home *** CD-ROM | disk | FTP | other *** search
/ DP Tool Club 19 / CD_ASCQ_19_010295.iso / vrac / invb601a.zip / MANUAL.TXT < prev    next >
Text File  |  1994-10-30  |  80KB  |  1,684 lines

  1.  
  2.                      Copyright (c) 1990 - 1994
  3.          All Rights Reserved to NetZ Computing Ltd., Israel
  4.  
  5.  
  6.                           User's Guide
  7.                                and
  8.                    Installation Instructions
  9.  
  10.                 Warranty And Licensing Agreement
  11.  
  12.  InVircible and ResQdisk (Tm) 1990-1994 are trademarks and copyright
  13.  with all rights reserved to NetZ Computing Ltd. (NCL), Israel. You, as
  14.  the purchaser of license rights to the software, are herein referred to
  15.  as the Licensee. The Licensee may not assign the license rights to the
  16.  software without the prior agreement of NCL.
  17.  
  18.  The installation of this software package constitutes acceptance and
  19.  full agreement to the terms and conditions of this warranty and
  20.  licensing agreement, in so doing the Licensee agrees to be bound by
  21.  said provisions. This is a legal agreement between the Licensee as the
  22.  end user -- and NetZ Computing Ltd. who is the owner of all rights to
  23.  the software. Usage of the InVircible software indicates acceptance of
  24.  the terms and conditions.
  25.  
  26.  License: InVircible is licensed, it is not sold. The Licensee is
  27.  obtaining limited rights to use the InVircible software. The Licensee
  28.  is licensed to use InVircible on a single IBM-style personal computer.
  29.  The distribution floppy of InVircible has provisions for registering
  30.  two installations to the hard disk. Only one registered installation to
  31.  one hard disk is licensed with this disk package. The second
  32.  installation is reserved for the Licensee as a backup. Site licenses
  33.  are available for individuals or organizations with multiple
  34.  installation requirements. Alteration or reverse-engineering of the
  35.  programs is not authorized, such attempts terminate this license
  36.  agreement and may result in unpredictable and irreversible damage.
  37.  
  38.  Limited Warranty/Limitation of Remedies: Defective diskettes will be
  39.  replaced, at no charge, if they are returned freight pre-paid, within
  40.  30 days of the original purchase date. The sole remedy available to the
  41.  Licensee will be limited to the replacement of defective diskettes as
  42.  outlined, or a refund at the purchase price of this software program
  43.  package.
  44.  
  45.  InVircible is provided "as is". The Licensee assumes all responsibility
  46.  for the determination of the suitability of this software for
  47.  Licensee's configuration and the results and performance of this
  48.  software program package. NetZ Computing, the distributor, and their
  49.  suppliers do not warrant, guarantee, or make any representations
  50.  regarding the use of, or the results obtained with, the program in
  51.  terms of correctness, accuracy, reliability, legality, or otherwise. In
  52.  no event shall NetZ Computing Ltd., the distributor, nor anyone else
  53.  involved in the creation, production, or delivery, of this product be
  54.  held liable for any damages, loss of profit, consequential, or other
  55.  damages, that may arise out of the Licensee's use or inability to use
  56.  the InVircible programs. Some states do not allow excluding or limiting
  57.  implied warranties or limiting liability for incidental or
  58.  consequential damages, so the above limitation may not apply to the
  59.  Licensee. This limited warranty and license agreement is governed by
  60.  the laws of the State of Israel.
  61.  
  62.  
  63.                            Table Of Contents
  64.  
  65.  Preface
  66.  
  67.  Quick Start Instructions
  68.  
  69.  1. Introduction
  70.  1.1 What are computer viruses?
  71.  1.2 InVircible's Main Features.
  72.  
  73.  2. Getting Started.
  74.  2.1 Working from the InVircible Floppy.
  75.  2.2 Preparation of the Rescue Diskette.
  76.  
  77.  3. Using the Main Menu (IVMENU).
  78.  3.1 IVMENU Special Keys.
  79.  3.2 The IVMENU Caution Panel.
  80.  3.3 The Last IVB, IVSCAN or IVX Report.
  81.  
  82.  4. InVircible Installation .
  83.  4.1 Installation to Hard-disk.
  84.  4.2 Installation to LAN Server.
  85.  4.3 Installation Under OS/2.
  86.  4.4 Installation in the Sentry Mode.
  87.  
  88.  5. Recommended Anti-Virus Strategy.
  89.  5.1 In the Single User Environment.
  90.  5.2 In a Network Environment.
  91.  5.3 In the Institutional Environment
  92.  5.4 In Unattended Installations (e.g. Bulletin
  93.      Board Systems).
  94.  
  95.  6. IVB - The file Protection & Restoration Program
  96.  6.1 The Extra-Security Feature.
  97.  6.2 Off-line Backup of the Database-Files-Tree.
  98.  
  99.  7. IVX - The Correlation Scanner.
  100.  
  101.  8. ResQdisk - The Boot-Area and CMOS Maintenance program.
  102.  8.1 Reconstruction of the Boot Block.
  103.  8.2 Regaining Access to an "Invalid Drive".
  104.  8.3 ResQdisk's Setup Utility.
  105.  
  106.  9.  IVSCAN - The Virus Detection and Removal Scanner
  107.  9.1  Removing Generic Boot Viruses from Floppies
  108.  
  109.  10. A Primer to Generic and Special Methods.
  110.  10.1 Generic Method Selection
  111.  10.2 Generic Boot-Block Recovery
  112.  10.3 Fat Manipulators Removal
  113.  10.4 Inverse Piggy-Backing (IP).
  114.  10.5 The Virus Interrogation technique.
  115.  10.6 Forced Self Restoration.
  116.  10.7 Screening New Software.
  117.  
  118.  11. Importing InVircible into Windows.
  119.  12. Virus Handling under OS/2.
  120.  13. Central Point Anti Virus Inoculation
  121.  14. The Antivirus TSR (Terminate and Stay Resident).
  122.  15. Procedures to Use if Virus Activity is Suspected.
  123.  16. For Computer Security Expert and Advanced User.
  124.  
  125.  Preface
  126.  
  127.  This manual provides the essential information for the installation and
  128.  use of InVircible. The InVircible software is user friendly, intuitive
  129.  and will provide long-lasting virus protection. After installation
  130.  InVircible functions unobtrusively without the need for ongoing user
  131.  actions.
  132.  
  133.  The key component of InVircible is a rule-based Expert System that
  134.  insures that most of virus attacks will be detected and removed from
  135.  your IBM PC-class DOS system. For those situations where complex or
  136.  compound virus attacks are detected, InVircible's utilities and this
  137.  manual's guidelines provide for a user directed thoroughly complete
  138.  restoration. In addition to background and program documentation, this
  139.  manual provides guidelines for minimizing ongoing threats to the
  140.  well-being of your PC's health. InVircible may be installed and used
  141.  with assistance only from the on-line user help, so many InVircible
  142.  users operate without the manual. A Quick Start section in this manual
  143.  guides the user who prefers to install immediately and re view the
  144.  manual in detail later.
  145.  
  146.  InVircible's basic features, the integrity checker, the correlation
  147.  scanner, the virus scanner and the ResQdisk program are accessed via a
  148.  menu using the IVMENU command. Command line execution is also
  149.  available. Advanced features are integral components of the InVircible
  150.  package; those advanced features are used rarely during day-to day
  151.  operation in defense against simple virus attacks. Since most virus
  152.  attacks are uncomplicated solo attacks of your system, InVircible's
  153.  basic features will give you excellent ongoing protection. The advanced
  154.  features are always available for simple or complex virus attacks and
  155.  provide you with leading edge technology capabilities to eradicate even
  156.  the most clever and troublesome viruses.
  157.  
  158.  InVircible provides a layered approach to protection from computer
  159.  viruses. The first layer are the InVircible automatic detection and
  160.  recovery features, embedded in IVINIT, which provides InVircible with
  161.  extreme resistance to being bypassed or attacked by viruses. The second
  162.  layer is the IVB integrity checker and restorer that secures your
  163.  files, detects and eradicates new viruses (especially the
  164.  "unrecoverable" viruses) and recovers the files that become infected
  165.  with one or more viruses. The third layer are IVX and IVSCAN, the
  166.  correlation and virus scanners for tracing down infected files and for
  167.  the elimination of common or unknown viruses.
  168.  
  169.  In support of the above are: IVTEST, a module that checks computer
  170.  memory for viral activity in real time, and ResQdisk, an advanced tool
  171.  for inspecting and recovering the critical boot sectors and data of
  172.  your hard disk.
  173.  
  174.  InVircible avoids common problems of other anti-virus software.
  175.  InVircible programs recover themselves in case they become infected,
  176.  even from stealthy viruses. InVircible does not allow a "fast infector"
  177.  virus to "piggyback" its scanners and to infect an entire hard disk
  178.  drive. InVircible utilize an efficient virus activity probe instead of
  179.  memory resident (TSR - terminate and stay resident) component in its
  180.  protection scheme.
  181.  
  182.  InVircible allows you to automatically recover from virus attacks; or
  183.  you may prefer to manually guide the recovery.
  184.  
  185.  
  186.  Quick Start Instructions
  187.  
  188.  Insert the InVircible diskette into the A: or B: floppy drive.
  189.  
  190.         Type A: or B: at the command prompt line.
  191.         Type INSTALL/FAST to start the quick installation procedure.
  192.  
  193.  The InVircible INSTALL first examines your system for in- memory viral
  194.  activity and infected hard disk drive boot areas and files. After these
  195.  initial tests, InVircible then installs itself on your system to a
  196.  default directory. If you prefer to install InVircible with parameters
  197.  other than the default then use the plain INSTALL command. During the
  198.  installation phase, all files on hard disk drive partitions will be
  199.  scanned, then "secured" by IVB, the integrity checker. Although
  200.  InVircible's functions are designed to be exceptionally fast, this
  201.  initial scanning and securing of a large number of files may take a few
  202.  minutes, so please be patient! Whenever a choice is provided, the
  203.  default selection is the recommended choice. We encourage you to
  204.  configure your system so that IVTEST, the real time viral activity
  205.  checker, is activated when you invoke a frequently used batch (BAT)
  206.  file (see Sections 4).
  207.  
  208.  NOTE: Preparation of a Rescue Diskette (Section 2) is critical for
  209.  effective recovery from boot block and complex viral attacks. The
  210.  preparation is needed before a virus infection may occur.
  211.  
  212.  Using InVircible
  213.  
  214.  Type IVMENU to access the user-friendly menu. Choose your selection by
  215.  using the keyboard or a mouse.
  216.  
  217.  The Integrity Test option activates IVB, the integrity checker. Choose
  218.  the Virus Scanner option to activate IVSCAN, the virus scanner. The F1
  219.  key provides access to the extensive, on-line, interactive hypertext
  220.  manual. You may exit InVircible by pressing the F10 key, Alt+X, Alt+Q
  221.  or clicking the mouse on the 'quit' field from the main panel. The
  222.  escape key (Esc) returns you to the previous IVMENU panel.
  223.  
  224.  After IVB is selected, you choose the drive partition and directories
  225.  to examine and whether to "validate", "secure", or "restore" files.
  226.  When selecting IVSCAN, you choose the drive partition to scan, the
  227.  directory (or directories) to examine, and whether to "scan" viruses or
  228.  "remove" them also. For IVB and IVSCAN, it is usually best to utilize
  229.  the default choice first, i.e., either "validating" or "scanning".
  230.  These advisory modes notify you of suspicious activity. You may then
  231.  make an informed decision regarding the appropriate action to take.
  232.  
  233.  
  234.  Suggested Protection Routine
  235.  
  236.  IVINIT will check on any initialization of the computer that the boot
  237.  block and operating system are intact.
  238.  
  239.  IVB will automatically run a daily check of all your executable files
  240.  in all local partitions on the hard drive. IVB is the primary tool for
  241.  monitoring the integrity of files and for their recovery in the event
  242.  of a virus infection. IVB will report changes in executable files. Some
  243.  changes in executable files are expected if you generate your own
  244.  applications and program executable filenames are reused. IVB will
  245.  normally prompt and suggest the renewal of the database file in a
  246.  directory, in case the changes are a new version of a program. Yet,
  247.  software developers will need to be aware when alterations are
  248.  legitimate and when they are not. User generated executable should be
  249.  secured immediately with IVB. When installing new software packages,
  250.  scan the diskettes with IVSCAN before installation. After installation
  251.  run IVB on all directories to secure any added executable file.
  252.  
  253.  Application programs such as DOS or Windows do not change normally
  254.  unless they have been upgraded or purposely changed such as adding or
  255.  deleting an entry to the SETVER table. A consistent change pattern
  256.  reported by IVB indicates a viral infection. IVB provides this
  257.  information both on screen and in a report file (IVB.RPT) placed in the
  258.  partition root directory. Print this file to help assess the situation
  259.  if you suspect virus activity. A report of only a single file having
  260.  become modified requires you to proceed carefully ! Viruses rarely
  261.  infect only one file, so an indication of a single modified file may
  262.  not necessarily indicate the presence of a virus.
  263.  
  264.  When a genuine infection is found, try IVSCAN first, to discard the
  265.  possibility of an infection by a common virus.
  266.  
  267.  Viruses unknown to IVSCAN may be removed using IVB, provided the
  268.  programs were secured before becoming infected.
  269.  
  270.  New viruses, unknown to IVSCAN or where no securing signatures exist,
  271.  can be found using IVX. The suspected files can have their extension
  272.  name be renamed to a non- executable one and the files can then be
  273.  replaced from backup.
  274.  
  275.  
  276.  1. Introduction
  277.  
  278.  1.1. What are Computer Viruses?
  279.  
  280.  Computer viruses are sophisticated computer code written by imaginative
  281.  programmers, having little respect to other's people work. Their
  282.  motives are many, but the indisputable fact is that there exist already
  283.  thousands of them, and several new ones are written daily! Viruses have
  284.  to be purposely designed and written, they don't just appear from
  285.  nowhere. However, to be a virus, there is one characteristic this
  286.  program must have: It must replicate (or copy) itself so that it can
  287.  spread. In order to assure its continuous spreading, the virus program
  288.  must take control of the program's execution, either if it is a
  289.  bootstrap program or an application file.
  290.  
  291.  Computer viruses are passed the same ways we obtain software; by
  292.  copying from friends, from bulletin board systems, with newly purchased
  293.  PCs and even in vacuum wrapped new software.
  294.  
  295.  1.1.1 Categories of Computer Virus
  296.  
  297.  There has been much discussion regarding computer viruses and elaborate
  298.  technical names are being used, such as stealthy, polymorphic,
  299.  multipartite, spawning and self- encrypting. In reality, there are only
  300.  two general virus categories:
  301.  
  302.         (1) Viruses that infect through the boot sector or partition
  303.             table (MBS);
  304.         (2) Viruses that infect through files;
  305.  
  306.  All encountered viruses fall into one of the above two categories or
  307.  both. There are multipartite viruses that combine the properties of the
  308.  two categories (boot and file). Such are the Junkie, Natas and Tequila
  309.  viruses.
  310.  
  311.  A new variant of file viruses emerged in late 1991. It manipulates the
  312.  file allocation table (FAT) in order to spread. We will call them FAT
  313.  manipulators or cluster infectors.
  314.  
  315.  For the sake of reference, below is a quick definition of terms that
  316.  are used to describe viruses and techniques employed by viruses:
  317.  
  318.  1.1.2 File Viruses
  319.  
  320.  A file infector attacks executable program files, having a COM or EXE
  321.  extension name. File infectors may corrupt non- executable files as
  322.  well but they cannot spread this way, unless the affected file is
  323.  renamed to an executable filename and executed.
  324.  
  325.  Many file viruses are memory resident (TSR). After an infected file is
  326.  executed, they will remain resident in the computer's memory until the
  327.  computer is turned off. While in memory they will continue to infect
  328.  other programs and may interfere with normal operations. If the
  329.  computer is turned off they will lie dormant until an infected file is
  330.  executed and then load themselves back into memory again until the next
  331.  time the computer is turned off.
  332.  
  333.  
  334.  1.1.3 Boot Viruses
  335.  
  336.  Boot viruses attack boot records and master boot records (MBR,
  337.  sometimes referred as the partition sector). When the computer is
  338.  turned on, it runs a couple of tiny program from the hard disk, first
  339.  the partition bootstrap and then the boot loader, to ready itself for
  340.  work. In case of a boot infection, one of these programs may simply be
  341.  a virus. Boot viruses will remain active in memory while the computer
  342.  is on.     During this time they will infect write enabled floppies
  343.  that the computer accesses.
  344.  
  345.  
  346.  1.1.3 Multipartite Viruses (boot and file infectors)
  347.  
  348.  Multipartite viruses infect both executable files and boot- partition
  349.  sectors. When the computer is turned on the virus will be active and
  350.  infect additional programs that are executed. Multipartite viruses are
  351.  sometimes referred to as 'droppers', meaning that when an infected file
  352.  is executed, it will drop its own boot program into the hard drive boot
  353.  area.
  354.  
  355.  
  356.  1.1.4 FAT Manipulators (file infectors)
  357.  
  358.  The FAT manipulators are basically file infectors, with a unique
  359.  infection mechanism. FAT manipulators are inherently stealth viruses
  360.  because they hide the increase in file length, although the virus code
  361.  is actually appended to the file. The way it is done is by inserting
  362.  the extra clusters in the file's clusters chain in the FAT. Two well
  363.  known such viruses are Dir-2 and 1963 (Necropolis). FAT manipulators
  364.  are also excellent piggy-backers.
  365.  
  366.  1.1.5 Techniques used by Computer Viruses.
  367.  
  368.  1.1.5.1 Stealth
  369.  
  370.  Stealth viruses are so named because they actively seek to hide
  371.  themselves to prevent detection. Stealth viruses that infect files will
  372.  subtract their own size (in bytes) from the infected host file at any
  373.  time that a directory (DIR) command is executed. The Whale virus is a
  374.  good example of this. When it infects a file it adds 9216 bytes (and
  375.  some mutations may reach even 16 Kb in length) to the file size (a copy
  376.  of itself). If the DIR command is issued, it subtracts the virus length
  377.  (9216 bytes) from the displayed host file length. Thus it effectively
  378.  hides itself from the computer operator eye and from the operating
  379.  system.
  380.  
  381.  Some boot viruses use stealth (spoofing) techniques too. Stealth boot
  382.  viruses will deceit editing tools such as Norton's Disk Editor. Example
  383.  of stealth boot viri are Monkey and Noint. Natas and Gingerbread Man
  384.  are multipartite viruses that use boot spoofing too.
  385.  
  386.  1.1.5.2 Encryption
  387.  
  388.  Most of modern viruses use encryption to evade detection by scanners.
  389.  An encrypted virus has a very short common encryptor (from as few as 3
  390.  bytes, to a couple of dozen bytes) and the rest of the virus code is
  391.  encrypted and differs from copy to copy of the virus. The detection of
  392.  encrypted viruses cause high false alarm rates due to the ambiguity in
  393.  the detection of the short common string.
  394.  
  395.  1.1.5.3 Mutation Engine or Polymorphism
  396.  
  397.  Polymorphic viruses are a higher order of encrypted viruses. In
  398.  addition to encryption, they use a "mutations generator" that scrambles
  399.  the encryption too. A polymorphic virus mutates itself, so that each
  400.  occurrence is totally different from the one before. This creates huge
  401.  difficulties for anti- virus scanners, because they cannot look for a
  402.  'known' virus signature. Polymorphic viruses have rendered scanners
  403.  effectively useless since they cannot be removed by an algorithmic
  404.  approach.
  405.  
  406.  1.1.5.4 Spawning (or Companion) Viruses.
  407.  
  408.  Companion viruses take advantage of the precedence DOS gives to COM
  409.  over EXE files in the order of execution. If there are two files
  410.  bearing the same name, one with a COM extension name and the other with
  411.  an EXE extension, then DOS will execute the COM file first. A companion
  412.  virus is basically a Trojan that "infects" EXE files by spawning itself
  413.  into a companion COM file, bearing the same name as the EXE file.
  414.  Sometimes the companion virus file will have its attribute set to
  415.  'hidden', to avoid its detection by the DIR command.
  416.  
  417.  1.2 InVircible's Main Features
  418.  
  419.  *  It handles both known and unknown computer viruses.
  420.  *  It is extremely fast, professional and easy to operate;
  421.  *  Does not require any costly updates;
  422.  *  Is self-sufficient and provides real time recovery from new or
  423.     unknown viruses. Does not need outside assistance;
  424.  *  Has Extremely low false-alarm or 'false positives', with the highest
  425.     probability of 'true positives' detection;
  426.  *  Uses a unique unobtrusive file protection and restoration scheme.
  427.  *  Has an automatically updating distributed database for restoration
  428.     of files.
  429.  *  Has redundant and user-defined security features.
  430.  *  Uses a unique generic virus behavior probe and sampler.
  431.  *  Is not memory-resident and does not adversely affect computer
  432.     performance.
  433.  *  Uses unique programs that automatically check themselves for, and
  434.     restore themselves from virus infection.
  435.  *  Is friendly and uses a menu-driven user interface.
  436.  *  Features an interactive installation utility.
  437.  *  Is compatible with all major LANs (Local Area Networks).
  438.  *  Has an indispensable toolbox for computer security experts and
  439.     advanced users.
  440.  *  Has generic procedures for full recovery from the Dir-2 and 1963 FAT
  441.     and directory manipulators.
  442.  *  Utilizes sabotage-resistant protection designed to avoid both human-
  443.     and virus-based deception.
  444.  *  Is piggybacking resistant to prevent InVircible from be coming a
  445.     virus carrier.
  446.  *  Has extensive context-sensitive hypertext on-line help; and
  447.  *  Is financially affordable;
  448.  
  449.  
  450.  2. Getting Started
  451.  
  452.  2.1 Working from the InVircible Floppy.
  453.  
  454.  InVircible is to be used from the hard disk drive. Yet, it can be used
  455.  from the original distribution floppy. Boot the computer from either a
  456.  DOS diskette or from the hard disk. Put the original diskette in one of
  457.  the floppy drives and run IVMENU from the InVircible diskette. For
  458.  reading the on- line hypertext manual either run IVHELP or use the F1
  459.  key when in IVMENU.
  460.  
  461.  2.2 Preparation of the Rescue Diskette.
  462.  
  463.  The Rescue Diskette is a bootable floppy, containing the necessary
  464.  InVircible programs, the hard-disk's boot-areas image files, the data
  465.  stored in the CMOS, a copy of your AUTOEXEC.BAT and CONFIG.SYS and some
  466.  useful DOS files such as FDISK, SYS, and UNFORMAT. It enables to
  467.  recover the boot areas of a given hard-disk, the CMOS settings, as well
  468.  as the recovery of files in case of infection. The Rescue Diskette is
  469.  fully operable only on a computer that has the registration key
  470.  installed on the hard disk.
  471.  
  472.  Install InVircible normally to the hard disk and reboot the computer to
  473.  make the installation effective. Insert a formatted diskette into drive
  474.  A and run INSTALL/R. First, the system and InVircible files will be
  475.  transferred to the diskette, to make it bootable. Then, the boot areas
  476.  of your hard-drive will be backed-up to the diskette. Write-protect the
  477.  diskette.
  478.  
  479.  Partitioning device drivers (e.g. SpeedStor), disk- compression
  480.  (Stacker, SuperStor, DoubleSpace), password drivers etc., required to
  481.  recognize partitions or drives at booting time, should be installed
  482.  onto the Rescue Diskette. DoubleSpace, Stacker and Ontrack's Disk
  483.  Manager are all taken care of by InVircible.
  484.  
  485.  In other cases, copy the driver to the rescue-disk and edit its
  486.  CONFIG.SYS file by an ASCII editor. It should contain an appropriate
  487.  DEVICE line for each driver to be loaded at booting time.
  488.  
  489.  There is no point in preparing a Rescue Diskette for a computer without
  490.  a hard disk. The Rescue Diskette is individual to the specific
  491.  hard-disk for which it was prepared. Rescue Diskettes should never be
  492.  swapped between computers.
  493.  
  494.  
  495.  3. Using the Main Menu (IVMENU).
  496.  
  497.  IVMENU may be started in different modes by using the command line
  498.  options. By default IVMENU will start in the Integrity Check mode, on
  499.  the current drive. IVMENU's command line syntax is:
  500.  
  501.                         IVMENU [/switch] [drive:]
  502.         Switches:
  503.  
  504.         /V to start in the Virus Scan mode,
  505.         /R to start the ResQdisk boot block maintenance utility.
  506.  
  507.  The "drive" option will home IVMENU to a different than the current
  508.  drive at startup. The switches and the drive option may be used in
  509.  combination in any order.
  510.  
  511.  There are several ways to change options and modes with IVMENU, just
  512.  use the keyboard or the mouse anyway you like. Any "sensible" action
  513.  will respond accordingly.
  514.  
  515.  
  516.  3.1 IVMENU Special Keys.
  517.  
  518.  Alt + key combinations: the Alt key combined with either I, H, R or V
  519.  will switch to the Integrity Check, Hyper- Correlator, ResQdisk or
  520.  Virus Scanner respectively.
  521.  
  522.  Ctrl + key combination: the Ctrl key, when combined with a character
  523.  from A to Z will change the current drive to the one selected, if
  524.  available.
  525.  
  526.  Alt + G shortcut control: the shortcut hot-key is labeled "Go" when a
  527.  mouse is found or "Alt + G" when the mouse is inactive. The shortcut
  528.  control may be used to proceed with the selected mode without further
  529.  selections. Press Alt+G or click the mouse on the green "traffic light"
  530.  at the top center of IVMENU's display.
  531.  
  532.  3.2  The IVMENU Caution Panel.
  533.  
  534.  The CAUTION PANEL is at the right-hand side of IVMENU's main screen. It
  535.  displays various parameters on InVircible settings as well as selected
  536.  warnings, related to possible virus problems.
  537.  
  538.  The first two entries are dedicated to memory stealing alert. In case
  539.  DOS reports less than the expected memory, a message indicating the
  540.  number of missing kilobytes will pop up. The message will prompt for
  541.  confirmation to set the alert threshold to the difference detected.
  542.  Once set, IVMENU and the InVircible programs will ignore missing
  543.  memory, if equal to the set threshold. The threshold is reset
  544.  automatically to zero when IVMENU detects more DOS memory than the
  545.  current threshold setting.
  546.  
  547.  A Low memory message will be displayed in case missing memory is
  548.  detected and the user didn't confirm the setting of the threshold.
  549.  There are instances when less than 640 Kbytes of DOS base memory is
  550.  normal, such as with certain settings of the setup or in certain
  551.  compatibles, especially when booted from a diskette (Acer, some Dell
  552.  models, HP etc.).
  553.  
  554.  The third entry is the current database file name. This filename may be
  555.  changed through IVMENU by selecting Rename from the Integrity Check
  556.  menu. IVMENU will prompt for a name, or ask to press Enter to reset to
  557.  the IVB.NTZ default filename. See also for "extra security" in the IVB
  558.  topic.
  559.  
  560.  The fourth entry indicates the available space in bytes on the target
  561.  drive. In case the available space on disk decreases, a Disk space
  562.  lost! message will come up, indicating the number of bytes "lost". In
  563.  case lost space is reported, one should be aware of the possibility of
  564.  virus piggybacking. IVB or IVSCAN will stop the scanning process in
  565.  case piggybacking is detected.
  566.  
  567.  The fifth entry indicates the frequency of the full disk Integrity
  568.  Check. If InVircible was properly installed, it should be either DAILY
  569.  or WEEKLY. If not, re-INSTALL InVircible as detailed elsewhere.
  570.  
  571.  The last entry checks for the registration status and will indicate
  572.  "full" or "detection only". The empty field at the bottom is reserved
  573.  for warning messages.
  574.  
  575.  
  576.  3.3 The Last IVB, IVSCAN or IVX Report.
  577.  
  578.  The last report generated by either IVB, IVSCAN or IVX can be viewed on
  579.  screen through IVMENU. Select the Last Report in the Integrity Check or
  580.  Virus Scan mode. The IVX report can be viewed in either modes by
  581.  pressing the X key and then Enter. The report files are written to the
  582.  target's root directory and named IVSCAN.RPT, IVB.RPT or IVX.RPT. The
  583.  report file can redirected to the printer by DOS command, either PRINT
  584.  filename or TYPE filename > PRN.
  585.  
  586.  4. InVircible Installation
  587.  
  588.  4.1 Installation to Hard-disk.
  589.  
  590.  Insert the InVircible diskette in drive A or B. Log-in to that drive.
  591.  Run INSTALL to begin the installation.
  592.  
  593.  The INSTALL program will prompt for the directory to install to. Type
  594.  the full pathname of the preferred location or just press Enter for the
  595.  default, when prompted.
  596.  
  597.  The Utilities sub-menu, has the following options:
  598.  
  599.      a. The Batches sub-menu. Enables the insertion/removal of the
  600.         IVTEST command to/from batch files in specified directories. The
  601.         installation of the IVTEST probe in batch files is optional.
  602.         IVTEST will be installed in its "quiet" mode. IVTEST messages
  603.         will be displayed only if suspect activity is detected.
  604.  
  605.      b. The Rescue-Disk sub-menu, for the preparation of the diskette.
  606.  
  607.      c. The On-line Registration sub-menu. Enables the on-line
  608.         registration of InVircible by telephone and credit card. Call
  609.         your local dealer for more details.
  610.  
  611.      d. The Key Installation/Removal sub-menu. Enables either the
  612.         installation or removal of the InVircible registration key
  613.         to/from the hard drive. The process is reversible.
  614.  
  615.  4.2 Installation To or From LAN Server.
  616.  
  617.  InVircible is a universal anti-virus, recommended for both single user
  618.  PCs as well as for all popular LAN brands.
  619.  
  620.  INSTALL enables the installation of InVircible to a file server or to a
  621.  workstation in a network. The default is installation to a single user
  622.  PC's hard disk.
  623.  
  624.  Select where to install InVircible (singe user PC - the default -, to
  625.  a file server, or to a workstation in a network) from the Install
  626.  sub-menu. Note that the installation (or removal) of the registration
  627.  key to the hard disk can be done from the original diskette only.
  628.  
  629.  InVircible may be installed to any chosen directory on the server. The
  630.  contents of the server should be secured by the LAN manager.
  631.  
  632.  All stations connected to the network and equipped with a hard-drive
  633.  need individual registration. The file server does not need the
  634.  installation of the registration key. Any workstation in the network
  635.  having a hard disk may be infected prior to logging-in to the network.
  636.  Therefore, any such station needs its own InVircible installation.
  637.  
  638.  4.3 Installation Under OS/2.
  639.  
  640.  The InVircible INSTALL procedure must be run from a plain DOS
  641.  environment. If INSTALL is attempted from OS/2, a warning message will
  642.  request the user to boot from DOS and try again.
  643.  
  644.  4.4 Installation in the Sentry Mode.
  645.  
  646.  There are instances when only the detection and alerting functions of
  647.  InVircible's are needed. To install InVircible in the sentry mode
  648.  (detection only), just skip the key transfer step in the installation
  649.  procedure by running INSTALL/FAST or by leaving the write protect of
  650.  the InVircible diskette in the protect position. The retraction of the
  651.  registration key from the hard disk back to the diskette will also
  652.  switch InVircible to the sentry mode.
  653.  
  654.  The sentry mode is indicated by the "Detection only" label instead of
  655.  "Full Registration", in IVMENU's Caution Panel and in the upper left
  656.  corner of the program's panel.
  657.  
  658.  5. Recommended Anti-Virus Strategy
  659.  
  660.  5.1 In the Single User Environment.
  661.  
  662.  Install InVircible to the hard drive, as instructed above. The INSTALL
  663.  utility will edit the AUTOEXEC file, after prompting for permission,
  664.  and add the necessary commands for automatic tests to be run on the
  665.  computer initialization. None of the InVircible programs will load
  666.  itself and stay resident in memory. Once it completed its function, it
  667.  will unload and leave the maximum of available memory to the
  668.  applications.
  669.  
  670.  From now on, InVircible will detect and correct the most severe
  671.  problems right at initialization. These include partition or boot
  672.  sector tampering and certain operating system changes. Boot viruses
  673.  such as Michelangelo, Stoned and Monkey will simply be purged from the
  674.  disk immediately at startup.
  675.  
  676.  It some cases, InVircible may just alert, without correcting, on the
  677.  presence of a suspected activity in the computer. Such alert is
  678.  accompanied by a message describing the generic nature of the problem
  679.  and the recommended corrective action.
  680.  
  681.  On first booting at any given-date, IVB will scan through all the hard
  682.  disk local partitions. On successive initializations on the same date,
  683.  only the root directory will be scanned. Added programs will be
  684.  automatically secured on the daily scan. If weekly scans are preferred,
  685.  change the DAILY argument to WEEKLY, in the AUTOEXEC file.
  686.  
  687.  Read Only drives (CD ROM): CD drives cannot (and need not) be secured.
  688.  The INSTALL utility will normally detect ROM drives and disable their
  689.  daily check. In case it hasn't, just add a space and a dash at the end
  690.  of the daily command. For example, if D: is a CD drive, modify the
  691.  command as follows:
  692.  
  693.                         IVB C: DAILY -
  694.  
  695.  Make frequent data backups. Data should be backed-up at reasonable
  696.  intervals. Programs should be backed-up only once or kept preferably on
  697.  the original distribution disks.
  698.  
  699.  It is highly recommended to regularly run a FAT backup program, such as
  700.  MIRROR from DOS 5 or IMAGE from Norton Utilities, from the last line of
  701.  the AUTOEXEC.
  702.  
  703.  The InVircible system uses a unique virus-activity probe and sampler,
  704.  called IVTEST. Since the reliability of memory-resident activity
  705.  monitors is limited only to known viruses, and some of them are
  706.  obtrusive or risky, there is need to verify from time to time, that a
  707.  viral process is not spreading in the system. This is achieved by the
  708.  automatic running of IVTEST, from frequently used BATCH files. The
  709.  INSTALL utility will add the appropriate command into specified
  710.  directories.
  711.  
  712.  5.2 In a Network Environment.
  713.  
  714.  Any workstation equipped with a hard disk, should have its own
  715.  InVircible installation. The InVircible distribution diskette for LAN
  716.  installations has multiple registration keys, according to the number
  717.  of licensed users. The registration key should be installed only to
  718.  local hard disks, in workstations equipped with.
  719.  
  720.  It is recommended that the LAN manager run a daily IVB inspection of
  721.  selected directories of the server. This can be done by adding command
  722.  lines in the network schedule file or script. IVB returns an errorlevel
  723.  exit-code. Errorlevel 0 means no findings, and anything else may
  724.  indicate virus activity. Test for errorlevel 1 in batch or script files
  725.  for suspect activity alerting.
  726.  
  727.  It is normal to find modified files in users directories, especially if
  728.  they develop software. On the other hand, modified files with a
  729.  consistent change pattern should alert on the possibility of a virus in
  730.  the system. IVB will assess whether the changes may be a new version of
  731.  a former program. IVB will then prompt if to renew the database file
  732.  for that specific directory.
  733.  
  734.  5.3 In the Institutional Environment
  735.  
  736.  Most institutional installations involve combinations of single users
  737.  and network users, requiring an anti-virus plan that is a combination
  738.  of the preceding strategies. Many large institutions also have an
  739.  anti-virus policy requiring that virus related problems be dealt with
  740.  only by qualified personnel. In this situation the InVircible
  741.  registration key is not installed or is removed from systems not
  742.  authorized to deal with virus removal. Systems without InVircible keys
  743.  are still protected, but recovery of these systems from virus attacks
  744.  is performed only by qualified personnel with access to an InVircible
  745.  registered floppy.
  746.  
  747.  Especially useful in an institutional environment are IVX and ResQdisk
  748.  (see Sections 8 and 9). These utilities provide indispensable help to
  749.  the institute's computer security experts for the recovery of "lost"
  750.  hard drives and for tracking down sources of infection, especially of
  751.  new vi ruses.
  752.  
  753.  5.4 In Unattended Installations (e.g. Bulletin Board Systems - BBS).
  754.  
  755.  There are instances when the operation of a PC is unattended, such as
  756.  in bulletin board systems etc. The daily inspection of IVB may in such
  757.  cases pause the system, if the system was rebooted and IVB found
  758.  changes in programs, when compared to their store signatures. To bypass
  759.  the pause use the /nostop switch on IVB's command line in the AUTOEXEC,
  760.  as follows:
  761.  
  762.                      IVB C: DAILY /NOSTOP
  763.  
  764.  6. IVB - The File Protection & Restoration Program.
  765.  
  766.  IVB will secure, authenticate and restore executable programs from
  767.  virus infection and virus-like modifications, except for FAT/directory
  768.  manipulators (see Section 10).
  769.  
  770.  IVB takes a 66 byte "snapshot" (signature) of critical information from
  771.  each executable file and stores this information in each directory's
  772.  InVircible database. This process is called "securing". The information
  773.  is then used during "authentication" (also called "validation") to
  774.  determine whether a file is modified by a virus. The database is also
  775.  used to "restore" files that have been modified by viruses.
  776.  
  777.  Viruses are characterized by unique properties: They replicate into
  778.  other programs, they modify the host program and they normally affect
  779.  more than one program. All these anomalies are unmistakably detected by
  780.  IVB.
  781.  
  782.  Common viruses will usually increase the size of a file, while
  783.  Trojan-Horses typically decrease the size of a file by overwriting it.
  784.  If IVB detects that more than one file is "modified" or "changed in
  785.  size", then virus activity is indicated.
  786.  
  787.  A single modified file, or an inconsistent change pattern, may be a new
  788.  version of an existing program. IVB will usually detect a version
  789.  change and suggest to resecure the directory.
  790.  
  791.  IVB restores programs that have been secured. Prior to restoring files
  792.  with IVB, scan first with IVSCAN to assure that the virus is not of a
  793.  known type. Recovery with IVSCAN should be tried first, before
  794.  restoring with IVB. The IVB command-line syntax is:
  795.  
  796.               IVB [-] [drive:\directory] [/option]
  797.  
  798.  The default drive and directory are the current ones. The various
  799.  options are:
  800.  
  801.       none for authentication (the default),
  802.       /S for secure,
  803.       /R for restore,
  804.       /D for delete and
  805.       /V for the removal of the database files.
  806.  
  807.  Let IVMENU guide you through the options.
  808.  
  809.  The Delete option will erase files that have been decreased in size
  810.  (potential Trojans) or files that cannot be restored safely.
  811.  
  812.  The [-] switch (space followed by a hyphen) indicates to IVB to operate
  813.  on the specified directory only without continuing to any other
  814.  directory or sub-directory.
  815.  
  816.  IVB will automatically secure added files when run in the default mode.
  817.  The secure mode is to be used in case IVB indicates a modified file,
  818.  which is a replacement rather than a modified one. Use the single
  819.  directory switch to resecure a single directory by selecting it through
  820.  IVMENU.
  821.  
  822.  IVB is tamper-resistant and will replace the database file of a
  823.  particular file, if tampered with.
  824.  
  825.  IVB secures executable files (COM, EXE, SYS) only.
  826.  
  827.  Before attempting the recovery of a file by IVB you will be prompted
  828.  with three options: Restore, Skip or All (restore all).
  829.  
  830.  
  831.  6.1 The IVB Extra-Security Feature.
  832.  
  833.  IVB has an extra security feature which allows the user to define the
  834.  name of the database files. The default name is IVB.NTZ. This will
  835.  prevent the destruction or modification of the IVB database files by a
  836.  dedicated virus. It allows the user to define a unique database file
  837.  name, other than the default. To set a different name to the database
  838.  files use the Rename option from IVMENU's default. The database
  839.  filename in use is indicated in the Caution Panel of IVMENU.
  840.  
  841.  6.2 Off-line Backup of the InVircible Database.
  842.  
  843.  There are instances when an off-line backup of the database- files tree
  844.  is desirable. Making such a backup is easy using the Off-line Backup
  845.  option. Use IVMENU to produce an exact replica of the database file's
  846.  tree on a previously formatted diskette in either floppy drive A: or
  847.  B:. If necessary, the database files may be restored to their original
  848.  locations by the Restore option of the Off-line Backup mode from
  849.  IVMENU.
  850.  
  851.  A typical 200 Mbytes disk partition will require about 200 Kilobytes of
  852.  space for an off-line InVircible backup.
  853.  
  854.  Attention LAN managers: An off-line backup for a typical 1 Gbytes file
  855.  server can be contained on a single 1.44 Mbytes diskette.
  856.  
  857.  
  858.  7. IVX - The Correlation Scanner.
  859.  
  860.  IVX is a generic correlator, based on the comparison of files to a
  861.  sample known to be infected. This way, IVX detects all the files that
  862.  were infected by the same virus and can even trace down the source of
  863.  the infection. IVX is ideal for isolating new viruses, or disinfecting
  864.  a machine with no previous installation of InVircible on it.
  865.  
  866.  InVircible generates its own samples through IVINIT and IVTEST, either
  867.  or both Virusample and Vir-Code. A file designated by IVB as changed,
  868.  may also be used as a valid sample.
  869.  
  870.  IVX runs from either the command line or from IVMENU. The command line
  871.  syntax is:
  872.  
  873.        IVX [pathname of sample file] [drive:\directory to search]
  874.  
  875.  Wildcards (*.?) are allowed in the sample's pathname.
  876.  
  877.  The IVX report is displayed in a graphic format, after the correlator
  878.  completes its scan. You may also want to review the IVX report through
  879.  IVMENU.
  880.  
  881.  Suspected files may be renamed through IVX to non executable extension
  882.  names: COM to IVC and EXE to IVE. IVX will prompt before actually
  883.  renaming a file. The renamed files may be safely copied to a floppy and
  884.  sent or e-mailed to us for further analysis and evaluation.
  885.  
  886.  The detection threshold of IVX can be adjusted in a range from 1%, for
  887.  highly polymorphic viruses, to 100%. The default is set to 20% of
  888.  correlation.
  889.  
  890.  Tips for using IVX.
  891.  
  892.  The correlator is a powerful tool in the hands of a trained user and
  893.  its findings are usually conclusive from the very first run. Yet, you
  894.  should be aware that virus writers make great efforts to conceal their
  895.  virus' presence. Therefore, do not expect a perfect match, but rarely,
  896.  when using IVX with real viruses. The results of IVX should be regarded
  897.  as relative, i.e. the files with the higher correlation are the more
  898.  likely to be infected. Plain viruses may exhibit anything from 40% to
  899.  100% correlation to the sample, while highly polymorphic viruses may
  900.  have as low as 4%. The conclusive evidence is that non-infected files
  901.  are in even lower correlation with the sample.
  902.  
  903.  Before launching IVX, spot a few infected files that could be used as
  904.  samples. The easiest is to look for them in the DOS directory.
  905.  Frequently used files are usually the first victims of an infection.
  906.  Boot from a clean DOS floppy and run IVX from a write protected or IV
  907.  Armored floppy.
  908.  
  909.  When dealing with a virus that infects both COM and EXE files, prefer
  910.  an infected EXE file as the sample, as it contains more relevant
  911.  information than infected COM. The results will be more conclusive than
  912.  with a COM sample.
  913.  
  914.  Before renaming suspected files through IVX, try a few runs with
  915.  different detection thresholds. Review the report to chose the best
  916.  threshold. The best is when all infected files are captured and the
  917.  report contains no false positives. It's preferable to replace a few
  918.  extra files in case of doubt, than to risk reinfection.
  919.  
  920.  Examples:
  921.  
  922.  Legend: ▓▓--Statistics, ▒▒--Encryption, ░░--String.
  923.  
  924.  C:\JERUSALEM\
  925.  ▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░░░░░░░░                    60  CHKDSK.EXE
  926.  ▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░░░░░░░░                    60  EMM386.EXE
  927.  ▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░░░░░░░░                    60  EXPAND.EXE
  928.  ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░░░░░░░░ 100 DISKCOMP.COM
  929.  ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░░░░░░░░ 100 MODE.COM
  930.  ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░░░░░░░░ 100 MORE.COM
  931.  
  932.  The first example is of the Jerusalem virus. It infects both COM and
  933.  EXE files. The sample used in this illustration is Virusample file,
  934.  created automatically by IVTEST. The report shows 100% correlation of
  935.  the COM files and 60% for EXE, since Jerusalem is a plain non-encrypted
  936.  virus. If we had used Vir-Code instead, the results would be 100%
  937.  correlation for EXE and 60% for COM, as Vir-Code is an EXE style
  938.  sample, while Virusample is usually a COM one. The threshold was set to
  939.  50%, to filter out false positives.
  940.  
  941.  C:\MALTESE\
  942.  ▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒                            40  FORMAT.COM
  943.  ▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒                            40  MODE.COM
  944.  ▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒                            40  MORE.COM
  945.  ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░░░░░░░░ 100 DELTREE.EXE
  946.  ▓▓▓▓▓▓▓▓▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒                    56  EXE2BIN.EXE
  947.  ▓▓▓▓▓▓▓▓▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒                    56  EXPAND.EXE
  948.  ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒        80  FC.EXE
  949.  
  950.  The second example was taken from Maltese Amoeba (alias Irish) and is
  951.  especially interesting. Irish is heavily encrypted, although it is not
  952.  considered as polymorphic. DELTREE.EXE is used as the sample. Note the
  953.  dispersion in the correlation factor. Note also that the largest common
  954.  correlation is contributed by encryption (the middle shading). As a
  955.  rule, encrypted viruses will show no contribution from string matching,
  956.  with most of the similarity due to encryption, and sometimes some
  957.  contribution due to statistical matching. The threshold was set to 30%
  958.  in this case.
  959.  
  960.  Practicing IVX.
  961.  
  962.  It may be worth to practice with IVX so that you know what to do when
  963.  the real thing happens. You may use IVX to trace down files that were
  964.  processed in the same way. For example, all InVircible files, except
  965.  IVHELP, were processed by LZEXE runtime compression. Try the following:
  966.  
  967.                         IVX C:\IV\IVB.EXE C:\
  968.  
  969.  All the files that correlate higher than 65% are treated by LZEXE as
  970.  well. Now, if you correlate with IVHELP.EXE as the sample, IVX will
  971.  find programs that were processed by PKLITE. You will find a few of in
  972.  the DOS directory.
  973.  
  974.  Other compression schemes that can be used to practice IVX are: DIET
  975.  and Microsoft's ExePack. Correlate to \DOS\EXPAND.EXE for ExePack and
  976.  set the detection threshold to 70. For DIET, correlate to Frisk's
  977.  F-PROT.EXE (if you got a copy) and set the threshold to 50.
  978.  
  979.  
  980.  8. ResQdisk - The Boot-Areas and CMOS Maintenance Program.
  981.  
  982.  ResQdisk is a compact yet extremely powerful utility capable of
  983.  repairing damage to the hard disk partition or boot sector, removing
  984.  known and unknown partition or boot viruses, restoring self booting
  985.  capability to hard disks and regaining access to "lost" hard disks.
  986.  
  987.  ResQdisk deals uniquely with hard disks drives, not with floppies.
  988.  
  989.  Disks are organized in sectors, which are 512 bytes data storage units.
  990.  Any DOS hard drive has two such vital sectors: the master boot sector
  991.  (sometimes referred to as the partition table) and the boot sector.
  992.  Floppies have only a boot sector. These sectors are favorite targets
  993.  for computer viruses, since they contain tiny programs that load first
  994.  at booting time. A damaged or missing sector will return an "invalid
  995.  drive specification" message, fail to boot, deny access to the hard
  996.  drive or simply read trash from the disk.
  997.  
  998.  For maximum safety, the boot area images are written to the Rescue
  999.  Diskette, since an inaccessible disk will deny access to the backup
  1000.  written to itself. ResQdisk's options are displayed on the menu bar, at
  1001.  the screen's bottom. Press F1 or "/" to see more options.
  1002.  
  1003.  The F1-F2 key sequence will backup the boot areas and the F1- F3
  1004.  sequence will restore from backup images to disk. Each sector can be
  1005.  individually backed up or restored by shifting to the desired sector on
  1006.  screen (use the cursor direction keys) and pressing either B for backup
  1007.  or R for restore.
  1008.  
  1009.  Every disk has a unique partition and boot sector. Do not attempt to
  1010.  swap or copy boot areas between hard-disks. This might end up with an
  1011.  unreadable contents of the transplant's receptor.
  1012.  
  1013.  8.1 Reconstruction of the Boot Block.
  1014.  
  1015.  ResQdisk has special routines for the reconstruction of the hard disk
  1016.  partition or boot sector, in case they have been damaged or cannot be
  1017.  recovered. For example, incidentally booting a disk which is infected
  1018.  with Stoned with a floppy infected by Michelangelo will not boot
  1019.  anymore by itself, although it can be booted from a DOS floppy.
  1020.  Attempting to restore the partition with the FDISK command may end up
  1021.  with the complete loss of the whole disk content.
  1022.  
  1023.  ResQdisk makes it easy; all that is needed is the following keys
  1024.  sequence:
  1025.  
  1026.              Press the 'Home' key, then F1, then F4
  1027.  
  1028.  Tampering with the boot sector is corrected by the sequence:
  1029.  
  1030.                      Left arrow, F1, F4
  1031.  
  1032.  8.2 ResQdisk's Special Functions.
  1033.  
  1034.  It may happen that the disk setup parameters stored in the CMOS become
  1035.  invalid because of a weak battery, a setup error and sometimes even bad
  1036.  software. If this happens then reboot the computer from the rescue
  1037.  diskette and press <Enter> when IVMENU finished loading into memory.
  1038.  Answer yes to the query "Attempt to restore the CMOS data?". The
  1039.  computer will then automatically reboot with the restored CMOS
  1040.  parameters.
  1041.  
  1042.  To see ResQdisk special functions menu press the "/" (slash) key.
  1043.  
  1044.  Warning! ResQdisk should not be used on disks that have a boot area
  1045.  password or access control device installed on them. These devices are
  1046.  highly susceptible to cause total loss of the whole disk content. As a
  1047.  rule of thumb: If a hard disk can be accessed after booting from a DOS
  1048.  floppy, then the partition refresh procedure may be used safely.
  1049.  
  1050.  8.3 ResQdisk's Setup Utility.
  1051.  
  1052.  ResQdisk has a built-in setup calculator. This may be especially useful
  1053.  with IDE hard drives, in case the CMOS data was erased or nullified and
  1054.  there is no available data on the drive parameters. All that is needed
  1055.  is to select a random disk type from the setup table, boot from a DOS
  1056.  floppy and run ResQdisk. The F5 function key will identify the
  1057.  manufacturer's parameters of the hard disk. All that is needed now is
  1058.  to set the CMOS data to the correct type and restart the computer.
  1059.  
  1060.  ResQdisk can also be used to regain access to an inaccessible hard
  1061.  drive, whether either the partition sector or the boot sector was
  1062.  damaged. ResQdisk will indicate "Press Ctrl F1" or "Press Ctrl F2" to
  1063.  rebuild the partition or the boot sector respectively.
  1064.  
  1065.  9. IVSCAN - The Virus Detection and Removal Scanner.
  1066.  
  1067.  While disinfecting a computer, with IVSCAN or else, the user must be
  1068.  aware of the possibility that a virus might be active in the computer's
  1069.  memory (memory-resident). Since a virus in memory has taken control of
  1070.  the computer, a general rule is to reboot an infected computer from the
  1071.  write- protected Rescue Diskette, or from a clean write-protected DOS
  1072.  diskette. The disinfection of a hard-disk must be per formed only from
  1073.  the Rescue Diskette and not from the suspected drive itself, unless
  1074.  InVircible's programs specifically recommend execution in an infected
  1075.  environment (e.g. Inverse Piggybacking).
  1076.  
  1077.  Detection of, and disinfection from known and common viruses is done by
  1078.  IVSCAN. The program is activated via IVMENU or directly from the
  1079.  command line. The command line syntax is:
  1080.  
  1081.               IVSCAN [-] [where and what to scan] [/Option]
  1082.  
  1083.  Parameters in [ ] are optional. If no option is chosen IVSCAN will
  1084.  detect viruses without removing them (the default). The default scan
  1085.  path are the current directory and its sub-directories. The use of
  1086.  wildcards (*,?) is allowed in specifying where and what to scan for.
  1087.  
  1088.  The options are:
  1089.  
  1090.           /R to restore the file (if it can),
  1091.           /D to delete infected files that IVSCAN cannot recover,
  1092.           /B to recover or replace a suspected boot sector in floppies,
  1093.              or MBR on hard drive.
  1094.           /EX to scan executable files only.
  1095.  
  1096.  The [-] parameter will limit IVSCAN to process the specified directory
  1097.  only.
  1098.  
  1099.  Examples: To scan the entire C: partition for viruses in the Detection-
  1100.  Only mode type:
  1101.                            IVSCAN C:\
  1102.  
  1103.  To use IVSCAN for detecting and eliminating viruses automatically only
  1104.  from COM files in the DOS directory, type:
  1105.  
  1106.                     IVSCAN + C:\DOS\*.COM /R -
  1107.  
  1108.  The space before the hyphen is required. If the hyphen is not used,
  1109.  this command will cause IVSCAN to begin at the specified directory and
  1110.  scan all subsequent sub-directories.
  1111.  
  1112.  If IVSCAN indicates "use IVB to restore" and the affected files were
  1113.  properly secured, then restore them with IVB (see Section 6). Use the
  1114.  Delete option as a last resort. A list of infected, deleted and
  1115.  restored files will be written to a IVSCAN.RPT file in the root
  1116.  directory of the processed drive, to help you replace the deleted
  1117.  files.
  1118.  
  1119.  Before attempting the recovery of a file IVSCAN will prompt you with
  1120.  three options: Recover, Skip or All (recover all).
  1121.  
  1122.  9.1  Removal of Generic Boot Viruses.
  1123.  
  1124.  Boot viruses are transferred from one computer to another by
  1125.  accidentally booting from an infected floppy (the infected diskette is
  1126.  left in drive A and the computer is rebooted), even if the floppy is
  1127.  not bootable, just infected! IVSCAN provides for the replacement of the
  1128.  boot sector in floppies with a standard DOS boot sector. The same
  1129.  procedure will remove generic boot infectors and even restore
  1130.  readability to 3.5" floppies that were hit by boot infectors such as
  1131.  Michelangelo. Just type:
  1132.  
  1133.                        IVSCAN drive: /B
  1134.  
  1135.  IVSCAN restores files infected by viruses included in its repertoire.
  1136.  For infectors unknown to IVSCAN use IVB.
  1137.  
  1138.  
  1139.  10. A Primer to Generic and Special Methods.
  1140.  
  1141.  Generic techniques can cure damage from groups of viruses such as
  1142.  boot-block infectors, stealthy file infectors and FAT manipulators.
  1143.  
  1144.  First, assess the type of infection by its symptoms, then test the
  1145.  suggested method on a sample diskette or directory. If successful,
  1146.  apply the selected technique onto the entire infected disk.
  1147.  
  1148.  
  1149.  10.1 Generic Method Selection
  1150.  
  1151.  As a rule, viruses always disclose there presence sooner or later.
  1152.  InVircible provides alerts when sensing various effects that are
  1153.  unmistakably related to computer viruses. Among InVircible's messages,
  1154.  the following are of special interest:
  1155.  
  1156.  (1)  "... Kbytes are missing from total available memory."
  1157.  (2)  "A stealthy virus is active in system."
  1158.  (3)  "File size changed by 0 (zero!) bytes ... "
  1159.  (4)  "Free disk space decreased by ... bytes, program halted!"
  1160.  (5)  "Partition (or boot) sector is faked!" (6)"The disk is infected by
  1161.        a boot infector!"
  1162.  
  1163.  Message (1) indicates "memory stealing", attributed mostly to the
  1164.  presence of a boot or partition infector. Certain file infectors do the
  1165.  same, and this possibility should be first discarded. Also, some
  1166.  programs such as DesqView, or certain BIOSes (PS, Dell, Acer and some
  1167.  laptops) cause the same without being related to virus activity.
  1168.  
  1169.  Message (2) or (3) indicate that a stealthy virus is active in the
  1170.  system.
  1171.  
  1172.  Message (4) indicates that a piggybacking process was detected and the
  1173.  search was halted to prevent further spreading of the virus.
  1174.  
  1175.  Message (5) indicates the presence of a stealth virus in one of the
  1176.  boot area sectors. Message (6) will be displayed when an unknown boot
  1177.  infector is found in one of the boot areas of the hard disk or of a
  1178.  floppy.
  1179.  
  1180.  In case the virus is common, InVircible will recommend on the
  1181.  corrective action. If not, then proceed as follows.
  1182.  
  1183.  It is recommended that less experienced users ask for assistance or
  1184.  leave the following procedures to qualified personnel, since dealing
  1185.  with smart viruses requires training and inexperienced users may do
  1186.  more harm than good.
  1187.  
  1188.     For the expert user.
  1189.  
  1190.     If one or more of the above messages are returned, then proceed with
  1191.     the following tests.
  1192.  
  1193.     Run IVB in its default mode with the virus in memory and watch if
  1194.     "modified files" are reported. In case such files are reported with
  1195.     the virus in memory, the virus is not a perfect stealthy one and
  1196.     cannot be restored by the Inverse Piggybacking or by the Integrity
  1197.     Interrogation generic methods.
  1198.  
  1199.     Next, boot from the Rescue Diskette and run IVSCAN to eliminate the
  1200.     possibility of a common infector. In case that IVSCAN reports the
  1201.     possibility of an unknown boot or partition infector, then proceed
  1202.     with the generic boot- block recovery.
  1203.  
  1204.     Non-perfect stealthy viruses can be recovered by IVB if the disk
  1205.     contents was previously secured.
  1206.  
  1207.     If the virus is a perfect stealthy (only), select either the Virus
  1208.     Interrogation technique or the Inverse Piggy- backing. Always try
  1209.     first on a floppy, which is the best technique to use for a
  1210.     particular virus.
  1211.  
  1212.     Beware of FAT manipulators! Run CHKDSK on the damaged unit, without
  1213.     the /F switch, when booted from a clean DOS diskette. Watch if file
  1214.     allocation error or cross-linking of executable files is reported.
  1215.     If yes, this may be the doing of a FAT manipulating virus.
  1216.  
  1217.     Do not attempt repair with disk fixing utilities if infected by a
  1218.     FAT manipulator. Any such attempt will end in massive and
  1219.     irreversible damage.
  1220.  
  1221.  In all cases, it is advised to test the selected method on a sample
  1222.  diskette and if successful, to apply it to the infected units.
  1223.  
  1224.  
  1225.  10.2 Generic Boot-Block Recovery
  1226.  
  1227.  InVircible and DOS provide for the recovery of both the Master Boot
  1228.  Sector, also known as the partition table sector, and the plain Boot
  1229.  Sector. Both sectors are found only on hard disks, while floppies have
  1230.  only a boot-sector.
  1231.  
  1232.  Floppies:
  1233.  
  1234.  IVSCAN provides for the recovery of a large spectrum of known and
  1235.  generic boot infectors, and will suggest the replacement of the sector
  1236.  with a standard DOS 5 one, in case a potential unknown infector is
  1237.  found. Hard Disk:
  1238.  
  1239.  The recovery should always start by inspecting the partition table
  1240.  first. Run ResQdisk to get acquainted with the look of both the
  1241.  master-boot-sector (MBS) and the system-boot-sector of your hard-drive.
  1242.  In case of boot-block tampering, boot from the Rescue Diskette and
  1243.  visually inspect both sectors by running ResQdisk. Some infectors such
  1244.  as FLIP will cause only minor changes, perceivable only to the expert
  1245.  observer, some as Stoned will show a message such as "Your PC is
  1246.  Stoned, Legalize Marijuana!". The restoration of both sectors is
  1247.  straightforward by ResQdisk .
  1248.  
  1249.  There are instances when there is no copy of the original sector to
  1250.  restore from, and no Rescue Diskette exists. For example, consecutive
  1251.  infections by Stoned and Michelangelo will not leave an original MBS.
  1252.  Master Boot Sectors can be restored by ResQdisk, provided the drive is
  1253.  accessible and readable after booting from a DOS disk in drive A.
  1254.  
  1255.  Enter the ResQdisk program and proceed with the F1 - F4 function keys
  1256.  sequence. This procedure is the equivalent of the DOS-5 undocumented
  1257.  command: FDISK/MBR.
  1258.  
  1259.  Caution! Do not use the ResQdisk F1-F4 procedure in the following
  1260.  cases:
  1261.  
  1262.  (1)   There is an active virus-prevention TSR in memory. Ad dressing
  1263.       the master-boot-sector may be diverted by such TSR and this may
  1264.       end in total loss of access to the hard- drive.
  1265.  (2)  The same applies for hard-disks with a software password
  1266.       installed. Uninstall the password prior to proceeding with this
  1267.       technique.
  1268.  (3)  Partitioning schemes other than DOS FDISK such as Disk Manager and
  1269.       SpeedStor are not suitable for this technique.
  1270.  
  1271.  As a safety precaution, first backup the boot-areas on the original
  1272.  InVircible diskette by ResQdisk and the F1-F2 keys sequence. The
  1273.  current boot areas can be restored later by ResQdisk.
  1274.  
  1275.  An alternative way to ResQdisk, for replacing the boot sector is by
  1276.  booting from a clean DOS diskette, necessarily of the same DOS version
  1277.  as installed on the hard disk and transferring a fresh sector by the
  1278.  command SYS C: The Rescue Diskette will normally contain the SYS.COM
  1279.  file and it may be used for the purpose. In case of a damaged or
  1280.  nullified boot sector, DOS will not let to renew the sector by the sys
  1281.  command (the message "invalid media type" is returned by DOS), and
  1282.  ResQdisk will become the only way to recover the drive.
  1283.  
  1284.  Recovery from Boot Stealth Viruses.
  1285.  
  1286.  The procedure that follows will probably never be necessary for the
  1287.  registered user, as boot spoofers are taken care of in IVINIT, right at
  1288.  boot time, as well as in IVSCAN. It is brought here mainly as a
  1289.  work-around for unregistered users and to explain the mechanics of boot
  1290.  spoofers.
  1291.  
  1292.  ResQdisk can be used for the recovery from boot stealth viruses.
  1293.  Inappropriate procedures with boot spoofers may cause the loss of
  1294.  access to the hard disk, as happens indeed with quite many scanner and
  1295.  TSR anti virus products. ResQdisk enables full recovery from viruses
  1296.  such as from Monkey, Newbug, Quox and many others.
  1297.  
  1298.  The presence of a boot stealth virus is announced by IVINIT or IVTEST,
  1299.  with the message "faked partition (or boot) sector". The virus is then
  1300.  sampled into a file labeled PARTVIR or BOOTVIR accordingly.
  1301.  
  1302.  Run ResQdisk and confirm the presence of the stealth virus by switching
  1303.  between SeeThru "ON" and "OFF" - with the F9 key, while watching the
  1304.  master partition sector, or the boot sector. Create a backup of the
  1305.  infected sector by pressing the "B" key, while SeeThru is OFF. The
  1306.  backup content is the true boot sector.
  1307.  
  1308.  Registered users may switch now the SeeThru to "ON" and restore the
  1309.  sector from the backup by pressing the "R" key. The original sector,
  1310.  rendered by the virus, will be written to the hard disk, in its right
  1311.  place. Unregistered users will have to run the above from a floppy,
  1312.  reboot the machine from clean DOS and then restore the original sector
  1313.  in place by running ResQdisk from the floppy.
  1314.  
  1315.  Exit ResQdisk and reboot the computer without running anything else!
  1316.  The computer will restart with a clean boot block. Note that the
  1317.  recovery from boot stealth viruses must run with the virus ACTIVE in
  1318.  memory!
  1319.  
  1320.  10.3 Fat Manipulators Removal
  1321.  
  1322.  The FAT manipulating viruses appeared at the end of 1991 and use a new
  1323.  method for propagation, based on the modification of the FAT pointers
  1324.  chain. There are now at least two widespread such viruses, DIR-2
  1325.  (Creeping Death) and 1963 (Niemela). These viruses are inherently
  1326.  stealthy and propagate extremely fast. Standard passive scanners are
  1327.  useless and harmful against these viruses. Countless hard disks were
  1328.  unnecessarily destroyed by the use of passive anti virus scanners
  1329.  against these two viruses. MSAV, the virus scanner distributed with
  1330.  Microsoft's MS-DOS 6, is an example of a passive scanner. Although it
  1331.  detects the 1963 (Niemela) virus and claims to clean it from infected
  1332.  files, in reality it ruins all the files it "cleans" from this virus.
  1333.  
  1334.  InVircible provides a totally safe and extremely efficient means for
  1335.  both the detection and the full recovery from these and other FAT
  1336.  manipulators. FAT manipulators are removed by an active Inverse
  1337.  Piggybacking process.
  1338.  
  1339.  The presence of DIR-2 or 1963 is detected by InVircible programs and
  1340.  is indicated by a warning message.
  1341.  
  1342.  In case a FAT manipulator virus activity is suspected, do not use the
  1343.  DOS CHKDSK/F switch, until the disk is completely disinfected! Using
  1344.  the /F switch while a FAT manipulating virus is active will cause
  1345.  massive and irreversible damage .
  1346.  
  1347.  10.4 Inverse Piggy-Backing (IP).
  1348.  
  1349.  The Inverse Piggy-Backing (also called cooperative virus removal) is a
  1350.  generic technique embedded in IVSCAN. It is based on forcing the
  1351.  infecting virus to disinfect its own doing. There are two available
  1352.  methods actually, labeled /M1 and /M2.
  1353.  
  1354.  Method 1 is effective against "light" stealthy infectors such as 4096
  1355.  (Frodo) and 1963 (Niemela).
  1356.  
  1357.  Method 2 is to be used to disinfect from the more "stubborn" ones such
  1358.  as DIR-2 and future FAT manipulators. Inverse Piggybacking is selected
  1359.  from IVMENU, from the Virus Scanner mode.
  1360.  
  1361.  The command line syntax for Inverse Piggybacking is:
  1362.  
  1363.                            IVSCAN drive: /Mn,
  1364.  
  1365.      /Mn being the method switch and "n" its number, for example, type
  1366.      IVSCAN C: /M1 to run method 1 on drive C.
  1367.  
  1368.  Inverse Piggy-Backing should start with the virus loaded in memory.
  1369.  Start by purposely running an infected file. In most case the operating
  1370.  system itself will be infected so that you may proceed directly to
  1371.  disinfection.
  1372.  
  1373.  The DIR-2 virus will lock up the computer if run under DOS-5 or
  1374.  DR-DOS-6. To disinfect from DIR-2 one should boot from DOS lower than 5.
  1375.  
  1376.  Method 1 is a single pass procedure. The processed drive will be
  1377.  operable after its completion.
  1378.  
  1379.  Method 2 requires two passes. On the first one COM/EXE files will be
  1380.  processed by the virus itself. A second pass with the IVSCAN /M3 switch
  1381.  restore the files to their original state. Disks processed with the /M2
  1382.  switch, except partition C,      will require processing with the /M3
  1383.  switch to have their executable files restored to original.
  1384.  
  1385.  Only partition C will be automatically cycled by M2/M3 processing. The
  1386.  IVSCAN.EXE program should reside on drive C for complete and automatic
  1387.  processing of this drive.
  1388.  
  1389.  Important! Turn off all disk caching before starting Inverse
  1390.  Piggybacking. Some disk caches oppose the IP technique. InVircible
  1391.  takes care of turning off the SMARTDRV.EXE cache. For other brands,
  1392.  consult the cache documentation on how to turn it off. Floppies and
  1393.  hard-disk partitions, other than C should be processed first. Partition
  1394.  C will be processed last. When finished with C, automatic rebooting
  1395.  will occur.
  1396.  
  1397.  Caution! Do not run any program, nor address the hard drive until
  1398.  rebooted, otherwise the drive will be immediately re infected.
  1399.  
  1400.  10.5 The Integrity Interrogation technique.
  1401.  
  1402.  This technique is a two step procedure. First, file database are
  1403.  established from an infected environment, then the files are restored
  1404.  by IVB , from a clean environment.
  1405.  
  1406.  The theoretical basis of this method lies in the fact that some viruses
  1407.  are so perfectly "stealthy", that they "show" the true uninfected file
  1408.  data to the operating system, when inquired about.
  1409.  
  1410.  Start by booting the computer from the infected drive itself. Make sure
  1411.  the virus is active by running a program known to be infected. IVB
  1412.  should be installed on the processed drive.
  1413.  
  1414.  Run IVB drive: /S (or the Secure option from IVMENU) on the entire
  1415.  directory or drive. Restart from the Rescue Diskette and run IVB in its
  1416.  Restore mode.
  1417.  
  1418.  10.6 Forced Self Restoration.
  1419.  
  1420.  The InVircible programs (except IVHELP, which is licensed from another
  1421.  vendor) will normally restore themselves in case they are attacked by a
  1422.  virus. In certain cases the program will get infected and stuck, thus
  1423.  inhibiting its self recovery. In such cases a little assistance from
  1424.  the user will be helpful: just type the infected program's name with
  1425.  the /FR (forced recovery) switch. For example, IVB/FR. Switch the
  1426.  computer off afterward since the virus may be now resident in memory.
  1427.  
  1428.  
  1429.  10.7 Screening New Software.
  1430.  
  1431.  InVircible is ideal for screening new software, to assure it is free of
  1432.  virus. Software screening is especially important in organizations,
  1433.  where viruses are usually introduced with new software, without having
  1434.  been screened first.
  1435.  
  1436.  The screening of software should be performed on an isolated computer
  1437.  (never when logged into a network). InVircible should be installed on
  1438.  the screening computer and a rescue diskette prepared for it.
  1439.  
  1440.  Install the new software on the hard disk according to its
  1441.  manufacturer's instructions, then "secure" it with IVB before actually
  1442.  running it. The new software should then be run and all its executable
  1443.  modules should be exercised. Reboot the computer from the rescue
  1444.  diskette and scan the hard disk with IVB for changes in files. Inspect
  1445.  the boot block for changes with ResQdisk. Compare the MBS and boot
  1446.  sector by individually "restoring" them from backup and watch for
  1447.  changes. Now reboot the computer from its own hard disk and watch for
  1448.  InVircible's warning messages. If all tests passed without findings
  1449.  then the software is most likely clean from known or unknown viruses.
  1450.  
  1451.  
  1452.  11. Importing InVircible into Windows
  1453.  
  1454.  InVircible is distributed with IV.PIF and IV.ICO files, to operate
  1455.  under Windows. Both files will be copied to the InVircible default
  1456.  directory by the Install utility.
  1457.  
  1458.  Start Windows normally and import InVircible into Windows by selecting
  1459.  New from the File menu and the Browse radio button. Use IV.PIF as the
  1460.  command line and IV.ICO as InVircible's icon.
  1461.  
  1462.  We also suggest to add Alt+Ctrl+V as the shortcut key, when in the
  1463.  properties change menu. Now InVircible can be activated from Windows by
  1464.  either double clicking on its icon, or by pressing Alt+Ctrl+V.
  1465.  
  1466.  As stated elsewhere in this guide, viruses operate only in the DOS
  1467.  environment. InVircible sometimes uses virus cooperative techniques.
  1468.  Viruses are not "well behaved" in an environment different from DOS.
  1469.  Therefore, it is recommended that only passive tasks such as integrity
  1470.  checking or virus scanning is done from Windows. Active disinfection,
  1471.  such as Inverse Piggybacking should not be attempted from Windows, but
  1472.  only from plain DOS.
  1473.  
  1474.  12. Virus Handling Under OS/2
  1475.  
  1476.  Computer viruses are often called DOS viruses, which implies that they
  1477.  are programmed to operate only under DOS. However, any operating system
  1478.  that is DOS compatible is susceptible to DOS viruses when in DOS
  1479.  compatibility mode.
  1480.  
  1481.  InVircible is compatible with the IBM OS/2+ operating system when in
  1482.  DOS mode. Because DOS internals are interpreted differently by OS/2,
  1483.  DOS viruses behave unexpectedly in an OS/2-DOS environment. Whenever
  1484.  InVircible detects viral activity in an OS/2 environment, proceed as
  1485.  follows:
  1486.  
  1487.  Simply COLD BOOT the computer from the Rescue Diskette and proceed
  1488.  normally with IVSCAN and IVB procedures. All virus disinfection should
  1489.  be undertaken only in a DOS environment. Do NOT attempt to boot DOS
  1490.  from the OS/2 dual booting system when viral activity is reported or
  1491.  suspected. When done, reboot the computer normally.
  1492.  
  1493.  
  1494.  13. Central Point Anti Virus Inoculation
  1495.  
  1496.  The CPAV Inoculation or self integrity check is the cause of many
  1497.  unexplained malfunctions. Many programs do not tolerate being
  1498.  inoculated, especially not DOS files, but not only them.
  1499.  
  1500.  The inoculation process consists of the encapsulation of executable
  1501.  files (COM and EXE) in a protective shell, like a cocoon. The
  1502.  inoculation adds about 700 or 900 bytes to COM and EXE files,
  1503.  respectively. The inoculation also modifies the programs in other ways.
  1504.  
  1505.  Inoculation has many drawbacks and practically no merits. First, the
  1506.  700 to 900 bytes added waste a lot of disk space. Second, inoculation
  1507.  causes programs to malfunction, especially under MS-DOS-6+. Third, the
  1508.  recovery of an immunized file will in most cases worsen the situation.
  1509.  In order to drop the virus the infected file must be run, at the risk
  1510.  of loading the virus into memory and infecting other files. And last,
  1511.  inoculation is useless against smart viruses and is not worth the
  1512.  trouble!
  1513.  
  1514.  Except for its malfunctions, there are good reasons why not to
  1515.  inoculate programs. The inoculation may hide a virus that infected the
  1516.  file prior to its inoculation. A dedicated virus may simply peel off
  1517.  the inoculation, infect the file and then re inoculate it as if nothing
  1518.  happened.
  1519.  
  1520.  InVircible will indicate files immunized by CPAV by either scanning
  1521.  with IVSCAN or IVB.
  1522.  
  1523.  Unfortunately there are differences between versions of CPAV, so it is
  1524.  safer to disimmunize files by the same product that inoculated them in
  1525.  the first place. Use the following procedure only if there is no other
  1526.  alternative, and with all precautions.
  1527.  
  1528.  Backup the files to be recovered. IVSCAN will remove the CPAV
  1529.  inoculation from files when in the virus "remove" mode.
  1530.  
  1531.  14. The Antivirus TSR (Terminate and Stay Resident).
  1532.  
  1533.  Memory resident programs (TSR) have been in use since computer viruses
  1534.  appeared in 1987. Their purpose is to prevent the penetration of a
  1535.  virus to the computer.
  1536.  
  1537.  Unfortunately, the TSR virus prevention is based on too many weak
  1538.  assumptions. Anti virus TSR look only for viruses included in their
  1539.  database. There are today as many as 5000 known viruses and their
  1540.  number increases at a constant rate of 50 to 100 per month. This number
  1541.  takes a heavy toll on the size of the database attached to the TSR and
  1542.  occupies precious memory space.
  1543.  
  1544.  Anti-virus TSR can be aggressive, affect the computer's performance,
  1545.  interfere with other applications, cause conflicts in memory and are
  1546.  potentially dangerous! For example, a typical and common AV TSR slows
  1547.  the computer by a factor of 3 to 5 and is notorious for having knocked
  1548.  out many hard disks that it was supposed to protect, without the
  1549.  slightest trace of any virus. The TSR simply defeated itself by
  1550.  derouting interrupt 13 (the one used for disk read and write) to
  1551.  deceive boot viruses, and fell in its own trap!
  1552.  
  1553.  TSRs need to be constantly updated. The assumption that the producer of
  1554.  the TSR will be the first to examine any new virus, proved to be false
  1555.  in most cases. The TSR is useless against new viruses, neither will it
  1556.  detect a known, but modified virus. Practically, a TSR older than six
  1557.  months is out-of-date, in most cases it is already obsolete at the date
  1558.  of its announcement. VSAFE, the anti-virus TSR distributed with MS-DOS
  1559.  6, is a grim reminder of this fact.
  1560.  
  1561.  Anti virus TSR suffer from false alarms and the higher the number of
  1562.  viruses a product detects, the higher is the rate of its false alarms.
  1563.  The common user has practically no means to distinguish between a false
  1564.  alarm and a real virus.
  1565.  
  1566.  Furthermore, TSR are incapable of distinguishing between a real virus
  1567.  and a faked signature, which explains their susceptibility to false
  1568.  alarms. For example, the following string of 10 bytes, when added to
  1569.  any program, will mislead McAfee's antivirus products to believe the
  1570.  program is infected with the Jerusalem virus. Consequently, VSHIELD
  1571.  (the TSR) will inhibit the execution of the program, SCAN will "detect"
  1572.  the Jeru-A virus and CLEAN will ravage the file containing the string
  1573.  as if it was really infected with "Jerusalem". The faked Jerusalem
  1574.  virus string, in hex notation:
  1575.  
  1576.                     03 F3 A5 26 C6 06 FE 03 CB 58
  1577.  
  1578.  AV TSR got bad reputation over the past years: the number of incidents
  1579.  in which anti-virus TSR were the direct cause of severe damage
  1580.  surpassed those caused by genuine viruses.
  1581.  
  1582.  Weighing the pros and cons for and against anti-virus TSR leads to the
  1583.  conclusion that TSR are a constant nuisance and threat to the health of
  1584.  your computer. The remote possibility that a TSR will really stop a
  1585.  banal virus attack, that could be removed anyway by less dangerous
  1586.  means, is not worth the trouble and the risks of the TSR!
  1587.  
  1588.  
  1589.  15. Procedures to Use if Virus Activity is Suspected.
  1590.  
  1591.  When dealing with computer viruses, awareness is the key to success. Do
  1592.  not improvise. Do not panic or act hastily. If there is no apparent
  1593.  damage, in most cases no further damage will occur until the computer
  1594.  is switched off and rebooted.
  1595.  
  1596.  Computer viruses are nothing else than programs themselves. A computer
  1597.  will not become infected unless an infected program is executed.
  1598.  Reading data cannot cause infection whatsoever!
  1599.  
  1600.  If you suspect the computer is infected with a virus, proceed as
  1601.  follows:
  1602.  
  1603.    a.  Do not switch the computer off immediately. If you have already
  1604.        turned off the computer, do not reboot the computer from its own
  1605.        hard-disk but rather from the Rescue-Diskette or from a clean and
  1606.        write-protected DOS floppy.
  1607.  
  1608.    b.  Save the data of the last job you were working on and exit
  1609.        normally from the application you were in. Do not start a new job
  1610.        as long as the computer wasn't verified and cleaned.
  1611.  
  1612.  The following steps will enable you to recover from a virus event with
  1613.  the minimum of disruption:
  1614.  
  1615.    a.  Have the Rescue Diskette always ready as well as a copy of your
  1616.        favorite backup program, both on write protected diskettes.
  1617.  
  1618.    b.  Boot from the Rescue Diskette and backup all important data.
  1619.        Programs can always be reloaded from original disks, data cannot.
  1620.        Copy several infected files to a diskette for later inspection.
  1621.        Do not start disinfecting the computer without completing the
  1622.        above steps. There is a possibility that irreversible things may
  1623.        happen in the course of virus removal. In fact, most of the
  1624.        damage caused by viral incidents is the result of inappropriate
  1625.        disinfection procedures.
  1626.  
  1627.    c.  After the system is cold rebooted from the Rescue Disk, first run
  1628.        IVSCAN to test for common viruses. Remove the viruses as
  1629.        described in section 10. Next run IVB.
  1630.  
  1631.    d.  After disinfection, do not hurry restoring files from backup,
  1632.        without verifying its contents first! The backups are likely to
  1633.        contain the same virus you just removed. Consider rebuilding your
  1634.        applications from the original software manufacturer's diskettes.
  1635.        Retain data only from the most recent backups, to minimize the
  1636.        possibility of repeated infections from your own backups.
  1637.  
  1638.  Viruses propagate in many ways. Smart viruses use stealth, self
  1639.  encryption or both. The more programs run, the higher the chances are
  1640.  of unintentionally activating a virus.
  1641.  
  1642.  Do not use shell programs or utilities while disinfecting a computer,
  1643.  certainly not from the infected disk itself. Do not run any program
  1644.  from the infected disk.
  1645.  
  1646.  Use plain and internal DOS commands such as DEL, REN, COPY etc. If you
  1647.  feel uncomfortable with these limitations, ask for assistance from a
  1648.  more knowledgeable user. All programs should be run from
  1649.  write-protected diskettes and reliable sources. The only exceptions are
  1650.  when explicitly instructed to work from an infected environment, such
  1651.  as for Inverse Piggybacking or Virus Interrogation, as explained
  1652.  elsewhere.
  1653.  
  1654.  Be consistent! Do not mix InVircible with other anti-virus software or
  1655.  hardware. Unraveling the results of mixing anti- virus methods is
  1656.  similar to attempting a medical diagnosis for an intoxicated patient
  1657.  that has swallowed multiple self- prescribed drugs.
  1658.  
  1659.  A virus in memory is a virus in control of the computer, while you may
  1660.  believe you are. Viruses are extremely deceitful programs, and will
  1661.  mislead even experienced users.
  1662.  
  1663.  Many viruses seek to infect the command interpreter. This is the file
  1664.  denominated by the environment string "COMSPEC" when typing the SET
  1665.  command. Therefore, it is good practice to replace the COMSPEC file
  1666.  from an original diskette. Also, rename the AUTOEXEC.BAT and the
  1667.  CONFIG.SYS to non-executable names until disinfection is completed.
  1668.  
  1669.  
  1670.  16. For Computer Security Experts and Advanced Users.
  1671.  
  1672.  Rehearse with real viruses on an isolated (not in a network) computer
  1673.  to get the feel of what a virus attack is like. Virus simulating
  1674.  programs are worthless in the forming of computer security experts. On
  1675.  the contrary, any anti-virus program that responds to a simulated virus
  1676.  is also susceptible to false alarms and will destroy programs in an
  1677.  attempt to remove an imaginary virus. Experiment only with
  1678.  "controllable" viruses such as Stoned, Jerusalem and Frodo (4096).
  1679.  
  1680.  And last, prepare a recovery plan and simulate it on a small scale,
  1681.  prior to being hit by a real computer virus. When the real thing
  1682.  happens, you will feel much more at ease if you have an idea of what a
  1683.  real virus attack is like and have practiced before.
  1684.