home *** CD-ROM | disk | FTP | other *** search

---

/ High Voltage Shareware / high1.zip / high1 / DIR14 / 21A11.ZIP / 21A11.TXT

< prev

Wrap

Text File  |  1993-08-26  |  6KB  |  134 lines

---

1. 21A11.TXT - Description file for 21A11.DEF
2. AntiVirus Lab, SYMANTEC/Peter Norton Product Group
3. September 1, 1993
4. ******************************************************************
5.  
6. [The NAV definition update installation instructions are also
7. available on this disk in French, German, Italian, Swedish, and
8. Spanish.  Please reference the appropriate file.]
9.  
10.                    Loading New Definitions
11.  
12. To update NAV 2.1 with the new virus definition you have
13. just received, do the following:
14.  
15. Note:  Each definition set completely replaces the current
16.        set so only the latest is required.
17.  
18. From DOS:
19. 1)  At the DOS prompt, type "NAV" then <Enter>.
20. 2)  Select the "Cancel" button (ALT-C) to bypass scanning at this time.
21. 3)  Select the Definitions menu (ALT-D), then select the "Load from
22.     file" item (L).  You will now see the "Load from file" dialog box.
23. 4)  Place the definition diskette in drive A: (Drive B: where
24.     applicable).
25. 5)  In the FILE field, type "A:*.DEF " ("B:*.DEF" if applicable) then 
26.     <Enter>.
27. 6)  The definition file on the disk should now appear in the
28.     "Files" box.
29. 7)  Select the "Files" box (ALT-L).  Note: the filename is normally
30.     loaded into the "File" line automatically as it is usually the 
31.     only file available.  If this is not the case, use the TAB key
32.     to highlight the file then press the spacebar.
33. 8)  Select "OK" (ALT-O) to load the new definition set.
34. 9)  After loading, press "ESC", exit NAV, and reboot the machine.
35. 10) NAV will now use the new definitions to scan for viruses.
36.  
37. From Windows:
38. 1)  Activate NAV by double-clicking on its icon.
39. 2)  Click on "CANCEL" in the "Scan Drives" window to bypass scanning
40.     at this time.
41. 3)  From the "Definitions" menu choose "Load from file".
42. 4)  Place the definition diskette in drive A: (Drive B: where
43.     applicable).
44. 5)  Type "A:*.DEF" ("B:*.DEF" if applicable) in the "File" field, then
45.     press the Enter key.
46. 6)  The latest definition file should now appear in the "Files" box.
47. 7)  Double-Click on the filename inside the "Files" box.
48. 8)  The file should begin to load.  If not, click the "OK" button to
49.     load the new definition set.
50. 9)  After loading, exit NAV, exit Windows, then reboot the machine.
51. 10) NAV will now use the new definitions to scan for viruses.
52.  
53. ******************************************************************
54.  
55. Note for users who are not updated through Corporate Channels:
56.  
57. After updating your definitions, if every file is identified as
58. being infected with "MtE", don't panic.  You probably do not have
59. a virus.  Please download the patch file, PTCH1A.ZIP (available
60. through CompuServe and the Symantec BBS), unzip the file, follow
61. the instructions included in the readme file, and then load these
62. definitions again.
63.  
64. If you are unable to download this patch file, or are still
65. experiencing problems after using it, please contact Symantec
66. Technical Support.
67.  
68. ******************************************************************
69.  
70. MacGyver
71. MacGyver is a memory-resident stealth virus that infects EXE files 
72. as they are run or opened.  The virus also attaches itself to files 
73. that look like EXE files (.386, .DLL, .DRV, etc).  These files will
74. seem corrupted.
75.  
76. The virus contains the encrypted messages "MACGYVER V 1.0" and
77. "Keelung, TAIWAN 1992", but does not display those messages.  If the 
78. month is after February and the date ends in 5 (i.e. March 5 to 
79. December 25) the virus is supposed to play a tune.
80.  
81. Infected files will grow by approximately 2800 (2803) bytes.  However, 
82. if the virus is active in memory this size change will not be visible 
83. in a directory listing.
84.  
85. MacGyver can be repaired by NAV.
86.  
87. -----
88.  
89. Scream-652
90. This is a another variant of the Scream II virus.  This group of viruses 
91. infects COMMAND.COM when initially run, and infect other COM and EXE files
92. from memory as they are run or opened for any reason. 
93.  
94. Infected files grow by approximately 650 (652) bytes with the virus located 
95. at the end of the host program.  The virus is encrypted. 
96.  
97. This virus is not repaired by NAV.
98.  
99. -----
100.  
101. Freddy
102. Freddy is a memory-resident virus that infects COM and EXE files 
103. as they are run.  The virus contains an encrypted directory in which 
104. all entries appear as "FREDDY   KRG" with a size of 0 bytes. The time
105. and date stamps do not appear as these fields also contain zero.
106.  
107. When the virus triggers, the sector is decrypted and written to the 
108. first root directory sector of drive C: making the system unbootable.
109. The virus then hangs the computer in an endless loop.
110.  
111. Infected files grow by about 1900 bytes with the virus located at the end
112. of the host program. However, COMMAND.COM is infected differently and 
113. grows by less than 100 bytes.
114.  
115. Freddy can be repaired by NAV.
116.  
117. -----
118.  
119. Stoned (3C)
120. This is a minor variant of the standard Stoned virus. It does not contain
121. the "Legalize Marijuana" message and appears to have been modified so as
122. to avoid detection with older antivirus patterns.
123.  
124. Stoned (3C) can be repaired by NAV.
125.  
126. -----
127.  
128. (Note: File size growth is given in approximate numbers.  If a number is
129. enclosed in parentheses, that number would be the growth of one of the more
130. common variants.  As it is too easy for a virus writer to alter this number
131. without changing the virus significantly, do not depend on the more precise
132. number.  It is provided for your confidence should you encounter it, which
133. we hope never happens.)
134.