home *** CD-ROM | disk | FTP | other *** search

---

/ The World of Computer Software / The World of Computer Software.iso / catchm15.zip / CATCHMTE.DOC

next >

Wrap

Text File  |  1992-10-16  |  8KB  |  184 lines

---

1.                                  CatchMtE  1.5
2.  
3.                                October 16, 1992
4.                                
5.                  Copyright (c) 1992 by VDS Advanced Research Group
6.                              All Rights Reserved
7.  
8.            Use of this program for non-commercial purposes is free.
9.            We do not sell it for profit, neither should anyone else.
10.            You can distribute it to your friends or BBSes as long
11.            as it is not modified and it includes this documentation.
12.            If you cannot obtain it from BBSes or FTP sites, then you
13.            can get it directly from us for a small fee of $10 US.
14.            Even if CatchMtE helps only one user to detect an MtE-based
15.            virus and saves him much agony, we consider our time spent
16.            developing CatchMtE well worth it.
17.  
18.                                 DISCLAIMER
19.  
20.         The developers of CatchMtE make no warranty of any kind, either
21.      express or implied, with respect to this software and accompanying
22.      documentation. In no event shall the developers be liable for any
23.      damages arising out of the use of or inability to use the included
24.      programs. The entire risk as to the results and performance of this
25.      software package is assumed by the customer. We specifically disclaim
26.      any implied warranties of merchantability or fitness for any purpose.
27.      Use at your own risk.
28.         The developers of CatchMtE reserve the right to revise the software
29.      and accompanying documentation and to make changes in the contents
30.      without obligation to notify any person of such revision or changes.
31. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
32.  
33.                             ACKNOWLEDGEMENTS        
34.  
35.        We would like to thank Mr. Vesselin Bontchev for his help in
36.        testing CatchMtE and offering suggestions to improve it. He even
37.        sent us sample code to implement a more flexible input path.
38.  
39. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
40.                    WARNING   WARNING   WARNING   WARNING
41.  
42.     YOU SHOULD BOOT FROM A CLEAN, WRITE-PROTECTED DOS DISKETTE BEFORE USING
43.     CatchMtE TO SEARCH YOUR DISKS. THIS WILL ELIMINATE THE RISK OF HAVING
44.     A MEMORY-RESIDENT VIRUS GAIN CONTROL OF THE CPU DURING OPERATION.
45.  
46. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
47. Description:
48.  
49.    CatchMtE is designed to recognize viral code based on the so-called
50. Mutation Engine distributed by DarkAvenger from Bulgaria (see the included 
51. MTE-INFO.TXT file for details). CatchMtE uses sophisticated algorithms to 
52. determine if a program is infected by an MtE-based virus.
53.  
54.    We have tested it on MS/PC DOS 3.3+ as well as Netware 386 based disks. 
55. On network drives, some files may not be opened and will generate an error
56. message. The program uses handle-oriented DOS file access for compatibility.
57.  
58.    CatchMtE is NOT a pattern matcher; although it uses Boyer-Moore search
59. algorithm and a few patterns to recognize the mutations that are in plaintext.
60. This is necessary because MtE sometimes fails to encrypt code as expected.
61. The following known viruses are recognized if they are in plaintext:
62.  
63.    Pogue
64.    Dedicated/Fear  (plaintext mutations only)
65.    Groove
66.    CoffeeShop      (plaintext mutations only)
67.    MtE-Spawn       (plaintext mutations only)
68.    Questo          (plaintext mutations only)
69.  
70.    If none of the patterns extracted from these viruses are found, then two
71. patterns extracted from MtE itself are searched for. This should detect
72. new viruses using MtE for polymorphism in the cases when the decryptor
73. has null effect.
74.  
75.    We have tested CatchMtE against thousands of Pogue and Dedicated/Fear
76. mutations in our lab. It achieved 100% hit rate in all cases. If you find
77. a mutation that it fails to recognize, please contact us so that we can
78. determine the cause and make the necessary corrections to the program.
79.  
80.    CatchMtE is NOT a general virus scanner. It only looks for MtE-based
81. viruses. If you would like to search your disks for other viruses as well,
82. you should obtain a general virus scanner such as F-PROT or our VDSFSCAN. 
83. These programs can look for hundreds of other known viruses.
84.  
85. Requirements:
86.  
87.    IBM/PC compatible computer with DOS 3.0 or higher
88.    128K of available memory
89.    Booting from floppy diskette is recommended
90.  
91. Limitations:
92.  
93.    Only the files with COM or EXE extension are checked. If the file
94.    size is less than or equal to 1K, it will be skipped as well.
95.    Subdirectories are scanned recursively. It doesn't check one single file. 
96.  
97. Bugs & Problems:
98.     
99.    Previous versions of CatchMtE had a problem finding the EXE program entry
100.    and sometimes failed to correctly identify infected files. Version 1.0
101.    triggered false alarms on the following files:
102.  
103.              Name            Size
104.            ----------------------
105.            DIREX.COM         1987
106.            LEGAL.EXE       264080
107.            NETBIND.EXE      15639
108.            PCSORT.EXE       21776
109.            XTVEGA.COM        2751          
110.  
111. Usage:
112.  
113.   CATCHMTE.EXE <path> [-Mono] [-Pause] [-Ofname] [-Zfname] [-Batch] [-Delete] 
114.  
115.   Example:
116.       To search C: drive starting from root directory:
117.  
118.          CATCHMTE.EXE  -P -Oinfected.txt -Zpassed.txt  C:\
119.  
120.       To search another directory and all subdirectories:
121.  
122.          CATCHMTE.EXE  -p  C:\DOS
123.  
124.  -Mono option forces CatchMtE not to use color output to make it easier
125.   to read on some screens, mostly laptops emulating VGA.
126.  
127.  -Pause option will allow you to see the list of infected files a screen
128.   at a time; otherwise, they will scroll off the screen, so you should use
129.   it unless you are testing the program against a zoo of mutations to verify
130.   hit rate, as we did.
131.  
132.  -O option will write the names of the files that were found to have an
133.   MtE-based virus to the specified file. Final statistics will also be
134.   written to this file.
135.  
136.  -Z option will write the names of the files that were found NOT to have an
137.   MtE-based virus to the specified file. This is good for zoo testing
138.   since it will provide a list of mutations that were MISSED. If you are
139.   not doing zoo testing, you do not need this option. If you find such a
140.   mutation, please send us a copy of at least the decryptor portion if not
141.   the complete sample for analysis.
142.  
143. -Batch option is useful in running CatchMtE from batch files and eliminates
144.  the pause at the end asking you to press a key. You can examine the error
145.  level returned as follows:
146.  
147.       errorlevel  --> 0   : No viruses found
148.       errorlevel  --> 1   : Infected files found
149.       errorlevel  --> 2   : Infected files found and deleted
150.       errorlevel  --> 128 : User break, search not completed
151.       errorlevel  --> 255 : Errors occurred during search
152.  
153. -Delete option allows you to delete files that are found to be infected.
154.  You should always delete infected files and replace them with clean
155.  backup copies.
156.  
157. A Piece of Advice:
158.  
159.    You are strongly encouraged to consider "integrity checkers" as a strong
160. line of defense against virus attacks. There are some products in the market
161. that concentrate on integrity checking. They can provide you with an early
162. warning that can save you many man-hours of work. Once the spread of viruses
163. is contained, they are not a significant threat.
164.  
165.    Virus scanning software is useful in looking for known viruses. They are
166. not meant to detect new viruses. With the escalating number of viruses and
167. toolkits such as MtE, you are more likely to encounter new viruses that
168. scanners cannot keep up with.
169.  
170.    We have developed an anti-viral product (VDS, or Virus Detection System)
171. that emphasizes integrity checking. To obtain a copy ($49 + SH for personal
172. version), you can call us at (410) 247-7117, or write to:
173.  
174.                       Attn: Tarkan Yetiser
175.                    VDS Advanced Research Group
176.                          P.O. Box  9393
177.                     Baltimore, MD 21228, U.S.A.
178.  
179.    Technical questions (no sales) can be sent via e-mail to: 
180.                  tyetiser@umbc8.umbc.edu
181.  
182.    We wish you a virus-free day of happy computing.
183.    
184.