841.  
  842. In addition, a file integrity checker (to detect unauthorized changes
  843. in executable files) on Unix systems is a very good idea.  (One free
  844. program which can do this test, as well as other tests, is the COPS
  845. package, available by anonymous FTP on cert.org.)  Unauthorized
  846. file changes on Unix systems are very common, although they usually
  847. are not due to virus activity.
  848.  
  849.  
  850. C8) Why does my anti-viral scanner report an infection only sometimes?
  851.  
  852. There are circumstances where part of a virus exists in RAM without
  853. being active:  If your scanner reports a virus in memory only
  854. occasionally, it could be due to the operating system buffering disk
  855. reads, keeping disk contents that include a virus in memory
  856. (harmlessly), in which case it should also find it on disk.  Or after
  857. running another scanner, there may be scan strings left (again
  858. harmlessly) in memory.  This is sometimes called a "ghost positive"
  859. alert.
  860.  
  861.  
  862. C9) Is my disk infected with the Stoned virus?
  863.  
  864. Of course the answer to this, and many similar questions, is to obtain
  865. a good virus detector.  There are many to choose from, including ones
  866. that will scan diskettes automatically as you use them.  Remember to
  867. check all diskettes, even non-system ("data") diskettes.
  868.  
  869. It is possible, if you have an urgent need to check a system when
  870. you don't have any anti-viral tools, to boot from a clean system
  871. diskette, and use the CHKDSK method (mentioned in C1) to see if it is
  872. in memory, then look at the boot sector with a disk editor.  Usually
  873. the first few bytes will indicate the characteristic far jump of the
  874. Stoned virus; however, you could be looking at a perfectly good disk
  875. that has been "innoculated" against the virus, or at a diskette that
  876. seems safe but contains a totally different type of virus.
  877.  
  878.  
  879. C10) I think I have detected a new virus; what do I do?
  880.  
  881. Whenever there is doubt over a virus, you should obtain the latest
  882. versions of several (not just one) major virus scanners. Some scanning
  883. programs now use "heuristic" methods (F-PROT, CHECKOUT and SCANBOOT
  884. are examples), and "activity monitoring" programs can report a disk or
  885. file as being possibly infected when it is in fact perfectly safe
  886. (odd, perhaps, but not infected).  If no string-matching scan finds a
  887. virus, but a heuristic program does (or there are other reasons to
  888. suspect the file, e.g., change in size of files) then it is possible
  889. that you have found a new virus, although the chances are probably
  890. greater that it is an odd-but-okay disk or file.  Start by looking in
  891. recent VIRUS-L postings about "known" false positives, then contact
  892. the author of the anti-virus software that reports it as virus-like;
  893. the documentation for the software may have a section explaining what
  894. to do if you think you have found a new virus.  Consider using the
  895. BootID or Checkout programs to calculate the "hashcode" of a diskette
  896. in the case of boot sector infectors, rather than send a complete
  897. diskette or "live" virus until requested.
  898.  
  899.  
  900. C11) CHKDSK reports 639K (or less) total memory on my system; am I
  901.      infected?
  902.  
  903. If CHKDSK displays 639K for the total memory instead of 640K (655,360
  904. bytes) - so that you are missing only 1K - then it is probably due to
  905. reasons other than a virus since there are very few viruses which take
  906. only 1K from total memory.  Legitimate reasons for a deficiency of 1K
  907. include:
  908.  
  909. 1) A PS/2 computer.  IBM PS/2 computers reserve 1K of conventional
  910.   RAM for an Extended BIOS Data Area, i.e. for additional data storage
  911.   required by its BIOS.
  912. 2) A computer with American Megatrends Inc. (AMI) BIOS, which is set
  913.   up (with the built-in CMOS setup program) in such a way that the BIOS
  914.   uses the upper 1K of memory for its internal variables.  (It can be
  915.   instructed to use lower memory instead.)
  916. 3) A SCSI controller.
  917. 4) The DiskSecure program.
  918. 5) Mouse buffers for older Compaqs.
  919.  
  920. If, on the other hand, you are missing 2K or more from the 640K, 512K,
  921. or whatever the conventional memory normally is for your PC, the
  922. chances are greater that you have a boot-record virus (e.g. Stoned,
  923. Michelangelo), although even in this case there may be legitimate
  924. reasons for the missing memory:
  925.  
  926. 1) Many access control programs for preventing booting from a floppy.
  927. 2) H/P Vectra computers.
  928. 3) Some special BIOSes which use memory (e.g.) for a built-in calendar
  929.   and/or calculator.
  930.  
  931. However, these are only rough guides.  In order to be more certain
  932. whether the missing memory is due to a virus, you should:
  933. (1) run several virus detectors;
  934. (2) look for a change in total memory every now and then;
  935. (3) compare the total memory size with that obtained when cold booting
  936.   from a "clean" system diskette.  The latter should show the normal
  937.   amount of total memory for your configuration.
  938.  
  939. Note: in all cases, CHKDSK should be run without software such as
  940. MS-Windows or DesqView loaded, since GUIs seem to be able to open DOS
  941. boxes only on whole K boundaries (some seem to be even coarser); thus
  942. CHKDSK run from a DOS box may report unrepresentative values.
  943.  
  944. Note also that some machines have only 512K or 256K instead of 640K of
  945. conventional memory.
  946.  
  947.  
  948. C12) I have an infinite loop of sub-directories on my hard drive; am I
  949.      infected?
  950.  
  951. Probably not.  This happens now and then, when something sets the
  952. "cluster number" field of some subdirectory the same cluster as an
  953. upper-level (usually the root) directory.  The /F parameter of CHKDSK,
  954. and any of various popular utility programs, should be able to fix
  955. this, usually by removing the offending directory.  *Don't* erase any
  956. of the "replicated" files in the odd directory, since that will erase
  957. the "copy" in the root as well (it's really not a copy at all; just a
  958. second pointer to the same file).
  959.  
  960.  
  961. ===================================
  962. = Section D.    Protection plans  =
  963. ===================================
  964.  
  965. D1) What is the best protection policy for my computer?
  966.  
  967. There is no "best" anti-virus policy.  In particular, there is no
  968. program that can magically protect you against all viruses.  But you
  969. can design an anti-virus protection strategy based on multiple layers
  970. of defense.  There are three main kinds of anti-viral software, plus
  971. several other means of protection (such as hardware write-protect
  972. methods).
  973.  
  974. 1) GENERIC MONITORING programs.  These try to prevent viral activity
  975.    before it happens, such as attempts to write to another executable,
  976.    reformat the disk, etc.
  977.    Examples: SECURE and FluShot+ (PC), and GateKeeper (Macintosh).
  978.  
  979. 2) SCANNERS.  Most look for known virus strings (byte sequences which
  980.    occur in known viruses, but hopefully not in legitimate software) or
  981.    patterns, but a few use heuristic techniques to recognize viral
  982.    code.  A scanner may be designed to examine specified disks or
  983.    files on demand, or it may be resident, examining each program
  984.    which is about to be executed.  Most scanners also include virus
  985.    removers.
  986.    Examples: FindViru in Dr Solomon's Anti-Virus Toolkit, FRISK's
  987.    F-Prot, McAfee's VIRUSCAN (all PC), Disinfectant (Macintosh).
  988.    Resident scanners: McAfee's V-Shield, and VIRSTOP.
  989.    Heuristic scanners: the Analyse module in FRISK's F-PROT package,
  990.    and SCANBOOT.
  991.  
  992. 3) INTEGRITY CHECKERS or MODIFICATION DETECTORS.  These compute a
  993.    small "checksum" or "hash value" (usually CRC or cryptographic)
  994.    for files when they are presumably uninfected, and later compare
  995.    newly calculated values with the original ones to see if the files
  996.    have been modified.  This catches unknown viruses as well as known
  997.    ones and thus provides *generic* detection.  On the other hand,
  998.    modifications can also be due to reasons other than viruses.
  999.    Usually, it is up to the user to decide which modifications are
  1000.    intentional and which might be due to viruses, although a few
  1001.    products give the user help in making this decision.  As in the
  1002.    case of scanners, integrity checkers may be called to checksum
  1003.    entire disks or specified files on demand, or they may be resident,
  1004.    checking each program which is about to be executed (the latter is
  1005.    sometimes called an INTEGRITY SHELL).  A third implementation is as
  1006.    a SELF-TEST, i.e. the checksumming code is attached to each
  1007.    executable file so that it checks itself just before execution.
  1008.    Examples: Fred Cohen's ASP Integrity Toolkit (commercial), and
  1009.    Integrity Master and VDS (shareware), all for the PC.
  1010.  
  1011. 3a) A few modification detectors come with GENERIC DISINFECTION.  I.e.,
  1012.    sufficient information is saved for each file that it can be
  1013.    restored to its original state in the case of the great majority
  1014.    of viral infections, even if the virus is unknown.
  1015.    Examples: V-Analyst 3 (BRM Technologies, Israel), marketed in the
  1016.    US as Untouchable (by Fifth Generation), and the VGUARD module of
  1017.    V-care.
  1018.  
  1019. Of course, only a few examples of each type have been given.  All of
  1020. them can find their place in the protection against computer viruses,
  1021. but you should appreciate the limitations of each method, along with
  1022. system-supplied security measures that may or may not be helpful in
  1023. defeating viruses.  Ideally, you would arrange a combination of
  1024. methods that cover the loopholes between them.
  1025.  
  1026. A typical PC installation might include a protection system on the
  1027. hard disk's MBR to protect against viruses at load time (ideally this
  1028. would be hardware or in BIOS, but software methods such as DiskSecure
  1029. and PanSoft's Immunise are pretty good).  This would be followed by
  1030. resident virus detectors loaded as part of the machine's startup
  1031. (CONFIG.SYS or AUTOEXEC.BAT), such as FluShot+ and/or VirStop together
  1032. with ScanBoot.  A scanner such as F-Prot or McAfee's SCAN could be
  1033. put into AUTOEXEC.BAT to look for viruses as you start up, but this
  1034. may be a problem if you have a large disk to check (or don't reboot
  1035. often enough).  Most importantly, new files should be scanned as they
  1036. arrive on the system.  If your system has DR DOS installed, you should
  1037. use the PASSWORD command to write-protect all system executables and
  1038. utilities.  If you have Stacker or SuperStore, you can get some
  1039. improved security from these compressed drives, but also a risk that
  1040. those viruses stupid enough to directly write to the disk could do
  1041. much more damage than normal; using a software write-protect system
  1042. (such as provided with Disk Manager or Norton Utilities) may help, but
  1043. the best solution (if possible) is to put all executables on a disk of
  1044. their own, protected by a hardware read-only system that sounds an
  1045. alarm if a write is attempted.
  1046.  
  1047. If you do use a resident BSI detector or a scan-while-you-copy
  1048. detector, it is important to trace back any infected diskette to its
  1049. source; the reason why viruses survive so well is that usually you
  1050. cannot do this, because the infection is found long after the
  1051. infecting diskette has been forgotten with most people's lax scanning
  1052. policies.
  1053.  
  1054. Organizations should devise and implement a careful policy, that may
  1055. include a system of vetting new software brought into the building and
  1056. free virus detectors for home machines of employees/students/etc who
  1057. take work home with them.
  1058.  
  1059. Other anti-viral techniques include:
  1060. (a) Creation of a special MBR to make the hard disk inaccessible when
  1061.     booting from a diskette (the latter is useful since booting from a
  1062.     diskette will normally bypass the protection in the CONFIG.SYS and
  1063.     AUTOEXEC.BAT files of the hard disk).  Example: GUARD.
  1064. (b) Use of Artificial Intelligence to learn about new viruses and
  1065.     extract scan patterns for them.  Examples: V-Care (CSA Interprint,
  1066.     Israel; distributed in the U.S. by Sela Consultants Corp.), Victor
  1067.     Charlie (Bangkok Security Associates, Thailand; distributed in the
  1068.     US by Computer Security Associates).
  1069. (c) Encryption of files (with decryption before execution).
  1070.  
  1071.  
  1072. D2) Is it possible to protect a computer system with only software?
  1073.  
  1074. Not perfectly; however, software defenses can significantly reduce
  1075. your risk of being affected by viruses WHEN APPLIED APPROPRIATELY.
  1076. All virus defense systems are tools - each with their own capabilities
  1077. and limitations.  Learn how your system works and be sure to work
  1078. within its limitations.
  1079.  
  1080.