home *** CD-ROM | disk | FTP | other *** search
/ Liren Large Software Subsidy 15 / 15.iso / s / s045 / 3.img / TUTORIAL.LS_ / TUTORIAL.bin
Encoding:
Text File  |  1993-12-21  |  24.5 KB  |  554 lines
  1.  
  2.  
  3. Introduction to computer viruses
  4. -------------------------------
  5.  
  6. This section gives a brief introduction to computer viruses:what they
  7. are, how they can spread, and what they can do.
  8.  
  9.  
  10. What is a computer virus?
  11. ________________________
  12.  
  13. A computer virusis a program that can "infect" other programs by
  14. modifying themto include a (possibly "evolved") copy of itself.
  15.  
  16. Viruses canspread themselves, without the knowledge or permission of
  17. theworkstation users, to potentially large numbers of programs onmany
  18. machines.Viruses can also contain instructions that cause damageor
  19. annoyance; the combination of possibly-damaging codewith the ability to
  20. spread is what makes viruses a considerableconcern.
  21.  
  22. Viruses are not mysterious.They are just computer programs and only do
  23. things thatprograms can do.However, unlike most other programs, they are
  24. specificallydesigned to spread themselves.
  25.  
  26. Viruses can often spread without any readily visible symptoms.When a
  27. virus is started on a workstation, it canrun any instructions that its
  28. author chooses to include.These instructions can be event-driven effects
  29. (for example, triggeredafter a specific number of executions),time-driven
  30. effects (triggered on a specific date, such asFriday the 13th or Apri
  31. l 1st), or can occur at random.
  32.  
  33. Depending on the motives of the virus author, a virus can contain
  34. nointentionally harmful or disruptive instructions.Or, it can cause
  35. damage simply byreplicating itself and taking up scarce resources, such
  36. ashard disk space, CPU time, or network connections.Some typical things
  37. that some current Personal Computer (PC)viruses do are:
  38.  
  39. * Display a message.
  40. * Erase files.
  41. * Scramble data on a hard disk.
  42. * Cause erratic screen behavior.
  43. * Halt the PC.
  44.  
  45. Many viruses do nothing obvious at all except spread!You cannot rely on
  46. strange behavior to find viruses.The most reliable way to find viruses is
  47. to use competentanti-virus software as discussed later.
  48.  
  49. The idea of computer viruses was first developedin its current form in
  50. 1983.Since then, people have written many viruses.Viruses are a
  51. relatively new problemand require some new approaches to deal with them
  52. effectively.
  53.  
  54. Although it is possible to write a virus for virtually any computer,the
  55. viruses that are commonly spreading in the world todayare limited to
  56. microcomputers.There are no known viruses in circulationthat run in
  57. native sessions of IBM'sOS/2, AIX, VM, MVS or OS/400 operating
  58. systems.Any of these operating systems that run PC-DOS programs are
  59. capablethough, of spreading PC-DOS viruses,including DOS sessions of
  60. OS/2and the DOS Emulation Mode of AIX.
  61.  
  62. Infected files can be stored almost anywhere.They can be stored as files
  63. on servers (such as OS/2 LAN servers,AIX LAN servers, or OS/400 network
  64. "folders").Even when they cannot run on the server machine,an infected
  65. file on the server can be run by DOS machineson the network and can
  66. spread the infection to them.
  67.  
  68.  
  69. How do virus infections start?
  70. _____________________________
  71.  
  72. The viruses under discussionenter organizations (such as companies and
  73. businesses)because an infected diskette or programis brought into that
  74. organization.Unlike other security problems, viruses oftenspread from
  75. system to system without anyone's knowledge.Viruses are usually spread
  76. within an organization byinnocent people going about their normal
  77. business activities.
  78.  
  79. Here is an example.Suppose the organization hires an outside person to
  80. come in andperform some work.Part of that person's work involves working
  81. on one of theorganization's personal computers or microcomputers.The
  82. person brings in a few programs to aid in this work,such as a favorite
  83. text editor.
  84.  
  85. Without the person having realized it, the text editorwas infected by a
  86. virus.By using that editor on one of the organization's machines,the
  87. virus spread from the editor to one of the programs storedon the
  88. organization's machine, perhaps to a spreadsheet program.The virus has
  89. now entered the organization.
  90.  
  91. Even after the outside person took their personal programswhen they left,
  92. the virus remained on the machinethat it infected in the spreadsheet
  93. program.When another employee used that spreadsheet subsequently,the
  94. virus spread to another program,such as a directory listing program that
  95. the employeekept on the same diskette as the spreadsheet data files.The
  96. listing program now is also infected.  The infection might spreadto other
  97. computers to which this diskette disk is taken or,if the employee's
  98. personal computer is connected to the organization'snetwork, the employee
  99. might send the listing program to another user overthe network.In either
  100. case, the virus can spread to more users and more machinesusing diskettes
  101. or networks.Each copy of the virus can make multiple copies of itselfand
  102. can infect any program to which it has access.As a result,the virus can
  103. spread widely in the organization.
  104.  
  105. Each of the infected programs in each of the infected machinescan start
  106. whatever other instructions the virus author intended.If these
  107. instructions are harmful or disruptive,the pervasiveness of the virus
  108. causes the harm to be widespread.
  109.  
  110.  
  111. How serious is the problem?
  112. __________________________
  113.  
  114. Traditional security measures have attempted to limit thenumber of
  115. security incidents to an acceptable level.A single incident of lost files
  116. in a year might be an acceptable loss,for instance.Although this is
  117. important, it only addresses part of the problemof viruses.Because a
  118. single virus could potentially spread throughout anorganization,the
  119. damage it could cause might be much greater than whatcould be caused by
  120. any individual computer user.The problem is that viruses modify software
  121. in an uncontrolled way,which can damage the software.In addition, some
  122. viruses actually tamper with data filesand can damage the data.
  123.  
  124. Limiting the number of initial virus infections in an organization
  125. isimportant, but it is often not feasible to prevent them entirely.As a
  126. result, it is important to be able to deal with themwhen they occur.
  127.  
  128. The potential damage is indeed large.By using IBM AntiVirus, and
  129. following the advice given here,our experience is that mostvirus
  130. incidents can be managed with little difficulty.
  131.  
  132.  
  133. Anti-virus programs
  134. ------------------
  135.  
  136. In this section, we discuss the principles andfunctions of anti-virus
  137. programs.It is impossible to completely preventsystems from becoming
  138. infected as long as new programs can beintroduced on them or their
  139. existing programs can be modified.It is also impossibleto detect all
  140. possible viruses without error.Therefore, it is always possible
  141. forsystems to become infected.It is important to plan for prevention to
  142. the extent possiblebut equally important to plan forcontainment and
  143. recovery of infections when they do occur.
  144.  
  145.  
  146. What are anti-virus programs?
  147. ____________________________
  148.  
  149. To understand anti-virus programs, it is useful to understandthe basic
  150. behavior of known viruses.Generally, all virusesinsert copies of
  151. themselves inone or more of the following:
  152.  
  153. * Program files (typically stored on diskettes or hard disks).
  154. * Boot records (initialization areas on diskettes or hard disks).
  155.  
  156. Anti-virus programs take advantage of either the general
  157. characteristicsof all viruses (that they change file or boot records),or
  158. characteristics of specific viruses or classes of viruses.The latter kind
  159. of program examines the systemfor something characteristicof either the
  160. behavior, or the appearance of specific virusesor classes of viruses.When
  161. it finds something with one of these characteristics,it can warn the
  162. user, try to prevent the virus from spreading, and soforth.
  163.  
  164.  
  165. Techniques used by anti-virus programs
  166. _____________________________________
  167.  
  168. This section discusses some of the common techniques used byanti-virus
  169. programs-their advantages and their limitations.It is intended as a
  170. technical introduction for peoplewho want to understand how anti-virus
  171. programs work.
  172.  
  173.  
  174. Scanning
  175. _______
  176.  
  177. When a virus is known and has been analyzed,it is possible to write a
  178. program thatdetects any file or boot record that is infected withthat
  179. virus.In most cases, the detector can simply look for apattern of bytes
  180. found in the virus butnot found in normal programs.Detectors that look
  181. for these patterns of bytes are called scanners.
  182.  
  183. For many viruses, this pattern is a simple,sequential string of fixed
  184. bytes.For other viruses, more complicated byte patterns are needed.Care
  185. must be taken to ensure that the pattern of bytes isnot also found in
  186. normal programs,or the detector will report a virus when there is none.
  187.  
  188.  
  189. Change detection
  190. _______________
  191.  
  192. Viruses must change files or boot records in order to infect them.A
  193. program that notices when files and boot records changecan be used to
  194. detect viruses even if these viruses werenot previously known.But files
  195. and boot records change for many normal reasonsunrelated to viruses.By
  196. itself, change detection is of limited usefulnessbecause it requires
  197. users to understand which changes are normal and whichchanges indicate a
  198. virus.
  199.  
  200.  
  201. Heuristic analysis
  202. _________________
  203.  
  204. Heuristic analysis attempts to detect viruses bywatching for appearance
  205. or behavior that is characteristicof some class of known viruses.It can
  206. look in files for operations that viruses usebut that are seldom used in
  207. normal programs.Or it can watch forattempts to write to hard disks or
  208. diskettes in unusual ways.
  209.  
  210. Like change detection, it can potentially detectwhole classes of
  211. viruses,but care must be taken to ensure that normal programsare not
  212. identified as infected.
  213.  
  214.  
  215. Verification
  216. ___________
  217.  
  218. The above techniques can indicate that a file or boot recordis infected
  219. with a virus,but by themselves they cannot be surenor can they identify
  220. with certainty which virus it is.Programs that perform this
  221. identification task are called verifiers.Verifiers can be written for
  222. known virusesafter careful analysis of them.
  223.  
  224.  
  225. Disinfection
  226. ___________
  227.  
  228. When a virus is found in a file or boot record,it might be possible to
  229. remove it and restore thefile or boot record to its original, uninfected
  230. state.This process is called disinfection.
  231.  
  232. Some viruses damage the files or boot records that theyinfect so that it
  233. is not possible to disinfect themsuccessfully.It is also possible for two
  234. different viruses to beidentified as the same virus by a scannerand for a
  235. disinfector to work correctly on one virus but not the other.
  236.  
  237. Because disinfectors change your programs,they must be very reliable.
  238.  
  239.  
  240. Resident and non-resident operation
  241. __________________________________
  242.  
  243. The techniques discussed above can be used in a variety of ways.One
  244. common way for them to be used is in programs thatexamine everything on
  245. your disks, trying to find andeliminate viruses.Another common use is in
  246. resident programs in DOSthat are always actively monitoring your system
  247. for viruses.
  248.  
  249. Resident programs have the advantage ofchecking programs for infection
  250. every time you run them.Unless they are carefully constructed,they can
  251. cause delays in program loading and execution.
  252.  
  253. Non-resident programs have the advantage oflooking for and dealing
  254. withviruses on your entire system at one time.They serve as a
  255. complementary function to resident programs.
  256.  
  257.  
  258. Automated operation
  259. __________________
  260.  
  261. If users have to remember to run an anti-virus programperiodically,
  262. experience has shown that they will forget,increasing their risk of
  263. infecting their systems witha virus and of spreading the virus to other
  264. systems.
  265.  
  266. A better approach is to make sure that the anti-virusprogram operates
  267. automatically.Such programs protect the systemwithout requiring you to
  268. take any explicit action.This protection can be accomplished by
  269. installing resident anti-virusprograms when the system is started and by
  270. running non-residentprograms, either at startup or periodically at a
  271. specified time.
  272.  
  273.  
  274. Prevention and detection
  275. _______________________
  276.  
  277. Detecting that a virus exists and determiningwhat is infected are
  278. important first stepsin taking corrective action in a virus
  279. incident.Preventing a virus from spreading is important in limitingthe
  280. size of the infection.
  281.  
  282.  
  283. Missing viruses and false alarms
  284. _______________________________
  285.  
  286. In general, it is impossible to detect all virusesthat might ever
  287. existand never make mistakes.Virus detectors will always fail to detect
  288. some viruses,incorrectly claim that a normal program is infected,or both.
  289.  
  290. This failure is not a limitation of current technology.Rather, it can be
  291. proven mathematically.Any claim that a program can detect all possible
  292. virusesand not make mistakes is untrue.
  293.  
  294. It is possible, on the other hand, to correctlyidentify infections from
  295. all viruses that we currently know.It is also possible to detect large
  296. classes of viruseswithout making mistakes.By carefully balancing accurate
  297. detection withtechniques for avoiding false alarms,the risk due to
  298. viruses can be drastically reduced.
  299.  
  300.  
  301. Techniques used by IBM AntiVirus
  302. _______________________________
  303.  
  304. This section discusses the techniques used byIBM AntiVirus to provide you
  305. with extremely reliablevirus protection.
  306.  
  307.  
  308. Change detection and fuzzy scanning
  309. __________________________________
  310.  
  311. IBM AntiVirus uses change detection for two purposes.The first purposes
  312. is as a starting point for heuristic analysisto detect new viruses, which
  313. is discussed in the next section.The second purpose is to make known
  314. virus detection faster.
  315.  
  316. Viruses must change files or boot records in orderto infect them.If a
  317. file did not have a virus yesterday when we checked itand if we know that
  318. the file has not changed, thenwe know that it does not have a virus
  319. today.As it is normally used, IBM AntiVirusonly looks in changed and new
  320. filesfor the viruses that it knows about.It is faster to seeif a file has
  321. changed or is new than it is toexamine it for known viruses.This process
  322. speeds up the check.(All specified boot records and files are checked
  323. forchanges and other features,even if they are not examined for known
  324. viruses.)
  325.  
  326. When IBM AntiVirus looks in files and boot records forknown viruses, it
  327. uses a technique called "fuzzy scanning."This scanning technology used by
  328. IBM AntiVirus looksfor sequences of bytes that indicate the presence of a
  329. virus,as do most scanners.In addition, it recognizes when the sequence of
  330. bytesis almost (but not exactly) matched.An inexact match is likely to
  331. indicate the presence of a variant ofa known virus, and IBM AntiVirus
  332. reports the file or boot recordas probably infectedwhen it shows you the
  333. virus infection report.You will be given the opportunity to removeany
  334. such virus.
  335.  
  336. This technique allows IBM AntiVirus to detect,and correctly identify, a
  337. wide range of new virus variants.Without additional measures, this "fuzzy
  338. matching" couldlead to more false alarms.IBM AntiVirus keeps its
  339. identifications highly reliableby advanced false alarm elimination,which
  340. is discussed in a subsequent section.
  341.  
  342.  
  343. IBM AntiVirus Heuristic analysis
  344. _______________________________
  345.  
  346. IBM AntiVirus is not limited to detecting viruses thatwe already know
  347. about.It uses heuristic analysis to detect previouslyunknown viruses as
  348. well.It looks for patterns of changes in files,and for features of
  349. programs,that are typical of large classes of known DOS viruses.If it
  350. finds anything that matches these criteria,IBM AntiVirus will report the
  351. files or boot records as"suspicious" when it shows you the virus
  352. infection report.You will be given the opportunity to erase/overwriteany
  353. such suspicious file.
  354.  
  355. IBM AntiVirus heuristic analysis has been carefullydesigned to avoid
  356. false alarms.It does not report boot records or files as suspiciousjust
  357. because they have changed.Boot records and files change on computers all
  358. the time forreasons unrelated to viruses.It only reports files as
  359. suspiciousif their pattern of change is typical of virus infections.
  360.  
  361.  
  362. Verification before disinfection
  363. _______________________________
  364.  
  365. When IBM AntiVirus finds what appears to be a known virus,it checks every
  366. relevant byte of the virus to determinethat it is exactly as
  367. expected.This check is very important.If the virus can be verified to be
  368. the one expected,then the file or boot record can often be disinfected
  369. safely.If the virus turns out to be different,it might have changed the
  370. file or boot record inunexpected ways.  Attempting to disinfect it
  371. couldresult in a damaged file or boot record.
  372.  
  373. IBM AntiVirus does not attempt disinfectionif it will result in damaged
  374. files or boot records.Instead, it gives you the option of
  375. erasing/overwritingthe infected files or boot records.In cases where
  376. disinfection could result in damaged files,but it might not,IBM AntiVirus
  377. records this fact in the log fileof your IBM AntiVirus session.You can
  378. then examine these programs in more detailand determine whether you
  379. should restore them from backups.
  380.  
  381. Some viruses damage programs that they infectand make it impossible to
  382. disinfect them safely.IBM AntiVirus recognizes these casesand deals with
  383. them properly.When it disinfects files and boot records,IBM AntiVirus
  384. does everything it can tomake sure you are not left with malfunctioning
  385. programs.
  386.  
  387.  
  388. Thorough examination
  389. ___________________
  390.  
  391. When you do an initial check for viruses,you might be checking only some
  392. of the files or drives on your system.For instance, you might check only
  393. program files,because viruses do not typically infect any other
  394. files.Checking only program files is how IBM AntiVirus is normally
  395. usedand is a good way to minimize the time it takes to do an initia
  396. l check.
  397.  
  398. If the initial check finds a virus,it is possible there are files  you
  399. have not yetchecked that are also infected.When you do not find all of
  400. the infected files and boot records,it is very likely the virus will
  401. continue to spread onyour system and perhaps spread to other systems as
  402. well.
  403.  
  404. When IBM AntiVirus finds a virus during the initial check,it can then
  405. check your entire system thoroughly.It checks all files on all local
  406. fixed disks,even if they have not changed,and lets you eliminate any
  407. viruses found.
  408.  
  409. If your system is infected, it is likely thatthe virus came from a
  410. diskette recentlyor that you have accidentally spread the virus to a
  411. diskette.IBM AntiVirus reminds you to checkall diskettes that you might
  412. have used recently,and lets you eliminate any viruses you find on
  413. them.This check is an important step to take to stop the local spread of
  414. the virus.
  415.  
  416.  
  417. Install and forget operation
  418. ___________________________
  419.  
  420. IBM AntiVirus is designed to do the correct thing automatically.You do
  421. not need to develop a detailed understanding ofviruses or anti-virus
  422. technology for IBM AntiVirus toprotect your system.
  423.  
  424. Unless you change the default settings for IBM AntiVirusyour system will
  425. be checked periodically for viruses,and known viruses that attempt to
  426. spread in DOSwill be detected and stopped.You are notified of any viruses
  427. that are found,and are given recommendations about what to do.
  428.  
  429.  
  430. Advanced false alarm elimination
  431. _______________________________
  432.  
  433. Anti-virus programs should both reduce therisk of your system being
  434. affected by a virusand avoid bothering you if you do not have a virus.IBM
  435. AntiVirus uses a variety of techniques toensure that known viruses are
  436. found and removed reliablyand that variants and unknown viruses are
  437. likely to be foundas well.
  438.  
  439. IBM has gone to great lengths to eliminate false alarmsfrom IBM
  440. AntiVirus.IBM AntiVirus is tested on a collection of several
  441. hundredmegabytes of normal (uninfected) programs to help ensure
  442. thatcommon programs are not identified as infected.However, this is not
  443. enough.It is impossible to have every program in the world in
  444. thiscollection so there might be a program somewhere that causesproblems.
  445.  
  446. To help solve this problem, IBM has developed an advancedstatistical
  447. model to characterizewhat normal programs look like.All virus search
  448. patterns used by IBM AntiVirus are tested againstthis model and any that
  449. have too high a chanceof being found in normal programs are rejected,
  450. even if they are not foundin any of the normal programs in the test
  451. collection.
  452.  
  453. Finally, IBM's internal Personal Computers (PCs) are usedas a test
  454. population.IBM has over 250,000 PCs.We test IBM AntiVirus on a large
  455. numberof these PCs before releasing it to help ensurethat any problems
  456. are found and corrected before you ever see them.
  457.  
  458.  
  459. DOS shielding
  460. ____________
  461.  
  462. DOS viruses that infect program files spread when those programs
  463. arestarted under DOS.If you have installed DOS shielding,IBM AntiVirus
  464. will warn you when a program that youare running is infected with common,
  465. known viruses.In addition, it prevents these viruses from spreadingand
  466. lets you run the program as if it was not infected at all.
  467.  
  468. This has two important benefits.First, you can usually run your critical
  469. applicationseven if you have just discovered that they are infected.It is
  470. not necessary to shut down your system and dealwith the virus immediately
  471. (though it is a good idea).Second, you can usuallyrun IBM AntiVirus from
  472. your fixed disk,even if the system is infected.It is seldom necessary to
  473. shut your system down andrestart from a diskette to handle a virus
  474. infection.Instead, you can tell IBM AntiVirus to remove the virusand
  475. quickly go on with what you were doing.This ability makes it more likely
  476. that the infection is takencare of quickly and safely.
  477.  
  478. To view the list of viruses that IBM AntiVirus knows about, selectVirus
  479. descriptionsfrom theHelppull-down on the main window.Then selectList of
  480. viruses detected by IBM AntiVirusfrom the help screen.Viruses that are
  481. prevented by the shield are marked on this list.
  482.  
  483.  
  484. Intelligent incident management
  485. ______________________________
  486.  
  487. IBM AntiVirus is based on IBM's years of experiencein handling virus
  488. incidents around the world.Dealing with viruses correctly and safely
  489. without the propertraining can be difficult.We have built our anti-virus
  490. expertise right intoIBM AntiVirus so that you can protect your
  491. systemsfrom viruses without becoming a virus expert.
  492.  
  493. IBM AntiVirus provides default settings thatoffer the right protection
  494. for most systems.If a virus is found, IBM AntiVirus will lead you
  495. throughthe proper steps to remove the virus fromyour system.
  496.  
  497.  
  498. IBM AntiVirus products and services
  499. ----------------------------------
  500.  
  501. IBM AntiVirus products andservices are available in several countries
  502. around the world.The details of IBM AntiVirus Services differ fromcountry
  503. to country; they typically offer:
  504.  
  505. * Site licenses for IBM AntiVirus/DOS and IBM AntiVirus/2,including
  506.   regular updates.
  507. * Support for distributing and installing IBM AntiVirusfrom LAN servers.
  508. * Support for restricting end users from having IBM AntiVirusremove
  509.   viruses, while permitting anti-virus personnel to do so.
  510. * Site license for the IBM Virus Information Manual,a document that
  511.   describes known viruses anddiscusses successful enterprise strategies
  512.   for limiting their spread.
  513. * Assistance in managing virus incidents.
  514.  
  515. For more information, please consult the list below.In countries that are
  516. not yet listed,please contact your IBM Marketing Representative for more
  517. information.
  518.  
  519.  
  520. Canada          For information on IBM AntiVirus Services,call (416)
  521.                 946-3786.
  522. Denmark         For information on IBM AntiVirus Services,call (+45) 45
  523.                 93 45 45.
  524. Netherlands     For information on IBM AntiVirus Services,call ++31 30
  525.                 383816.
  526. United Kingdom  For information on IBM AntiVirus Services,call
  527.                 Basingstoke (0256) 344558.
  528. United States   For single copies of IBM AntiVirus/DOS or IBM
  529.                 AntiVirus/2,call (800) 551-3579.For information on site
  530.                 licensing and IBM AntiVirus Services,call (800) 742-2493.
  531.                 
  532.  
  533.  
  534. For further reading
  535. ------------------
  536.  
  537. The following recommended reading is for thosewho want more information
  538. about viruses and related topics:
  539.  
  540.  1. Fred Cohen,"Computer Viruses: Theory and Experiment",Computers and
  541.     Security, Vol. 6 (1987) pp. 22-35.This is the first paper that
  542.     defined viruses in theform that they appear today.
  543.  2. Communications of the ACM, Vol. 32 No. 6 (June 1989)has several good
  544.     articles on the Internet Worm incident.
  545.  3. Lance J. Hoffman (ed.),Rogue Programs: Viruses, Worms, and Trojan
  546.     Horses,Van Nostrand Reinhold, New York (1990),ISBN 0-442-00454-0.This
  547.     book is a very good collection of articles spanningmany aspects of
  548.     the virus problem.
  549.  4. Virus Bulletin,published by Virus Bulletin, Ltd.;21 The
  550.     Quadrant;Abingdon Science Park;Abingdon, Oxfordshire OX143YS;England,
  551.     UK.This monthly newsletter can help technical personnelkeep up with
  552.     the PC virus field.
  553.  
  554.