home *** CD-ROM | disk | FTP | other *** search

---

/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Textfiles / zines / fuck / fuckvl03.sit / fuckvl03 Folder / FUCK0053.TXT

< prev

next >

Wrap

Text File  |  1994-02-22  |  13KB  |  271 lines

---

1. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
2. =  F.U.C.K. - Fucked Up College Kids - Born Jan. 24th, 1993 - F.U.C.K.  =
3. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
4.  
5.                               The Epidemic
6.                               ------------
7.  
8. Introduction:
9. -------------
10.  
11. I would like to first off start by giving a defintion of a Computer
12. Virus and a Trojan Horse.  Although this file will be dealing mainly
13. with computer viruses, I thought I would stick in a comment here
14. and there about Trojans.
15.  
16. Definitions:
17. ------------
18.  
19. COMPUTER VIRUS : a computer program that can infect other computer
20. programs by modifying them in such a way as to include a (possibly
21. evolved) copy of itself.
22.  
23. The correct English plural of "virus" is "viruses."  The Latin word is
24. a mass noun (like "air"), and there is no correct Latin plural.
25.  
26. TROJAN HORSE : a program that does something undocumented which the
27. programmer intended, but that the user would not approve of if he knew
28. about it.  A "Trojan" refers only to a non-replicating malicious program.
29. Since it is non-replicating it is seperate from the virus family.
30.  
31. To date there are 2500 known viruses.  This is an estimate.  In all
32. actuality there is 2300-3000 viruses depending on how you count them too.
33. When placed in families there is over 800 known families of viruses.  As
34. you can probably guess too, with new viruses being created and old ones
35. being modified, that number is going up very rapidly.  Some estimate that
36. there will be around 20,000 viruses or so by the year 2000.  Although
37. this is just an opinion, in all actuality it may very well be reached.
38.  
39. In the following sections I will go into the different types of computer
40. viruses, how to tell if you are infected, how to remove them, and the
41. best for last:  virus scanners and how they rate.
42.  
43. Virus Types:
44. ------------
45.  
46. Viruses infect in two differnt ways.  We either have FILE INFECTORS
47. or SYSTEM or BOOT-RECORD INFECTORS.
48.  
49. File infectors attach themselves to ordinary program files.  These
50. usually infect other .COM and/or .EXE files.  Some have been known,
51. though, to infect .SYS, .OVL, and other types of executable files.
52.  
53. Breaking it down even further, there are two types of file infectors,
54. a NON-RESIDENT or a MEMORY RESIDENT virus.  A Non-Resident virus selects
55. one or more programs to infect at the time of execution, while a Memory
56. Resident virus hides somewhere in memory.  The first time a memory resident
57. virus infected program is executed it hides in memory, after that it
58. begins to infect other programs when they are executed or when ever else
59. the virus is programmed to do.  Most of the viruses written today are
60. memory resident.
61.  
62. SYSTEM or BOOT-RECORD INFECTORS are memory resident and infect certain
63. system areas on a disk which are not ordinary files.  Boot-sector viruses
64. infect only the DOS boot sector, and MBR viruses infect the Master Boot
65. Record on fixed disks and the DOS boot sector on diskettes.  Some examples
66. of this type of infector are the Brain, Stoned, and Michelangelo viruses.
67.  
68. Some viruses do special 'tricks' in order to hide themselves from
69. virus scanners.  Three of the most common types of viruses are the
70. stealth, self-encrypting, and the even more powerful polymorphic virus.
71.  
72. A STEALTH virus is a memory resident virus which hides by monitoring the
73. system functions that read files or physical blocks, and make the results
74. to be the original uninfected form of the file instead of the actual infected
75. form.  This makes the virus go undetected by anti-virus scanners.
76.  
77. A SELF-ENCRYPTING virus is one which encrypts itself using a key.
78. When the virus executes, it uses this key to decrypt itself, and
79. then performs the task it was written to do.  When completed,
80. the virus uses this key to 'lock' itself with encryption.
81.  
82. A POLYMORPHIC virus is a virus which produces various copies of itself.
83. This makes it hard for virus scanners to detect because usually it
84. will not be able to detect all instances of the virus.  One method a
85. polymorphic virus uses is to choose a variety of different encryption schemes.
86. Each one requiring different encryption algorithm.  A signature-driven
87. virus scanner would have to use several signatures.  It would have to
88. use one for each encrytion method.  Another type of polymorphic virus
89. will vary the sequence of instructions by using unessesscary instructions
90. like a No Operation instruction.  A signature-based virus scanner would
91. not be able to reliably identify this sort of virus.
92.  
93. The most sophisticated form of polymorphism discovered so far is the
94. MtE "Mutation Engine" written by the Bulgarian virus writer Dark Avenger.
95. It comes in the form of an object module, and when added to any virus,
96. the result will be a polymorphic virus by adding certain call in the code
97. and linking it to the mutation engine.
98.  
99. Polymorphic viruses have made virus-scanning more difficult than ever.
100. Normal signature strings will not be able to pick up these viruses.
101. Complex algorithms will have to be created to detect these new viruses.
102.  
103. Some viruses use special tricks to make the tracing, disassembling,
104. and virus detection more difficult.  Probably the first method of
105. making an old virus sneak by virus scanners was by PKLITEing them.
106. This worked for a while until researchers picked up on this this little
107. trick.  Then people moved onto LZ-EXE and DIET compressing files, but soon
108. these tricks were picked up on.  One that is still able to slide by scanners
109. is to PGM-PAK a file.  As of date, no scanner I have come across has been
110. able to pick this one up.
111.  
112. How to determine if you have been infected.
113. -------------------------------------------
114.  
115. A biological virus can only live as long as its host is alive, if it
116. kills of its host, then it also dies.  This is also true with computer
117. viruses.  They try to spread as much as possible before they try and
118. kill the host computer.  This is the best time to try and remove the
119. virus before any real damage is done.
120.  
121. There are several things you should watch for if you think you might
122. be infected with a virus.  Changes in a files size, date, and/or contents
123. could mean that you are infected.  Also, missing RAM could be an
124. indicator.  Watch for longer disk activity, system slowdown and other
125. strange hardware behavior.  These factors could mean that you are
126. infected with a virus.
127.  
128. What to do if you think you are infected.
129. -----------------------------------------
130.  
131. Use the DOS MEM command.  MEM /C will tell you if there are any
132. changes in your systems memory.  Also CHKDSK or publicly available
133. utilities like PMAP or MAPMEM can help you notice any changes
134. with system memory.
135.  
136. Use several different virus scanners.  No one virus scanner is 100%
137. perfect.  Later in the file I list the results of several different
138. virus scanners of 700 various types of viruses.  You can use this to
139. be a starting guide, and go from there to find out which virus scanner
140. you like best.
141.  
142. Be sure to scan Upper Memory (640k - 1024k) and High Memory (1024k -
143. 1088k).  It is possible for viruses to locate themselves in these areas,
144. so be sure to scan in these locations.  Most scanners have a switch
145. that will make them check the Upper and High memory locations.
146.  
147. Virus Scanners:
148. ---------------
149.  
150. There are many virus scanners out on the market, but only a few
151. are actually reliable.  Scan (McAfee Associates), F-Prot (Fridrik
152. Skulason), and VireX PC (Datawatch) are the most widely known.
153. Scan by McAfee Associates is probably used and trusted more than any
154. of the other virus scanners out there.  It can be easily obtained off of
155. any BBS, and updates come out regularly.  The problem is, McAfee
156. associates are more into marketing than virus prevention.  They boast
157. that they can detect over 2,149 viruses.  Well we have extracted the
158. signature strings from Scan v104, and they only have 1131 viruses
159. signature strings.  What happened to the remaining 569 viruses that
160. it supposedly detects?  As you will see in the benchmarks that I did
161. on the virus scanners later, Scan just isn't as good as some of the
162. other virus scanners out there.
163.  
164. McAfee Associates claim that there are 2,149 known viruses, and that
165. Scan can detect all 2,149 of these.  During a conversation with them, I
166. asked them how they handle polymorphic viruses, and all they had to say
167. was very well, and it uses a special algorithm to detect them.
168.  
169. F-Prot claims to pick up 95% of known viruses
170. 95% of those are picked up by signature strings, but in a few
171. cases it uses algorithmic scan techniques for polymorphic viruses
172.  
173. BenchMark:
174. ----------
175.  
176. 700 Viruses Tested
177.  
178. Scan v108 619 infected
179. F-prot 2.09d Secure Scan 654 infected, 10 suspicous
180. F-prot 2.09d Quick Scan 496 infected, 0 suspicous
181. F-Prot 2.09d Huerstic Scan 654 infected, 10 suspicous
182. MicroSoft's Dos 6.0 Msav 434 infected
183. Virex 2.8 568 infected
184.  
185. 18 Trojans Tested
186.  
187. Scan v108 0
188. F-Prot 2.09d Secure Scan 14
189. F-Prot 2.09d Quick Scan 0
190. F-Prot 2.09d Huerstic Scan 14
191. MicroSoft's Dos 6.0 Msav 0
192. Virex 2.8 thought 1 trojan was a virus
193.  
194. What to do if you are infected.
195. -------------------------------
196.  
197. Common rule: Do the minimum that you must to restore the system to
198. a normal state.
199.  
200. This is just common sense.  Why low-level format your Hard Drive
201. when you could just delete an infected file, or run a virus cleaner
202. on it.
203.  
204. Start with booting the system from a CLEAN disk.  Use your original
205. write-protected DOS diskette to boot from.  This will keep any boot-
206. sector or other viruses from becoming active while booting.
207.  
208. If you have a backup of the infected files, and if the backups are
209. not infected, then this will be the best and easiest solution.  Just
210. start copying the backed-up files over the infected files.
211.  
212. If back-ups don't exist, or if you just don't want to go through all that
213. trouble, then a disinfecting program can be used.  Since some viruses
214. overwrite the files that they infect, those files can not be replaced
215. because of the damage caused by overwriting.  If it is possible to
216. disinfect the file, then use your favorite virus disinfector.
217.  
218. If you have a boot sector infection.  Then an easy two-step method
219. can be used.  First of all replace your MBR (Master Boot Record) by
220. using a backup, or by using the FDISK/MBR command.  Then use the
221. SYS command to replace the DOS boot sector.
222.  
223. Virus Prevention:
224. -----------------
225.  
226. There are many things one can do to help prevent being infected by a
227. virus.  First off, boot from a clean, write-protected diskette.  This
228. will prevent any viruses from becomming active during the booting
229. process.  This should stop most boot sector viruses which become active
230. during booting.
231.  
232. Another method is to have a memory resident virus scanner.  These
233. programs monitor any unusual disk activity or 'virus like' instructions.
234. Usually you can have different degrees of protection.  Ranging from no
235. protection to being prompted for approval for any disk writes.
236.  
237. You can also write-protect your harddrive.  This will stop viruses from
238. spreading to the disk that is protected, but it doesn't stop the virus
239. from running.
240.  
241. Setting the DOS file attributes to READ ONLY doesn't always protect
242. from viruses.  It may stop some viruses, but most override it, and
243. infect as normal.
244.  
245. Write protect your floppies.  Viruses can't infect a disk when it
246. is write protected.
247.  
248. Ù
249. ıMax HeadroomÙ
250.              ı
251.  
252.  
253. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
254. = Questions, comments, bitches, ideas, etc : z1max@ttuvm1.ttu.edu :FUCK =
255. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
256. = Official F.U.C.K. Distribution sites and information                  =
257. = Board                     Number                Other                 =
258. = -----                     ------                -----                 =
259. = Ionic Destruction         215.722.0570          Eastern HQ            =
260. = Flatline                  303.466.5368          Western HQ            =
261. = Purple Hell               806.791.0747          Southern HQ           =
262. = Culture Shock             717.652.5851          Dist.                 =
263. = PCI                       806.794.1438          Dist.                 =
264. = Celestial Woodlands       806.798.6262          Dist.                 =
265. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
266. = Accounts NOT guaranteed on any F.U.C.K. distribution site. If you are =
267. = interested in writing for, or in becoming a distribution site for     =
268. = F.U.C.K. call the Woodlands, and apply for an account, or mail Max    =
269. = at z1max@ttuvm1.ttu.edu or on the Woodlands. Knowledge is power...    =
270. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
271.