home *** CD-ROM | disk | FTP | other *** search
/ Tech Arsenal 1 / Tech Arsenal (Arsenal Computer).ISO / tek-12 / catchmte.zip / CATCHMTE.DOC < prev    next >
Text File  |  1992-07-02  |  7KB  |  142 lines
  1.                                  CatchMtE  1.0
  2.  
  3.                  Copyright (c) 1992 by VDS Advanced Research Group
  4.                              All Rights Reserved
  5.  
  6.            Use of this program for non-commercial purposes is free.
  7.            We do not sell it for profit, neither should anyone else.
  8.            You can distribute it to your friends or BBSes as long
  9.            as it is not modified and it includes this documentation.
  10.            If you cannot obtain it from BBSes or FTP sites, then you
  11.            can get it directly from us for a small fee of $10 US.
  12.            Even if CatchMtE helps only one user to detect an MtE-based
  13.            virus and saves him much agony, we consider our time spent
  14.            developing CatchMtE well worth it.
  15.  
  16.                                 DISCLAIMER
  17.  
  18.         The developers of CatchMtE make no warranty of any kind, either
  19.      express or implied, with respect to this software and accompanying
  20.      documentation. In no event shall the developers be liable for any
  21.      damages arising out of the use of or inability to use the included
  22.      programs. The entire risk as to the results and performance of this
  23.      software package is assumed by the customer. We specifically disclaim
  24.      any implied warranties of merchantability or fitness for any purpose.
  25.      Use at your own risk.
  26.         The developers of CatchMtE reserve the right to revise the software
  27.      and accompanying documentation and to make changes in the contents
  28.      without obligation to notify any person of such revision or changes.
  29. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
  30.  
  31.                    WARNING   WARNING   WARNING   WARNING
  32.  
  33.     YOU MUST BOOT FROM A CLEAN, WRITE-PROTECTED DOS DISKETTE BEFORE USING
  34.     CatchMtE TO SEARCH YOUR DISKS. THIS WILL ELIMINATE THE RISK OF HAVING
  35.     A MEMORY-RESIDENT VIRUS GAIN CONTROL OF THE CPU DURING OPERATION.
  36.     CatchMtE WILL REFUSE TO RUN IF IT DETECTS THAT THE PC WAS NOT BOOTED
  37.     FROM A FLOPPY DISKETTE TO ENFORCE THIS REQUIREMENT.
  38.  
  39. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
  40. Description:
  41.  
  42.    CatchMtE is designed to recognize viral code based on the so-called
  43. Mutation Engine. It uses sophisticated algorithms to make that determination.
  44. We have tested it on MS/PC DOS 3.3+ as well as Netware 386 based disks. On
  45. network drives, some files may not be opened and will generate an error
  46. message. The program uses handle-oriented DOS file access for compatibility.
  47.  
  48.    CatchMtE is NOT a pattern matcher; although it uses Boyer-Moore search
  49. algorithm and a few patterns to recognize the mutations that are in plaintext.
  50. This is necessary because MtE sometimes fails to encrypt code as expected.
  51. The following known viruses are recognized if they are in plaintext:
  52.  
  53.    Pogue
  54.    Dedicated/Fear
  55.    Groove
  56.  
  57. If none of the patterns extracted from these viruses are found, then two
  58. patterns extracted from MtE itself are searched for. This should detect
  59. new viruses using MtE for polymorphism in the cases when the decryptor
  60. has null effect.
  61.  
  62.    We have tested CatchMtE against thousands of Pogue and Dedicated/Fear
  63. mutations in our lab. It achieved 100% hit rate in all cases. If you find
  64. a mutation that it fails to recognize, please contact us so that we can
  65. determine the cause and make the necessary corrections to the program.
  66.  
  67.    CatchMtE is NOT a general virus scanner. It only looks for MtE-based
  68. viruses. If you would like to search your disks for other viruses as well,
  69. you should obtain a scanner such as F-PROT, SCAN, VIREX or VDSFSCAN, all
  70. of which are available via anonymous FTP at various sites. They can look
  71. for hundreds of other known viruses.
  72.  
  73. Requirements:
  74.  
  75.    IBM/PC compatible computer with DOS 3.0 or higher
  76.    128K of available memory
  77.    Booting from floppy diskette is also required
  78.  
  79. Limitations:
  80.  
  81.    Only the files with COM or EXE extension are checked. If the file
  82.    size is less than 1K, it will be skipped as well.
  83.    Subdirectories are scanned recursively. It does not check one single
  84.    file. To scan a drive, you must specify the root directory (e.g. C:\).
  85.  
  86. Usage:
  87.  
  88.    CATCHMTE.EXE  [-Mono] [-Pause] [-Ofname] [-Zfname]  Drive:\Subdirectory
  89.  
  90.    Example:
  91.       To search C: drive starting from root directory:
  92.  
  93.          CATCHMTE.EXE  -P -Oinfected.txt -Zpassed.txt  C:\
  94.  
  95.       To search another directory and all subdirectories:
  96.  
  97.          CATCHMTE.EXE  -p  C:\DOS
  98.  
  99.  -Mono option forces CatchMtE not to use color output to make it easier
  100.   to read on some screens, mostly laptops emulating VGA.
  101.  
  102.  -Pause option will allow you to see the list of infected files a screen
  103.   at a time; otherwise, they will scroll off the screen, so you should use
  104.   it unless you are testing the program against a zoo of mutations to verify
  105.   hit rate, as we did.
  106.  
  107.  -O option will write the names of the files that were found to have an
  108.   MtE-based virus to the specified file. Final statistics will also be
  109.   written to this file.
  110.  
  111.  -Z option will write the names of the files that were found NOT to have an
  112.   MtE-based virus to the specified file. This is good for zoo testing
  113.   since it will provide a list of mutations that were MISSED. If you are
  114.   not doing zoo testing, you do not need this option. If you find such a
  115.   mutation, please send us a copy of at least the decryptor portion if not
  116.   the complete sample for analysis.
  117.  
  118. Advice:
  119.  
  120.    You are strongly encouraged to consider integrity checkers as a first
  121. line of defense against virus attacks. There are some products in the market
  122. that concentrate on integrity checking. They can provide you with an early
  123. warning that can save you many man-hours of work. Once the spread of viruses
  124. is contained, they are not a significant threat.
  125.    Virus scanning software is useful in looking for known viruses. They are
  126. not meant to detect new viruses. With the escalating number of viruses and
  127. toolkits such as MtE, you are more likely to encounter new viruses that
  128. scanners cannot keep up with.
  129.    We have developed an anti-viral product (VDS, or Virus Detection System)
  130. that emphasizes integrity checking. A trial version of the package is
  131. available at anonymous FTP-sites and BBSes free of charge. To obtain a
  132. registered copy ($25 + SH for personal version), you can call us at
  133. (410) 247-7117 or write to us at:
  134.  
  135.                   VDS Advanced Research Group
  136.                      Attn: Tarkan Yetiser
  137.                        P.O. Box  9393
  138.                   Baltimore, MD 21228, U.S.A.
  139.                          (410) 247-7117
  140.  
  141.    We wish you a virus-free day of happy computing.
  142.