home *** CD-ROM | disk | FTP | other *** search
/ Most Wanted 2 / MostWantedII.iso / hy™ty / f-prot / virus.doc < prev   
Encoding:
Text File  |  1994-09-12  |  10.7 KB  |  222 lines
  1.  
  2.                          Computer Viruses: An Introduction
  3.  
  4. A very simple definition of computer viruses is:
  5.  
  6.         "A program that modifies other programs by placing a copy of 
  7.          itself inside them."
  8.  
  9. This definition is somewhat simplified, and does not cover all virus
  10. types, but is sufficient to show the major difference between viruses and
  11. so-called "Trojan" programs, which is that the virus replicates, but the
  12. Trojan does not.  (The definition does not cover the so-called
  13. "companion"-type viruses, however).
  14.  
  15. A Trojan is a program that pretends to do something useful (or at least
  16. interesting), but when it is run, it may have some harmful effect, like
  17. scrambling your FAT (File Allocation Table) or formatting the hard disk.
  18.  
  19. Viruses and Trojans may contain a "time-bomb", intended to destroy
  20. programs or data on a specific date or when some condition has been
  21. fulfilled.
  22.  
  23. A time bomb is often designed to be harmful, maybe doing something like
  24. formatting the hard disk.  Sometimes it is relatively harmless, perhaps 
  25. slowing the computer down every Friday or making a ball bounce around the
  26. screen.  However, there is really no such thing as a harmless virus.  Even if
  27. a virus has been intended to cause no damage, it may do so in certain cases,
  28. often due to the incompetence of the virus writer or unexpected hardware
  29. or software revisions.
  30.  
  31. A virus may be modified, either by the original author or someone else, so
  32. that a more harmful version of it appears.  It is also possible that the
  33. modification produces a less harmful virus, but that has only rarely
  34. happened.
  35.  
  36. The damage caused by a virus may consist of the deletion of data or
  37. programs, maybe even reformatting of the hard disk, but more subtle damage
  38. is also possible.  Some viruses may modify data or introduce typing errors
  39. into text.  Other viruses may have no intentional effects other than just
  40. replicating.
  41.  
  42. Two different groups of viruses occur on PCs, boot sector viruses (BSV)
  43. and program viruses, although a few viruses belong to both groups.
  44.  
  45. A BSV infects the boot sector on a diskette.  Normally the boot sector
  46. contains code to load the operating system files.  The BSV replaces the
  47. original boot sector with itself and stores the original boot sector
  48. somewhere else on the diskette or simply replaces it totally.  When a
  49. computer is then later booted from this diskette, the virus takes control
  50. and hides in RAM.  It will then load and execute the original boot sector,
  51. and from then on everything will be as usual.  Except, of course, that
  52. every diskette inserted in the computer will be infected with the virus,
  53. unless it is write-protected.  
  54.  
  55. A BSV will usually hide at the top of memory, reducing the amount of
  56. memory that the DOS sees.  For example, a computer with 640K might appear
  57. to have only 639K.
  58.  
  59. Many BSVs are also able to infect hard disks, where the process is similar
  60. to that described above, although they may infect the master boot
  61. record instead of the DOS boot record.
  62.  
  63. Program viruses, the second type of computer viruses, infect executable
  64. programs, usually .COM and .EXE files, but sometimes also overlay files.
  65. An infected program will contain a copy of the virus, usually at the end,
  66. but in some cases at the beginning of the original program.
  67.  
  68. When an infected program is run, the virus may stay resident in memory
  69. and infect every program run.  Viruses using this method to spread the
  70. infection are called "Resident Viruses".
  71.  
  72. Other viruses may search for a new file to infect, when an infected
  73. program is executed.  The virus then transfers control to the original
  74. program.  Viruses using this method to spread the infection are
  75. called "Direct Action Viruses".  It is possible for a virus to use both
  76. methods of infection.
  77.  
  78. Most viruses try to recognize existing infections, so they do not infect
  79. what has already been infected.  This makes it possible to inoculate
  80. against specific viruses, by making the "victim" appear to be infected.
  81. However, this method is useless as a general defense, as it is not 
  82. possible to inoculate the same program against multiple viruses.
  83.  
  84. In general, viruses are rather unusual programs, rather simple, but written
  85. just like any other program.  It does not take a genius to write one - any
  86. average assembly language programmer can easily do it.  Fortunately, few of
  87. them do.
  88.  
  89. Now - to correct some common misconceptions, here are a few bits of
  90. information about what viruses cannot do.
  91.  
  92.         A virus cannot spread from one type of computer to another.
  93.         For example, a virus designed to infect Macintosh computers cannot
  94.         infect PCs or vice versa.
  95.  
  96.         A virus cannot appear all by itself, it has to be written, just
  97.         like any other program.
  98.         
  99.         Not all viruses are harmful; some may only cause minor damage as
  100.         a side effect.
  101.  
  102.         A virus cannot infect a computer unless it is booted from an
  103.         infected diskette or an infected program is run on it.  Reading
  104.         data from an infected diskette cannot cause an infection.
  105.  
  106.         A write-protected diskette cannot become infected.
  107.  
  108.         There is no way a virus can attach itself to data files, so
  109.         viruses cannot be distributed with them.  However, a BSV can
  110.         be distributed on data diskettes.
  111.  
  112. The F-PROT package will provide protection against viruses, but there are
  113. other methods that also should be used.  Before I list them, I want to
  114. warn you against three methods that are of very limited use.
  115.  
  116. One anti-virus measure consists of making every executable file read-only,
  117. by issuing commands like
  118.  
  119.                         ATTRIB +R *.EXE
  120.  
  121. This is actually not a bad idea, but it will not provide much protection
  122. against viruses.  Most program viruses will remove this protection before
  123. they infect files, and restore it afterwards.  Making files read-only will
  124. of course have no effect on BSVs.  The main purpose of this method is actually
  125. to protect the user from his own mistakes, because this makes it harder to
  126. delete programs by mistake.  However, some viruses are stopped by this
  127. method, "Lehigh" and "South African" in particular.
  128.  
  129. Another method is to hide the COMMAND.COM file, by giving the following
  130. sequence of instructions:
  131.  
  132.         MKDIR C:\HIDDEN
  133.         COPY COMMAND.COM C:\HIDDEN
  134.         DEL COMMAND.COM
  135.  
  136.         add SHELL=C:\HIDDEN\COMMAND.COM /P to CONFIG.SYS
  137.         add SET COMSPEC=C:\HIDDEN\COMMAND.COM to AUTOEXEC.BAT
  138.  
  139. This method is quite useless, to say the least.  Few viruses infect
  140. COMMAND.COM, and some of them are able to do it, even if it has been
  141. hidden, using this method.
  142.  
  143. A third useless method is to change the name of COMMAND.COM and patch other
  144. programs so they use the new name.  Somebody who had only heard of the "Lehigh"
  145. virus got this "bright" idea.  Apparently he thought that all other viruses
  146. operated like it, so he wrote and distributed a program to do this
  147. automatically.  He thought it was a general cure for the virus problem, but
  148. he was wrong.
  149.  
  150. On the other hand, there are a number of ways to provide useful protection.
  151.  
  152.         Rule #1 is: MAKE BACKUPS!!!  Keep good backups (more than one) of
  153.         everything you do not want to lose.  This will not only protect you
  154.         from serious damage caused by viruses, but is also necessary in the
  155.         case of a serious hardware failure.
  156.  
  157.         Never boot a computer with a hard disk from a diskette because that
  158.         is the only way the hard disk could become infected with a BSV.
  159.         (well, strictly speaking, it can happen if you run a "dropper"
  160.         program too, but that happens extremely rarely).
  161.  
  162.         Should you, by accident, have left a non-bootable diskette in
  163.         drive A: when you turn the computer on, the message
  164.  
  165.                         Not a system disk.
  166.  
  167.         may appear.  If the diskette was infected with a virus, it will now
  168.         be active, but may not have infected the hard disk yet. if this
  169.         happens, turn the computer off, or press the reset button.  It is
  170.         important to note that pressing Ctrl-Alt-Del will not be sufficient,
  171.         as a few viruses can survive that.
  172.  
  173.         If the computer has no hard disk, but is booted from a diskette,
  174.         you should always use the same diskette, and keep it write-protected.
  175.  
  176.         Keep all diskettes write-protected unless you need to write to them.
  177.         When you obtain new software on a diskette, write-protect the
  178.         diskette before you make a backup copy of it.  If it is not possible
  179.         to make a backup of the diskette, because of some idiotic
  180.         copy-protection, I do not recommend using the software.
  181.  
  182.         Be really careful regarding your sources of software.  In general,
  183.         shrink-wrapped commercial software should be "clean", but there
  184.         have been a few documented cases of infected commercial software.
  185.         Public-Domain, Freeware and Shareware packages do not have to be
  186.         any more dangerous - it all depends on the source.  If you obtain
  187.         software from a BBS, check what precautions the SysOp takes against
  188.         viruses.  If he does not screen the software made available for
  189.         downloading, you should find another source.
  190.  
  191.         Check all new software for infection before you run it for the
  192.         first time.  It is even advisable to use a couple of scanners from
  193.         different manufacturers, as no single scanner is able to detect
  194.         all viruses.
  195.  
  196.         Obtain Shareware, Freeware and Public-Domain software from the
  197.         original author, if at all possible.  
  198.  
  199.         Look out for any "unusual" behavior on your computer, like:
  200.  
  201.                 Does it take longer than usually to load programs ?
  202.                 Do unusual error messages appear ?
  203.                 Does the memory size seem to have decreased ?
  204.                 Do the disk lights stay on longer than they used to ?
  205.                 Do files just disappear ?
  206.  
  207. Anything like this might indicate a virus infection.
  208.  
  209. If your computer is infected with a virus - DON'T PANIC!  Sometimes a
  210. badly thought out attempt to remove a virus will do much more damage
  211. than the virus could have done.  If you are not sure what to do, leave
  212. your computer turned off until you find someone to remove the virus for
  213. you.
  214.  
  215. Finally, remember that some viruses may interfere with the disinfection
  216. operation if they are active in memory at that time, so before attempting
  217. to disinfect you MUST boot the computer from a CLEAN system diskette.
  218.  
  219. It is also a good idea to boot from a clean system diskette before
  220. scanning for viruses, as several "stealth" viruses are very difficult do
  221. detect if they are active in memory during virus scanning.
  222.