home *** CD-ROM | disk | FTP | other *** search
/ High Voltage Shareware / high1.zip / high1 / DIR14 / 21A12.ZIP / 21A12.TXT < prev   
Text File  |  1993-10-01  |  5KB  |  123 lines
  1. 21A12.TXT - Description file for 21A12.DEF
  2. AntiVirus Lab, SYMANTEC/Peter Norton Product Group
  3. October 1, 1993
  4. ******************************************************************
  5.  
  6. [The NAV definition update installation instructions are also
  7. available on this disk in French, German, Italian, Swedish, and
  8. Spanish.  Please reference the appropriate file.]
  9.  
  10.                    Loading New Definitions
  11.  
  12. To update NAV 2.1 with the new virus definition you have
  13. just received, do the following:
  14.  
  15. Note:  Each definition set completely replaces the current
  16.        set so only the latest is required.
  17.  
  18. From DOS:
  19. 1)  At the DOS prompt, type "NAV" then <Enter>.
  20. 2)  Select the "Cancel" button (ALT-C) to bypass scanning at this time.
  21. 3)  Select the Definitions menu (ALT-D), then select the "Load from
  22.     file" item (L).  You will now see the "Load from file" dialog box.
  23. 4)  Place the definition diskette in drive A: (Drive B: where
  24.     applicable).
  25. 5)  In the FILE field, type "A:*.DEF " ("B:*.DEF" if applicable) then 
  26.     <Enter>.
  27. 6)  The definition file on the disk should now appear in the
  28.     "Files" box.
  29. 7)  Select the "Files" box (ALT-L).  Note: the filename is normally
  30.     loaded into the "File" line automatically as it is usually the 
  31.     only file available.  If this is not the case, use the TAB key
  32.     to highlight the file then press the spacebar.
  33. 8)  Select "OK" (ALT-O) to load the new definition set.
  34. 9)  After loading, press "ESC", exit NAV, and reboot the machine.
  35. 10) NAV will now use the new definitions to scan for viruses.
  36.  
  37. From Windows:
  38. 1)  Activate NAV by double-clicking on its icon.
  39. 2)  Click on "CANCEL" in the "Scan Drives" window to bypass scanning
  40.     at this time.
  41. 3)  From the "Definitions" menu choose "Load from file".
  42. 4)  Place the definition diskette in drive A: (Drive B: where
  43.     applicable).
  44. 5)  Type "A:*.DEF" ("B:*.DEF" if applicable) in the "File" field, then
  45.     press the Enter key.
  46. 6)  The latest definition file should now appear in the "Files" box.
  47. 7)  Double-Click on the filename inside the "Files" box.
  48. 8)  The file should begin to load.  If not, click the "OK" button to
  49.     load the new definition set.
  50. 9)  After loading, exit NAV, exit Windows, then reboot the machine.
  51. 10) NAV will now use the new definitions to scan for viruses.
  52.  
  53. ******************************************************************
  54.  
  55. Note for users who are not updated through Corporate Channels:
  56.  
  57. After updating your definitions, if every file is identified as
  58. being infected with "MtE", don't panic.  You probably do not have
  59. a virus.  Please download the patch file, PTCH1A.ZIP (available
  60. through CompuServe and the Symantec BBS), unzip the file, follow
  61. the instructions included in the readme file, and then load these
  62. definitions again.
  63.  
  64. If you are unable to download this patch file, or are still
  65. experiencing problems after using it, please contact Symantec
  66. Technical Support.
  67.  
  68. ******************************************************************
  69.  
  70. ARCV.Slim
  71. ARCV.Slim is an encrypted, memory-resident, stealth virus that
  72. infects COM files as they are run or opened.
  73.  
  74. The virus contains the encrypted strings "I Love You Joanna, Apache.."
  75. and "Looking Good Slimline Joanna" followed by author and copyright
  76. information.  The text strings are not displayed.
  77.  
  78. A file can be infected by ARCV.Slim more than once. Each infection
  79. will increase the file size by 900 (911) bytes.
  80.  
  81. -----
  82.  
  83. Idiot
  84.  
  85. This virus is an encrypting, memory-resident EXE file infector.
  86. Idiot targets WIN.COM by overwriting the first 300 bytes. The
  87. following string can be found decrypted in WIN.COM, and
  88. encrypted in other infected files:
  89.  
  90. "You've been caught, you DWI!
  91.  
  92. Infected files will grow by approximately 1100 (1051) bytes with the
  93. virus located at the end of the file.
  94.  
  95. -----
  96.  
  97. Swiss Phoenix
  98. This virus is a memory-resident COM and EXE infector. It will
  99. infect COMMAND.COM.
  100.  
  101. Once in memory, Swiss Phoenix will infect files when they are executed
  102. or opened.  The virus is 1000 (1041) bytes and is appended to the
  103. end of the file.
  104.  
  105. When an infected file is executed on Friday the 13th, tracks zero through
  106. fourteen of the hard drive will be overwritten with random data.  After
  107. the overwrite occurs the string "Phönix" will be displayed and
  108. the system will hang.
  109.  
  110. The string "Phönix" is encrypted within the body of the virus and will
  111. not be apparent.
  112.  
  113. Infected files can be repaired by NAV.
  114. -----
  115.  
  116. (Note: File size growth is given in approximate numbers.  If a number is
  117. enclosed in parentheses, that number would be the growth of one of the more
  118. common variants.  As it is too easy for a virus writer to alter this number
  119. without changing the virus significantly, do not depend on the more precise
  120. number.  It is provided for your confidence should you encounter it, which
  121. we hope never happens.)
  122.  
  123.