home *** CD-ROM | disk | FTP | other *** search
/ Simtel MSDOS 1992 June / SIMTEL_0692.cdr / msdos / trojanpr / virusck.arc / README < prev    next >
Encoding:
Text File  |  1988-02-22  |  4.1 KB  |  98 lines
  1.          Matt Cohen                             VIRUSCK.EXE - 
  2.          PO Box 10589                           Written in 'C'
  3.          State College, PA 16805-0589           Turbo or Microsoft C
  4.                                                Source code: 83 lines
  5.                                                 Object Code: 12k
  6.                                                 Requires: 
  7.                                                 DOS 2.0 or greater.  
  8.  
  9. Virus Check Program: VIRUSCK.EXE                      
  10.  
  11. I am a graduate student in Electrical Engineering at the Pennsylvania State
  12. University. As part of preparation for my thesis work at the Engineering
  13. Computer Laboratory, I have written a  program which I think will be
  14. useful in detecting viruses. 
  15.  
  16. A computer virus is a program which attaches itself to another program (or
  17. itself) when run, causing that program to also act as a virus. The normal
  18. function of the program can then be performed, leaving you with no clue of
  19. the virus's existence.
  20.  
  21.      It is extremely difficult to guard a computer system against a virus.
  22. Anywhere there are shared programs, there is the potential for a virus
  23. to cause damage and spread unchecked and even undetected. For example, a
  24. compiler which compiles another version of itself is a virus.
  25.  
  26. If you suspect a program may a virus, this program MAY be able to
  27. find it before it can do any real damage to your system (and before you
  28. can spread it)
  29.  
  30.     This program attempts to detect a virus in two ways:
  31.     
  32.     1. It notes whether a program changes it's size or modification time.
  33.     2. It tells you if any named files had sizes or times changed.
  34.     
  35. Note that either of these two conditions does not guarantee a virus, but
  36. gives an indicator (particularly '1') of a possible virus.     
  37. It is also possible that a virus will bypass the detection scheme.
  38.     
  39.     Unfortunately, if a virus is detected, it will have already infected 
  40. itself or another (possibly unknown) program. If this happens
  41. you may be able to tell which program was infected by looking for the
  42. program(s) with the newest modification time. 
  43.  
  44. You should make a backup of your hard disk and all the files you intend to check
  45. (including virusck.exe) before you use this program! Put them on a write
  46. protected bootable disk. Also read the file VIRUSCK.DOC and the software license
  47. before you use the program.
  48.  
  49. WHAT TO DO IF YOU THINK YOU HAVE FOUND A VIRUS:
  50.  
  51.     If you type 
  52.     
  53.     A:>virusck COMMAND.COM 
  54.     A:>exit
  55.     
  56.     and you get a message saying
  57.     the sizes or times are different, first write down all the numbers, 
  58.     and then: 
  59.     
  60.     1. Immediately reboot off a known good (write protected) system disk.
  61.     
  62.     2. Copy the infected COMMAND.COM to a blank formatted disk.
  63.     
  64.     3. Do a directory of the infected disk, noting all the file
  65.         access times and look for times that match the time when you ran
  66.         virusck. These files are probably also infected. You also should check
  67.         the 'hidden' system files (using Norton, or PCTOOLS, or one of the
  68.         many utility programs).
  69.  
  70.     4. Copy all the infected files to the blank disk.
  71.         SEND me the disk IMMEDIATELY!! I may be able to find a way to kill the
  72.     virus.
  73.     
  74.     5. Copy your backup copy of all the infected files, overwriting the
  75.      possibly infected ones. 
  76.     
  77.     6. Run virusck on the old COMMAND.COM again. If you get the same message
  78.     you are in trouble. You can try again on another backup copy,
  79.     if you have one. If you are already infected on your backups, You will have
  80.     to find a way to rid yourself of the virus (throwing away the backups and
  81.     starting again with all new software is one way).
  82.      
  83. If you are not convinced about the validity of the virusck program, 
  84. do the following:
  85.     
  86.     1. Try and get another copy from a different bulletin board.
  87.     2. Look at the binary files using strings.exe, debug, or a disk editor.
  88.     3. Use the flushot program.
  89.      4. Write protect everything.
  90.      
  91. If you are still not convinced, 
  92.  
  93.     I will send you the 'C' source code for $10.00 with the stated condition in
  94.     writing from you that you won't distribute it and will use it only for
  95.     validity testing purposes. 
  96.  
  97.  
  98.