home *** CD-ROM | disk | FTP | other *** search
/ HaCKeRz Kr0nlcKLeZ 1 / HaCKeRz Kr0nlcKLeZ.iso / chibacity / comp.faq / text0001.txt < prev   
Encoding:
Text File  |  1996-04-22  |  26.7 KB  |  562 lines
  1. The use of the password command (e.g. PASSWORD/W:MINE *.EXE *.COM)
  2. will stop more viruses than the plain DOS attribute facility, but that
  3. isn't saying much!  The combination of the password system plus a disk
  4. compression system may be more secure (because to bypass the password
  5. system they must access the disk directly, but under SuperStore or
  6. Stacker the physical disk is meaningless to the virus). There may be
  7. some viruses which, rather than invisibly infecting files on
  8. compressed disks in fact very visibly corrupt the disk.
  9.  
  10. The "secure disk partitions" system introduced with DR DOS 6 may be of
  11. some help against a few viruses that look for DOS partitions on a
  12. disk.  The main use is in stopping people fiddling with (and
  13. infecting) your hard disk while you are away.
  14.  
  15. Furthermore, DR DOS is not very compatible with MS/PC-DOS, especially
  16. down to the low-level tricks that some viruses are using.  For
  17. instance, some internal memory structures are "read-only" in the sense
  18. that they are constantly updated (for DOS compatibility) but not
  19. really used by DR DOS, so that even if a sophisticated virus modifies
  20. them, this does not have any effect.
  21.  
  22. In general, using a less compatible system diminishes the number of
  23. viruses that can infect it.  For instance, the introduction of hard
  24. disks made the Brain virus almost disappear; the introduction of 80286
  25. and DOS 4.x+ made the Yale and Ping Pong viruses extinct, and so on.
  26.  
  27.  
  28. D8) Will a write-protect tab on a floppy disk stop viruses?
  29.  
  30. In general, yes.  The write-protection on IBM PC (and compatible) and
  31. Macintosh floppy disk drives is implemented in hardware, not software,
  32. so viruses cannot infect a diskette when the write-protection mechanism
  33. is functioning properly.
  34.  
  35. But remember:
  36.  
  37. (a) A computer may have a faulty write-protect system (this happens!)
  38.     - you can test it by trying to copy a file to the diskette when it
  39.     is presumably write-protected.
  40. (b) Someone may have removed the tab for a while, allowing a virus on.
  41. (c) The files may have been infected before the disk was protected.
  42.     Even some diskettes "straight from the factory" have been known to be
  43.     infected in the production processes.
  44.  
  45. So it is worthwhile scanning even write-protected disks for viruses.
  46.  
  47.  
  48. D9) Do local area networks (LANs) help to stop viruses or do they
  49.     facilitate their spread?
  50.  
  51. Both.  A set of computers connected in a well managed LAN, with
  52. carefully established security settings, with minimal privileges for
  53. each user, and without a transitive path of information flow between
  54. the users (i.e., the objects writable by any of the users are not
  55. readable by any of the others) is more virus-resistant than the same
  56. set of computers if they are not interconnected.  The reason is that
  57. when all computers have (read-only) access to a common pool of
  58. executable programs, there is usually less need for diskette swapping
  59. and software exchange between them, and therefore less ways through
  60. which a virus could spread.
  61.  
  62. However, if the LAN is not well managed, with lax security, it could
  63. help a virus to spread like wildfire.  It might even be impossible to
  64. remove the infection without shutting down the entire LAN.
  65.  
  66. A network that supports login scripting is inherently more resistant
  67. to viruses than one that does not, if this is used to validate the
  68. client before allowing access to the network.
  69.  
  70.  
  71. D10) What is the proper way to make backups?
  72.  
  73. Data and text files, and programs in source form, should be backed up
  74. each time they are modified.  However, the only backups you should
  75. keep of COM, EXE and other *executable* files are the *original*
  76. versions, since if you back up an executable file on your hard disk
  77. over and over, it may have become infected meanwhile, so that you may
  78. no longer have an uninfected backup of that file.  Therefore:
  79.   1. If you've downloaded shareware, copy it (preferably as a ZIP or
  80. other original archive file) onto your backup medium and do not
  81. re-back it up later.
  82.   2. If you have purchased commercial software, it's best to create a
  83. ZIP (or other) archive from the original diskettes (assuming they're
  84. not copy protected) and transfer the archive onto that medium.  Again,
  85. do not re-back up.
  86.   3. If you write your own programs, back up only the latest version
  87. of the *source* programs.  Depend on recompilation to reproduce the
  88. executables.
  89.   4. If an executable has been replaced by a new version, then of
  90. course you will want to keep a backup of the new version.  However, if
  91. it has been modified as a result of your having changed configuration
  92. information, it seems safer *not* to back up the modified file; you
  93. can always re-configure the backup copy later if you have to.
  94.   5. Theoretically, source programs could be infected, but until such
  95. a virus is discovered, it seems preferable to treat such files as
  96. non-executables and back them up whenever you modify them.  The same
  97. advice is probably appropriate for batch files as well, despite the
  98. fact that a few batch file infectors have been discovered.
  99.  
  100.  
  101. =======================================================
  102. = Section E.    Facts and Fibs about computer viruses =
  103. =======================================================
  104.  
  105. E1) Can boot sector viruses infect non-bootable floppy disks?
  106.  
  107. Any diskette that has been properly formatted contains an executable
  108. program in the boot sector.  If the diskette is not "bootable," all
  109. that boot sector does is print a message like "Non-system disk or disk
  110. error; replace and strike any key when ready", but it's still
  111. executable and still vulnerable to infection.  If you accidentally
  112. turn your machine on with a "non-bootable" diskette in the drive, and
  113. see that message, it means that any boot virus that may have been on
  114. that diskette *has* run, and has had the chance to infect your hard
  115. drive, or whatever.  So when thinking about viruses, the word
  116. "bootable" (or "non-bootable") is really misleading.  All formatted
  117. diskettes are capable of carrying a virus.
  118.  
  119.  
  120. E2) Can a virus hide in a PC's CMOS memory?
  121.  
  122. No.  The CMOS RAM in which system information is stored and backed up
  123. by batteries is ported, not addressable.  That is, in order to get
  124. anything out, you use I/O instructions.  So anything stored there is
  125. not directly sitting in memory.  Nothing in a normal machine loads the
  126. data from there and executes it, so a virus that "hid" in the CMOS RAM
  127. would still have to infect an executable object of some kind in order
  128. to load and execute whatever it had written to CMOS.  A malicious
  129. virus can of course *alter* values in the CMOS as part of its payload,
  130. but it can't spread through, or hide itself in, the CMOS.
  131.  
  132. A virus could also use the CMOS RAM to hide a small part of its
  133. body (e.g., the payload, counters, etc.).  However, any executable
  134. code stored there must be first extracted to ordinary memory in order
  135. to be executed.
  136.  
  137.  
  138. E3) Can a virus hide in Extended or in Expanded RAM?
  139.  
  140. Theoretically yes, although no such viruses are known yet.  However,
  141. even if they are created, they will have to have a small part resident
  142. in conventional RAM; they cannot reside *entirely* in Extended or in
  143. Expanded RAM.
  144.  
  145.  
  146. E4) Can a virus hide in Upper Memory or in High Memory?
  147.  
  148. Yes, it is possible to construct a virus which will locate itself
  149. in Upper Memory (640K to 1024K) or in High Memory (1024K to 1088K),
  150. and a few currently known viruses (e.g. EDV) do hide in Upper Memory.
  151.  
  152. It might be thought that there is no point in scanning in these areas
  153. for any viruses other than those which are specifically known to
  154. inhabit them.  However, there are cases when even ordinary viruses can
  155. be found in Upper Memory.  Suppose that a conventional memory-resident
  156. virus infects a TSR program and this program is loaded high by the
  157. user (for instance, from AUTOEXEC.BAT).  Then the virus code will also
  158. reside in Upper Memory.  Therefore, an effective scanner must be able
  159. to scan this part of memory for viruses too.
  160.  
  161.  
  162. E5) Can a virus infect data files?
  163.  
  164. Some viruses (e.g., Frodo, Cinderella) modify non-executable files.
  165. However, in order to spread, the virus must be executed.  Therefore
  166. the "infected" non-executable files cannot be sources of further
  167. infection.
  168.  
  169. However, note that it is not always possible to make a sharp
  170. distinction between executable and non-executable files.  One man's
  171. code is another man's data and vice versa.  Some files that are not
  172. directly executable contain code or data which can under some
  173. conditions be executed or interpreted.
  174.  
  175. Some examples from the IBM PC world are .OBJ files, libraries, device
  176. drivers, source files for any compiler or interpreter, macro files
  177. for some packages like MS Word and Lotus 1-2-3, and many others.
  178. Currently there are viruses that infect boot sectors, master boot
  179. records, COM files, EXE files, BAT files, and device drivers, although
  180. any of the objects mentioned above can theoretically be used as an
  181. infection carrier.  PostScript files can also be used to carry a virus,
  182. although no currently known virus does that.
  183.  
  184.  
  185. E6) Can viruses spread from one type of computer to another?
  186.  
  187. The simple answer is that no currently known viruses can do this.
  188. Although the disk formats may be the same (e.g. Atari ST and DOS), the
  189. different machines interpret the code differently.  For example, the
  190. Stoned virus cannot infect an Atari ST as the ST cannot execute the
  191. virus code in the bootsector.  The Stoned virus contains instructions
  192. for the 80x86 family of CPU's that the 680x0-family CPU (Atari ST)
  193. can't understand or execute.
  194.  
  195. The more general answer is that such viruses are possible, but
  196. unlikely.  Such a virus would be quite a bit larger than current
  197. viruses and might well be easier to find.  Additionally, the low
  198. incidence of cross-machine sharing of software means that any such
  199. virus would be unlikely to spread -- it would be a poor environment
  200. for virus growth.
  201.  
  202.  
  203. E7) Can DOS viruses run on non-DOS machines (e.g. Mac, Amiga)?
  204.  
  205. In general, no.  However, on machines running DOS emulators (either
  206. hardware or software based), DOS viruses - just like any DOS program -
  207. may function.  These viruses would be subject to the file access
  208. controls of the host operating system.  An example is when running a
  209. DOS emulator such as VP/ix under a 386 UNIX environment, DOS
  210. programs are not permitted access to files which the host UNIX system
  211. does not allow them to.  Thus, it is important to administer these
  212. systems carefully.
  213.  
  214.  
  215. E8) Can mainframe computers be susceptible to computer viruses?
  216.  
  217. Yes.  Numerous experiments have shown that computer viruses spread
  218. very quickly and effectively on mainframe systems.  However, to our
  219. knowledge, no non-research computer virus has been seen on mainframe
  220. systems.  (The Internet worm of November 1988 was not a computer virus
  221. by most definitions, although it had some virus-like characteristics.)
  222.  
  223. Computer viruses are actually a special case of something else called
  224. "malicious logic", and other forms of malicious logic -- notably
  225. Trojan horses -- are far quicker, more effective, and harder to detect
  226. than computer viruses.  Nevertheless, on personal computers many more
  227. viruses are written than Trojans.  There are two reasons for this:
  228. (1) Since a virus propagates, the number of users to which damage can
  229. be caused is much greater than in the case of a Trojan; (2) It's
  230. almost impossible to trace the source of a virus since viruses are
  231. not attached to any particular program.
  232.  
  233. For further information on malicious programs on multi-user systems,
  234. see Matt Bishop's paper, "An Overview of Malicious Logic in a Research
  235. Environment", available by anonymous FTP on Dartmouth.edu
  236. (129.170.16.4) as "pub/security/mallogic.ps".
  237.  
  238.  
  239. E9) Some people say that disinfecting files is a bad idea.  Is that
  240.     true?
  241.  
  242. Disinfecting a file is completely "safe" only if the disinfecting
  243. process restores the non-infected state of the object completely.  That
  244. is, not only the virus must be removed from the file, but the original
  245. length of the file must be restored exactly, as well as its time and
  246. date of last modification, all fields in the header, etc.  Sometimes
  247. it is necessary to be sure that the file is placed on the same
  248. clusters of the disk that it occupied prior to infection.  If this is
  249. not done, then a program which uses some kind of self-checking or
  250. copy protection may stop functioning properly, if at all.
  251.  
  252. None of the currently available disinfecting programs do all this.
  253. For instance, because of the bugs that exist in many viruses, some of
  254. the information of the original file is destroyed and cannot be
  255. recovered. Other times, it is even impossible to detect that this
  256. information has been destroyed and to warn the user.  Furthermore,
  257. some viruses corrupt information very slightly and in a random way
  258. (Nomenklatura, Phoenix), so that it is not even possible to tell which
  259. files have been corrupted.
  260.  
  261. Therefore, it is usually better to replace the infected objects with
  262. clean backups, provided you are certain that your backups are
  263. uninfected (see D10).  You should try to disinfect files only if they
  264. contain some valuable data that cannot be restored from backups or
  265. compiled from their original source.
  266.  
  267.  
  268. E10) Can I avoid viruses by avoiding shareware/free software/games?
  269.  
  270. No.  There are many documented instances in which even commercial
  271. "shrink wrap" software was inadvertently distributed containing
  272. viruses.  Avoiding shareware, freeware, games, etc. only isolates you
  273. from a vast collection of software (some of it very good, some of it
  274. very bad, most of it somewhere in between...).
  275.  
  276. The important thing is not to avoid a certain type of software, but to
  277. be cautious of ANY AND ALL newly acquired software.  Simply scanning
  278. all new software media for known viruses would be rather effective at
  279. preventing virus infections, especially when combined with some other
  280. prevention/detection strategy such as integrity management of
  281. programs.
  282.  
  283.  
  284. E11) Can I contract a virus on my PC by performing a "DIR" of an
  285.      infected floppy disk?
  286.  
  287. If you assume that the PC you are using is virus free before you
  288. perform the DIR command, then the answer is no.  However, when you
  289. perform a DIR, the contents of the boot sector of the diskette are
  290. loaded into a buffer for use when determining disk layout etc., and
  291. certain anti-virus products will scan these buffers.  If a boot sector
  292. virus has infected your diskette, the virus code will be contained in
  293. the buffer, which may cause some anti-virus packages to give the
  294. message "xyz virus found in memory, shut down computer immediately".
  295. In fact, the virus is not a threat at this point since control of the
  296. CPU is never passed to the virus code residing in the buffer.  But,
  297. even though the virus is really not a threat at this point, this
  298. message should not be ignored.  If you get a message like this, and
  299. then reboot from a clean DOS diskette and scan your hard-drive and
  300. find no virus, then you know that the false positive was caused by the
  301. fact that the infected boot-sector was loaded into a buffer, and the
  302. diskette should be appropriately disinfected before use.  The use of
  303. DIR will not infect a clean system, even if the diskette it is being
  304. performed on does contain a virus.
  305.  
  306.  
  307. E12) Is there any risk in copying data files from an infected floppy
  308.     disk to a clean PC's hard disk?
  309.  
  310. Assuming that you did not boot or run any executable programs from the
  311. infected disk, the answer is generally no.  There are two caveats: 1)
  312. you should be somewhat concerned about checking the integrity of these
  313. data files as they may have been destroyed or altered by the virus,
  314. and 2) if any of the "data" files are interpretable as executable by
  315. some other program (such as a Lotus macro) then these files should be
  316. treated as potentially malicious until the symptoms of the infection
  317. are known.  The copying process itself is safe (given the above
  318. scenario).  However, you should be concerned with what type of files
  319. are being copied to avoid introducing other problems.
  320.  
  321.  
  322. E13) Can a DOS virus survive and spread on an OS/2 system using the
  323.      HPFS file system?
  324.  
  325. Yes, both file-infecting and boot sector viruses can infect HPFS
  326. partitions.  File-infecting viruses function normally and can activate
  327. and do their dirty deeds, and boot sector viruses can prevent OS/2
  328. from booting if the primary bootable partition is infected.  Viruses
  329. that try to directly address disk sectors cannot function because OS/2
  330. prevents this activity.
  331.  
  332.  
  333. E14) Under OS/2 2.0, could a virus infected DOS session infect another
  334.     DOS session?
  335.  
  336. Each DOS program is run in a separate Virtual DOS Machine (their
  337. memory spaces are kept separated by OS/2).  However, any DOS program
  338. has almost complete access to the files and disks, so infection can
  339. occur if the virus infects files; any other DOS session that executes
  340. a program infected by a virus that makes itself memory resident would
  341. itself become infected.
  342.  
  343. However, bear in mind that all DOS sessions share the same copy of the
  344. command interpreter.  Hence if it becomes infected, the virus will be
  345. active in *all* DOS sessions.
  346.  
  347.  
  348. E15) Can normal DOS viruses work under MS Windows?
  349.  
  350. Most of them cannot.  A system that runs exclusively MS Windows is,
  351. in general, more virus-resistant than a plain DOS system.  The reason
  352. is that most resident viruses are not compatible with the memory
  353. management in Windows.  Furthermore, most of the existing viruses will
  354. damage the Windows applications if they try to infect them as normal
  355. EXE files.  The damaged applications will stop working and this will
  356. alert the user that something is wrong.
  357.  
  358. However, virus-resistant is by no means virus-proof.  For instance,
  359. most of the well-behaved resident viruses that infect only COM files
  360. (Cascade is an excellent example), will work perfectly in a DOS
  361. window.  All non-resident COM infectors will be able to run and infect
  362. too.  And currently there exists at least one Windows-specific virus
  363. which is able to properly infect Windows applications (it is
  364. compatible with the NewEXE file format).
  365.  
  366. Any low level trapping of Interrupt 13, as by resident boot sector and
  367. MBR viruses, can also affect Windows operation, particularly if
  368. protected disk access (32BitDiskAccess=ON in SYSTEM.INI) is used.
  369.  
  370.  
  371. =========================================
  372. = Section F.    Miscellaneous Questions =
  373. =========================================
  374.  
  375. F1) How many viruses are there?
  376.  
  377. It is not possible to give an exact number because new viruses are
  378. being created literally every day.  Furthermore, different anti-virus
  379. researchers use different criteria to decide whether two viruses are
  380. different or one and the same.  Some count viruses as different if
  381. they differ by at least one bit in their non-variable code.  Others
  382. group the viruses in families and do not count the closely related
  383. variants in one family as different viruses.
  384.  
  385. Taking a rough average, as of October 1992 there were about 1,800 IBM
  386. PC viruses, about 150 Amiga viruses, about 30 Macintosh viruses, about
  387. a dozen Acorn Archimedes viruses, several Atari ST viruses, and a few
  388. Apple II viruses.
  389.  
  390. However, very few of the existing viruses are widespread.  For
  391. instance, only about three dozen of the known IBM PC viruses are
  392. causing most of the reported infections.
  393.  
  394.  
  395. F2) How do viruses spread so quickly?
  396.  
  397. This is a very complex issue.  Most viruses don't spread very quickly.
  398. Those that do spread widely are able to do so for a variety of
  399. reasons.  A large target population (i.e., millions of compatible
  400. computers) helps...  A large virus population helps...  Vendors whose
  401. quality assurance mechanisms rely on, for example, outdated scanners
  402. help...  Users who gratuitously insert new software into their systems
  403. without making any attempt to test for viruses help...  All of these
  404. things are factors.
  405.  
  406.  
  407. F3) What is the plural of "virus"?  "Viruses" or "viri" or "virii" or...
  408.  
  409. The correct English plural of "virus" is "viruses."  The Latin word is
  410. a mass noun (like "air"), and there is no correct Latin plural.
  411. Please use "viruses," and if people use other forms, please don't use
  412. VIRUS-L/comp.virus to correct them.
  413.  
  414.  
  415. F4) When reporting a virus infection (and looking for assistance), what
  416.     information should be included?
  417.  
  418. People frequently post messages to VIRUS-L/comp.virus requesting
  419. assistance on a suspected virus problem.  Quite often, the information
  420. supplied is not sufficient for the various experts on the list to be
  421. able to help out.  Also note that any such assistance from members of
  422. the list is provided on a volunteer basis; be grateful for any help
  423. received.  Try to provide the following information in your requests
  424. for assistance:
  425.         - The name of the virus (if known);
  426.         - The name of the program that detected it;
  427.         - The version of the program that detected it;
  428.         - Any other anti-virus software that you are running and
  429. whether it has been able to detect the virus or not, and if yes, by
  430. what name did it call it;
  431.         - Your software and hardware configuration (computer type,
  432. kinds of disk(ette) drives, amount of memory and configuration
  433. (extended/expanded/conventional), TSR programs and device drivers
  434. used, OS version, etc.)
  435.  
  436. It is helpful if you can use more than one scanning program to
  437. identify a virus, and to say which scanner gave which identification.
  438. However, some scanning programs leave "signatures" in memory which
  439. will confuse others, so it is best to do a "cold reboot" between runs
  440. of successive scanners, particularly if you are getting confusing
  441. results.
  442.  
  443.  
  444. F5) How often should we upgrade our anti-virus tools to minimize
  445.     software and labor costs and maximize our protection?
  446.  
  447. This is a difficult question to answer.  Antiviral software is a kind
  448. of insurance, and these type of calculations are difficult.
  449.  
  450. There are two things to watch out for here: the general "style" of the
  451. software, and the signatures which scanners use to identify viruses.
  452. Scanners should be updated more frequently than other software, and it
  453. is probably a good idea to update your set of signatures at least once
  454. every two months.
  455.  
  456. Some antiviral software looks for changes to programs or specific
  457. types of viral "activity," and these programs generally claim to be
  458. good for "all current and future viral programs."  However, even these
  459. programs cannot guarantee to protect against all future viruses, and
  460. should probably be upgraded once per year.
  461.  
  462. Of course, not every anti-virus product is effective against all
  463. viruses, even if upgraded regularly.  Thus, do *not* depend on the
  464. fact that you have upgraded your product recently as a guarantee that
  465. your system is free of viruses!
  466.  
  467.  
  468. =====================================================================
  469. = Section G.    Specific Virus and Anti-viral software Questions... =
  470. =====================================================================
  471.  
  472.  
  473. G1) I was infected by the Jerusalem virus and disinfected the infected
  474.     files with my favorite anti-virus program.  However, Wordperfect
  475.     and some other programs still refuse to work.  Why?
  476.  
  477. The Jerusalem virus and WordPerfect 4.2 program combination is an
  478. example of a virus and program that cannot be completely disinfected
  479. by an anti-virus tool.  In some cases such as this one, the virus will
  480. destroy code by overwriting it instead of appending itself to the
  481. file.  The only solution is to re-install the programs from clean
  482. (non-infected) backups or distribution media.  (See question D10.)
  483.  
  484.  
  485. G2) I was told that the Stoned virus displays the text "Your PC is now
  486.     Stoned" at boot time.  I have been infected by this virus several
  487.     times, but have never seen the message.  Why?
  488.  
  489. The "original" Stoned message was ".Your PC is now Stoned!", where the
  490. "." represents the "bell" character (ASCII 7 or "PC speaker beep").
  491. The message is displayed with a probability of 1 in 8 only when a PC is
  492. booted from an infected diskette.  When booting from an infected hard
  493. disk, Stoned never displays this message.
  494.  
  495. Recently, versions of Stoned with no message whatsoever or only the
  496. leading bell character have become very common.  These versions of
  497. Stoned are likely to go unnoticed by all but the most observant, even
  498. when regularly booting from infected diskettes.
  499.  
  500. Contrary to some reports, the Stoned virus -does NOT- display the
  501. message "LEGALISE MARIJUANA", although such a string is quite clearly
  502. visible in the boot sectors of diskettes infected with the "original"
  503. version of Stoned in "standard" PC's.
  504.  
  505.  
  506. G3) I was infected by both Stoned and Michelangelo.  Why has my
  507.     computer became unbootable?  And why, each time I run my favorite
  508.     scanner, does it find one of the viruses and say that it is
  509.     removed, but when I run it again, it says that the virus is still
  510.     there?
  511.  
  512. These two viruses store the original Master Boot Record at one and the
  513. same place on the hard disk.  They do not recognize each other, and
  514. therefore a computer can become infected with both of them at the same
  515. time.
  516.  
  517. The first of these viruses that infects the computer will overwrite
  518. the Master Boot Record with its body and store the original MBR at a
  519. certain place on the disk.  So far, this is normal for a boot-record
  520. virus.  But if now the other virus infects the computer too, it will
  521. replace the MBR (which now contains the virus that has come first)
  522. with its own body, and store what it believes is the original MBR (but
  523. in fact is the body of the first virus) AT THE SAME PLACE on the hard
  524. disk, thus OVERWRITING the original MBR.  When this happens, the
  525. contents of the original MBR are lost.  Therefore the disk becomes
  526. non-bootable.
  527.  
  528. When a virus removal program inspects such a hard disk, it will see
  529. the SECOND virus in the MBR and will try to remove it by overwriting
  530. it with the contents of the sector where this virus normally stores
  531. the original MBR.  However, now this sector contains the body of the
  532. FIRST virus.  Therefore, the virus removal program will install the
  533. first virus in trying to remove the second.  In all probability it
  534. will not wipe out the sector where the (infected) MBR has been stored.
  535.  
  536. When the program is run again, it will find the FIRST virus in the
  537. MBR.  By trying to remove it, the program will get the contents of the
  538. sector where this virus normally stores the original MBR, and will
  539. move it over the current (infected) MBR.  Unfortunately, this sector
  540. still contains the body of the FIRST virus.  Therefore, the body of
  541. this virus will be re-installed over the MBR ad infinitum.
  542.  
  543. There is no easy solution to this problem, since the contents of the
  544. original MBR is lost.  The only solution for the anti-virus program is
  545. to detect that there is a problem, and to overwrite the contents of
  546. the MBR with a valid MBR program, which the anti-virus program will
  547. have to carry with itself.  If your favorite anti-virus program is not
  548. that smart, consider replacing it with a better one, or just boot from
  549. a write-protected uninfected DOS 5.0 diskette, and execute the program
  550. FDISK with the option /MBR.  This will re-create the executable code
  551. in the MBR without modifying the partition table data.
  552.  
  553. In general, infection by multiple viruses of the same file or area is
  554. possible and vital areas of the original may be lost.  This can make
  555. it difficult or impossible for virus disinfection tools to be
  556. effective, and replacement of the lost file/area will be necessary.
  557.  
  558. ====================
  559. [End of VIRUS-L/comp.virus FAQ]
  560.  
  561.  
  562.