home *** CD-ROM | disk | FTP | other *** search

---

/ The World of Computer Software / The World of Computer Software.iso / vsig9213.zip / COMPRSCA.NFO

< prev

next >

Wrap

Text File  |  1992-11-01  |  7KB  |  181 lines

---

1.  
2.         ┌───────────────────────────────────────────────────┐
3.         │ "Mate(s) it simply makes sense, make a backup..." │▐
4.         └───────────────────────────────────────────────────┘▐
5.           ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
6.  
7.               -====== COMPRSCA.DAT INFO ======-
8.  
9. 0 Revision 921101
10. 1 Introduction to Comprsca.dat
11. 2 Executable File Compressor overview
12. 3 Why you should use Comprsca.dat
13. 4 When you should use Comprsca.dat
14. 5 How to use it....
15. 6 Hint for Sysops
16. 7 What's new!! 
17. 8 Disclaimer
18.  
19.  
20. 1. Introduction to Comprsca.dat
21. ──────────────────────────────
22.  
23. The introduction  of  executable file compressors  has added a    new dimension
24. to virus scanning.  Previously it was fairly easy  to scan  executable files.
25. You just ran your favorite scan program  and the job was done. If you do this
26. now it's possible your scanner  might miss something, not because  you have a
27. bad scanner but because the virus string it is looking for has been encrypted
28. by an executable file compressor.  The signatures  in comprsca.dat  will help
29. you to recognize compressed files. They cannot tell you if a  compressed file
30. is infected internally.  This can only  be done by  rescanning the file after 
31. it has been extracted to its original size.
32.  
33.  
34.  
35. 2. Executable File Compressor overview
36. ─────────────────────────────────────
37.  
38. Executable File Compressors  (efc's) compress your executable files  in order
39. to  save  diskspace.  When  the  program is  compressed  a  small  amount  of
40. extraction code  is added to the file.    If you run  this program  the program
41. will automatically be expanded into memory.  If you're not familiar with this
42. phenomenon  you'll be  surprised  to see  how many  files on your HD  will be
43. compressed with such a program.
44.  
45. Popular EFC's are: Pklite
46.                    Lzexe
47.                    Diet
48.                    Exepack
49.                    Tiny
50.                    Compack
51.  
52.  
53. 3. Why you should use comprsca.dat
54. ─────────────────────────────────
55.  
56. If you have received new files.  It's possible that an infected file has been
57. compressed and the virus has been encrypted.
58.  
59. Well you may say 'my favorite scanner scans inside Pklited and Lzexed files.'
60. My answer to this is:   'Yes, but not always and never inside  Diet, Exepack,
61. Compack and  Tiny  compressed  files'.  I sincerely  hope, they will  do this
62. tomorrow.
63.  
64. Compressed files  can easily  be modified.  After modification    even  the own
65. compressor  doesn't recognize the file any more. It remains fully functional.
66. I've seen several examples of this.  Some commercial, freeware  and shareware
67. authors do this trick to prevent other people hacking their programs. And not
68. to forget the people who spread viruses.
69.  
70. With this  technique  they could  spread  most    known viruses, say 600.  This
71. multiplied with 10 (efc versions) makes 6000 unrecognized viruses (droppers).
72.  
73. Of course  if you scan    your HD regularly, you'll detect  something is wrong,
74. because other files on your harddisk get infected.
75.  
76. After a 'simple' cleaning job your scanner will report that your HD is clean,
77. but the virus  in the encrypted file  has not been  detected, and  you'll see
78. that the next time  you scan your HD, it is possibly reinfected.  After a few
79. times this will drive you mad.
80.  
81.       ***** So better find them soon rather than later. *******
82.  
83.  
84. 4. When to use comprsca.dat
85. ──────────────────────────
86.  
87. 1 When you want to scan new files.
88. 2 If your HD is regularly reinfected.
89.  
90. Don't  worry about  compressed files  on your HD  if your HD  is clean  after
91. regular  scanning.  We    advise you  to    keep  a logfile  of  your  compressed
92. executables which may be of great importance if situation 2 occurs.
93.  
94. Most of your  MS_DOS files have been compressed  with Exepack.  You shouldn't 
95. worry about them either.
96.  
97.  
98. 5. How to use comprsca.dat
99. ─────────────────────────
100.  
101. We recommend the use of the powerful features from  HTSCAN Version 1.17+ This
102. version fully supports these compressed  signatures.  Other scanners (tbscan)
103. may not perform the same and in some cases not perform at all.
104.  
105. Just copy comprsca.dat to the directory where you keep the other .dat files.
106. That's all....   syntax example: Htscan c: /o=htscan.log
107.  
108. Htscan uses  its own hardcoded    signatures to  detect compressed executables,
109. but you'll notice more of them will be detected when Htscan uses comprsca.dat
110.  
111. As a sidenote, at detection time the signatures triggered by comprsca.dat can
112. be recognized as being    in all    UPPERCASE, as htscan  internal signatures are
113. only partly Uppercase.
114.  
115. For further information read your scanner docfiles thoroughly.
116.  
117.  
118. To decompress compressed files, you need at least the following programs:
119.  
120.  - Pklite     
121.  - Diet
122.  - Upackexe
123.  - Unlzexe
124.  
125. Read the docfiles thoroughly  or use the online help.  You can also use other
126. unpack    utilities.  If    you  cannot  decompress  a  file  there  are  several
127. possibilities.
128.  
129. 1 It was modified after compression by the author of the program.
130. 2 The commercial version of pklite has been used with the E switch.
131. 3 The above has been done with criminal intentions to spread a virus.
132. 4 Your unpack utility is out of date. Unpack programs are not always upwards
133.   compatible.
134. 5 It's a false positive (not likely).
135.  
136.  
137. 6. Hint for Sysops
138. ─────────────────
139.  
140. Htscan is an extremely    useful tool for system operators. Used in a batchfile
141. it exits  with a specific  errorlevel, if a virus, compressed  executable  or 
142. changed header etc.  has been found.  Now you are able to take an appropriate 
143. action.  This is perfect in automated scanning procedures. 
144.  
145. Extensive information is available in Htscan.doc.
146.  
147.  
148. 7. What's new!!
149. ──────────────
150. comprsca.dat Revision 921101
151.  
152. 1) Improved Pklite detection, added new sig.4 (again)
153.  
154.  
155. 8. Disclaimer
156. ────────────
157.  
158. The sigs are released by Jan Terpstra with his Virscan.dat (VsigYyMm.Zip)
159. They are made by Edwin Cleton  (2:512/1007.2@fidonet)
160. This info has been written by Dean Bührmann  (2:500/45.10450@fidonet)
161.  
162. These sigs are    thoroughly tested with Htscan and the persons mentioned above
163. cannot be held liable for any special, incidental, consequential, indirect or
164. similar damages  caused by  false positives  or by not detecting a compressed
165. file. We appreciate any remarks. If you find a compressor which is not detec-
166. ted by these sigs. Contact us by netmail please. (Zone 2)
167.  
168. Edwin Cleton, 512/1007.2   EXACT-TBBS,    31-15-610079,9600,MO,HST,CM,XA
169. Dean Bührmann 500/45.10450 Kennemerland,31-23-316333,9600,V22,V32B,V42B,CM,XA
170.  
171. My personal  view  is that  the authors  of EFC's  should prevent  that their
172. programs are used this way. If a modification has been made after compressing
173. the file  it should be    noticed  by the program (selfcheck).  If you're  in a
174. position to inform the authors, please don't hesitate (DB).
175.  
176.         ┌───────────────────────────────────────────────────┐
177.         │ "Mate(s) it simply makes sense, make a backup..." │▐
178.         └───────────────────────────────────────────────────┘▐
179.           ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
180.  
181.