home *** CD-ROM | disk | FTP | other *** search
/ Jason Aller Floppy Collection / 148.img / CLEANP61.ZIP / CLEAN61.DOC < prev    next >
Text File  |  1990-03-31  |  15KB  |  316 lines
  1.             CLEAN-UP VIRUS REMOVER   Version 3.1 V61
  2.                             Copyright 1989, 1990 McAfee Associates
  3.  
  4.                                             4423 Cheeney Street
  5.                                             Santa Clara, CA 95054
  6.                                             408 988 3832 (voice)
  7.                                             408 988 4004 (BBS)
  8.  
  9.  
  10. Executable Program (CLEAN.EXE):
  11.     CLEAN contains a self test at load time.  If CLEAN has been
  12. modified in any way, a warning will be displayed.  The program will
  13. still continue to repair and clean infected programs, however.  In
  14. addition, versions 55 and above are packaged with a VALIDATE
  15. program that will authenticate the integrity of CLEAN.EXE.  Refer
  16. to the VALIDATE.DOC instructions for the use of the validation
  17. program.
  18.     The validation results for V61 should be:
  19.                 SIZE: 54,959
  20.                 DATE: 3-31-1990
  21.     FILE AUTHENTICATION:
  22.         Check Method 1 - 7861
  23.         Check Method 2 - 0A98
  24.  
  25.     You may also call the McAfee Associates bulletin board at 408
  26. 988 4004 to obtain on-line SCAN.EXE verification data.  The
  27. VALIDATE program distributed with CLEAN may be used to authenticate
  28. all future versions of CLEAN.
  29.  
  30. Notes on Version 61:
  31.     Version 61 is able to detect five new viruses reported since
  32. March 1, 1990.  The first virus was submitted by Dave Chess of IBM.
  33. It is a destructive COM and EXE infector called the Saturday the
  34. 14th virus.  The virus activates every Saturday that falls on the
  35. 14th of any month and causes the first 100 sectors of the A, B, and
  36. C drives to be overwritten.  The net result is loss of all of the
  37. control information for the media assigned to those drives.  The
  38. Partition table, Boot Sector and FAT will be destroyed.  The virus
  39. is 685 bytes long and is memory resident.
  40.     The second new virus is the 1392 virus which was also
  41. submitted by Dave Chess of IBM.  The virus does little damage,
  42. other than corruption of the infected programs, but it does display
  43. the following message:  "SMA KHETAPUNK - Nouvel Band A.M.O.E.B.A." 
  44. No idea what this means.  The virus changes the date of infected
  45. files to the date of infection; it is memory resident; it infects
  46. both COM and EXE files, including COMMAND.COM and is 1392 bytes
  47. long.
  48.     The third new virus is the XA1, or Christmas Tree virus.  It
  49. was submitted by Christoff Fischer of West Germany.  It is an
  50. encrypted virus that only infects COM files.  It activates on April
  51. the 1st and destroys the partition table of the hard disk.  From
  52. December 24th till January 1st it will draw a full screen picture
  53. of a christmas tree when an infected program is executed.  It is
  54. not memory resident.
  55.     The fourth and fifth new viruses were discovered in Spain and
  56. are called the 1720 and 1210 viruses.  The 1720 infects both COM
  57. and EXE files, while the 1210 only infects EXE files.  Little is
  58. know of these viruses at this point other than that the 1720
  59. appears to be destructive.  The viruses were named after their
  60. respective lengths.
  61.     In addition to the above new viruses, version 61 fixes a bug
  62. which caused it to mis-identify the Korea Virus.
  63.  
  64.  
  65. OVERVIEW:
  66.  
  67.     CLEAN-UP kills and removes computer viruses, and in most
  68. instances it repairs infected files, re-constructs damaged programs
  69. and returns the system to normal operation.  CLEAN-UP works for all
  70. viruses identified by the current version of McAfee Associates'
  71. SCAN.
  72.     CLEAN-UP searches the entire system looking for the virus that
  73. you wish to remove.  When found, the infected file is identified,
  74. the virus is isolated and removed, and for the more common viruses,
  75. the infected file is repaired.  If the file is infected with a less
  76. common virus that cannot be separated from the file, the infected
  77. file is wiped from the disk and deleted from the system.  A warning
  78. message is displayed by CLEAN-UP before erasing any files, and you
  79. have the option of overriding the erase function.  
  80.     The common viruses that CLEAN-UP is able to remove
  81. successfully and repair and restore the damaged programs are:  
  82.  
  83. * Jerusalem B   Alabama      Jerusalem A     Ping Pong  
  84. Jerusalem E     Stoned       Dark Avenger    Pakistani Brain 
  85. Suriv03         Payday       Alameda         1701
  86. 1704            Disk Killer  Ping Pong-B     Ashar
  87. Sunday          1260         4096
  88.  
  89.     These viruses account for the overwhelming majority of
  90. infection occurrences.  All other known viruses will be identified
  91. and isolated by CLEAN-UP and the infected files' area of disk will
  92. be wiped clean and the files will be removed from the system. 
  93.  
  94.     *    Note: EXE viruses cannot be successfully removed
  95.           from all infected .EXE files in 100% of the cases.  A
  96.           few EXE programs will be damaged beyond repair by the
  97.           infection and they will have to be deleted.  In all
  98.           cases, however, the virus in the file will be killed and
  99.           rendered harmless by CLEAN-UP.
  100.  
  101.  
  102.  
  103. RUNNING CLEAN-UP:
  104.     Before running CLEAN-UP, verify the suspected virus infection
  105. by running VIRUSCAN (SCAN.EXE) Version 55 or greater.  SCAN will
  106. identify the virus strain and sub-strain and will display the I.D.
  107. to be used as input to the CLEAN-UP program.  CLEAN-UP uses this
  108. I.D. to determine which virus to seek out and remove.  The I.D. for
  109. each virus is displayed inside a set of brackets - [ ].  For
  110. example, the I.D. for the Disk Killer virus will be displayed by
  111. SCAN as [Killer].  This identical identifier must be used in the
  112. command line of CLEAN-UP in order to remove the Disk Killer
  113. virus.        
  114.     Also, before you begin the disinfection process, you must
  115. power down the infected computer and then re-boot the computer from
  116. a clean, write-protected system diskette.  This step is very
  117. important.  It will remove the virus from control in memory and
  118. prevent the virus from continuing to infect during the clean-up
  119. process.
  120.  
  121.     To run CLEAN-UP type:
  122.  
  123.     CLEAN    d1: d2: ... dn: [virusname] /a /many 
  124.  
  125.             where:
  126.  
  127.        dn: - Drive designators for drives to be cleaned.
  128.               (up to 10 drives may be cleaned with one command)
  129.  
  130. [virusname] - The virus I.D. (brackets must be included)
  131.  
  132.          /a - Option to check all files
  133.  
  134.       /many - Option to allow cleaning multiple floppies
  135.  
  136.  
  137.       Examples:
  138.  
  139.      CLEAN   C: D: [Jeru]       will clean Jerusalem from C and D
  140.                                 drives
  141.  
  142.      CLEAN   C:\TEMP [Dav] /a   Will clean Dark avenger from
  143.                                 C:\TEMP and will search all file
  144.                                 extensions for the virus
  145.  
  146.  
  147.     CLEAN-UP will display the name of each infected file as it is
  148. found.  When the virus has been removed from each file, a
  149. "successful" message will be displayed.  
  150.  
  151.  
  152.       NOTE:    If a file has been infected multiple times by a
  153.                virus, clean will display the name of the file and
  154.                the "successful" message for each infection
  155.                occurrence.  Thus, multiple lines will be displayed
  156.                for each file infected more than once.
  157.  
  158.  
  159.     After running CLEAN-UP, run SCAN again, this time with the /a
  160. option, to ensure that all remnants of the virus have been removed.
  161.     After cleaning the fixed disk drives, SCAN all floppies and
  162. if any infections are found, remove them with CLEAN-UP.
  163.  
  164.     The clean-up I.D.'s for each of the known viruses are listed
  165. in brackets below:
  166.  
  167. Oropax [Oro]                    Pakistani Brain [Brain]
  168. 4096 [4096]                     Chaos [Chaos]
  169. AIDS Trojan [AIDS]              Virus-90 [90]
  170. Amstrad [Amst]                  Devil's Dance [Dance]
  171. Holland Girl [Holland]          Datacrime II-B [Crime-2B]
  172. Do-Nothing virus [Nothing]      Sunday virus [Sunday]
  173. Lisbon virus [Lisb]             Typo COM virus [Typo]
  174. DBASE virus [Dbase]             Ghost / Ghostball Boot  
  175. Ghost COM Version [Ghost-C]     New Jerusalem [Jeru]
  176. Alabama [Alabama]               Yankee Doodle [Doodle]
  177. 2930 [2930]                     Ashar [Brain]
  178. AIDS / Taunt [Taunt]            Disk Killer / Ogre [Killer]
  179. 1536 / Zero Bug [Zero]          MIX1 [Mix1]
  180. Dark Avenger [Dav]              3551 / Syslock [Syslock]
  181. Vacsina [Vacs]                  Ohio 
  182. Typo                            Swap / Israeli Boot
  183. Datacrime II [Crime-2]          Icelandic-II / System [Ice-2] 
  184. Pentagon                        3066 / Traceback [3066]
  185. Datacrime-B [Crime-B]           Icelandic [Ice]
  186. Saratoga [Toga]                 405 [405]
  187. 1704 Format [170X]              Fu Manchu / 2086 [Fu]
  188. 1280 / Datacrime [Crime]        1701 / Cascade [170X]
  189. 1704 / Cascade-B [170X]         Stoned / Marijuana [Stoned]
  190. 1704 / Cascade [170X]           Ping Pong-B / Cascade Boot [Ping]
  191. Den Zuk                         Ping Pong / Bouncing Dot [Ping]
  192. Vienna-B [Vienna-B]             Lehigh [Lehigh]
  193. Vienna / DOS-62 [Vienna]        Jerusalem-B [Jeru]
  194. Yale / Alameda [Alameda]        Friday 13th COM virus [13]
  195. Jerusalem-A / 1813 [Jeru]       Suriv03 / Jerusalem-E [Jeru]
  196. Suriv02 [jeru-D]                Suriv01 [April]
  197. Taiwan [Taiwan]              Halloechen [Hal]
  198. Perfume [Fume]                  Joker [Joke]
  199. Icelandic-3 [Ice-3]             1260 [1260]
  200. Virus-101 [101]                 V2000 [2000]
  201. Saturday 14th [Sat14]           1720 [1720]
  202. 1210 [1210]                     Christmas Tree [XA1]
  203. 1392 [1392]                     Korea [Korea]
  204. 2000-B [Solano]
  205.    
  206.  
  207. REGISTRATION:
  208.     CLEAN-UP is a required registration shareware product.  It may
  209. be use in a home environment for a registration fee of $35.  Please
  210. use the enclosed REGISTER.DOC file for registration information. 
  211. For corporate, organizational or agency use, however, a corporate
  212. site license is required.  For site license information please
  213. contact:
  214.  
  215.             McAfee Associates
  216.             4423 Cheeney Street
  217.             Santa Clara, CA 95054
  218.             408 988 3832 (voice)
  219.             408 988 4004 (BBS)
  220.             408 970 9727 (Fax)
  221.  
  222.  
  223.  
  224.                          Version Notes
  225.  
  226. Version 60:
  227.     Version 60 identifies four new viruses that have been reported
  228. from widely dispersed parts of the world.  The first virus, the
  229. Solano 2000, or Dyslexia virus, was widely and suddenly reported
  230. in Solano County California in late February and Early March 1990. 
  231. The first person to isolate and submit the virus was Edward
  232. Winters.  The virus is 2000 bytes long, but bears no resemblance
  233. to the V2000 virus from Bulgaria.  The virus infects only COM
  234. files, is memory resident, and infects each file as it is executed.
  235. The virus randomly reverses contiguous numeric data in the video
  236. buffer.  No other damage has been observed.
  237.     The second virus, ItaVir, was submitted by Andrea Salvia and
  238. Emilio Caravaglia of Milan Polytechnic in Milan, Italy.  The virus
  239. is 3,880 bytes long, infects only EXE files and is not memory
  240. resident.  The virus is activated based on the amount of time it
  241. has been in the system (apparently a random time greater than 24
  242. hours) and when activated, it sequentially writes all values
  243. (between 0 and 255) to all I/O ports in the system.  The result is
  244. a dramatic confusion of all peripherals.  The video monitor will
  245. flicker and if the monitor is VGA, will also hiss.  The boot sector
  246. is also wiped out and the system will be non-bootable on power-up.
  247.     The third virus, Vcomm, was submitted by Yuval Tal from
  248. Rehovot, Israel.  It is a non-memory resident EXE infector and is
  249. 1074 bytes long.  After the virus is first executed, it infects one
  250. other EXE file and then modifies the in-memory Command Interpreter
  251. so that the DOS COPY command no longer works.  No other disruptions
  252. have been reported from this virus.
  253.     The fourth virus is a boot sector infector submitted from
  254. Korea.  Limited analysis has been done so far on this virus other
  255. than developing an identifier.  The virus has been named the Korea
  256. Virus.
  257.  
  258. Version 59:
  259.         Version 59 now removes a number of new variations of the
  260. Vienna, Yankee Doodle and Vacsina.  These variations were submitted
  261. by researchers in Eastern Europe.  The variations of the Yankee
  262. Doodle and Vacsina appear to be earlier trial versions of these
  263. viruses.  They don't appear to be harmful, other than corrupting
  264. the programs that are infected and there have been no reported
  265. incidents of infection in the U.S. or Western Europe.  The
  266. variations of Vienna are likewise apparently harmless.  
  267.     A completely new virus has also been added to the scan
  268. list.  Called the V2000 virus, it works as follows:
  269.     It installs resident in memory and then searches for and
  270. infects the Command Interpreter (COMMAND.COM).  It will then infect
  271. any COM or EXE file whenever the file is opened.  Thus, the
  272. executable files are infected whenever they are executed, copied
  273. or manipulated in any way.  The virus hides the length increase of
  274. infected files, much like the 4096, so the user will not see the
  275. increased file lengths in the listing displayed by the DIR command.
  276.     The virus is very virulent and has caused system crashes and
  277. lost data, as well as causing some systems to become non-bootable
  278. after infection.        
  279.     The 4096 virus has been added to the list of viruses that can
  280. be removed without erasing the infected program.
  281.  
  282. Version 57:
  283.     CLEAN57 has been substantially modified to allow removal of
  284. viruses that use variable encryption techniques. Two such viruses
  285. surfaced for the first time in January.  These viruses cannot be
  286. accurately identified and removed with simple I.D. strings.  The
  287. changes to SCAN now allow these two viruses to be positively
  288. identified, and identification and removal of future viruses that
  289. use similar techniques has been simplified.
  290.     Both of these encrypted viruses were written as "experimental"
  291. viruses.  One surfaced on a number of bulletin boards in Minnesota
  292. under the name of COM_AIDS.ZIP.  I have named it the 1260 virus,
  293. although it is based in part on the original Vienna virus.  The
  294. other was written by Patrick Toulme in Washington D.C. (author of
  295. Virus-90).  He has called the new virus Virus-101.  Neither of
  296. these viruses was designed to be destructive - they just attach
  297. themselves to other programs.  However, there is no such thing as
  298. a "harmless" virus.  All viruses corrupt the code of the host
  299. programs, and none enter your system under invitation.  And none
  300. have yet successfully been contained.  Even the most well designed
  301. and coded "harmless" virus will cause problems in some mix of
  302. hardware/BIOS/DOS-Version/Memory-resident-programs etc.  The
  303. Pakistani Brain is a prime example of this.  For this reason we
  304. oppose the public distribution of any kind of virus.  Once
  305. released, they cannot be controlled.  In addition, many lazier
  306. hackers can easily modify "harmless" viruses to become destructive,
  307. and many instances of such modification exist.  Thus, V57 of CLEAN
  308. removes both of these viruses.
  309.     In addition to the above two viruses, V57 removes the Joker
  310. and Perfume viruses from Poland, the Icelandic-3 found by
  311. Fridrik Skulason in Iceland and the Halloechen virus reported by
  312. Christoff Fischer at the University of Karlsruhe in West Germany. 
  313. These are detailed in VIRLIST.TXT.  
  314.     The 1260 Virus has been added to the list of viruses that can
  315. be removed without erasing the infected program.
  316.