home *** CD-ROM | disk | FTP | other *** search
/ Tech Arsenal 1 / Tech Arsenal (Arsenal Computer).ISO / tek-12 / virsim20.com / VIRSIM.DOC < prev   
Encoding:
Text File  |  1991-08-03  |  16.5 KB  |  286 lines
  1.      --------------------------------------------------------------------
  2.          Virus Simulator - Safe & Sterile Virus Protection Validation.
  3.      --------------------------------------------------------------------
  4.  
  5.  
  6.                                Virus Simulator        
  7.           Copyright Rosenthal Engineering 1991 all rights reserved.
  8.                  3737 Sequoia, San Luis Obispo, CA USA 93401
  9.  
  10.                                  Version 2.0
  11.  
  12.  
  13.    VIRSIM.COM  generates controlled programs infected with  the  signatures 
  14.    (only)  of  every known virus available.  Virus Simulator's  ability  to 
  15.    harmlessly  compile  and infect with safe viruses, is very valuable  for 
  16.    demonstrating  and evaluating anti-virus security measures without  harm 
  17.    or contamination of the system.  The infected programs  can  be  renamed 
  18.    and copied to other disks and directories as  bait  for  virus detecting 
  19.    programs. 
  20.  
  21.    Viruses  are  a  form  of  terrorism  and  require  many  of  the   same 
  22.    precautionary  measures.  Airports  test  the  effectiveness  of   their 
  23.    security  measures  in  much the same way. An official  disguised  as  a 
  24.    passenger will attempt to bring a disarmed bomb through, trying to evade 
  25.    security   measures  and  avoid  detection.  Real  viruses,  like   real 
  26.    terrorists,  are  much  more difficult to test with.  The  test  viruses 
  27.    generated by Virus Simulator are safe and sterile, but form a validation 
  28.    test suite that triggers vigilant virus detectors. 
  29.         
  30.    Because of the security nature of this program, you should not trust  it 
  31.    to  be  harmless unless you can directly trace its source  to  Rosenthal 
  32.    Engineering  without compromise.  Never make copies from anything  other 
  33.    than  the  original write protected distribution disk. Remove  all  test 
  34.    viruses  from your system immediately after completing tests.  Insist on 
  35.    having  Virus  Simulator generate your own unique simulation  files  and 
  36.    never  accept  or distribute the simulated viruses themselves.  This  is 
  37.    especially  important  if the simulations are to retain their  safe  and 
  38.    sterile integrity.
  39.  
  40.    Virus  Simulator  creates simulated test suites for  every  known  virus 
  41.    available  at  the  time of release.  Real viruses  are  most  often not 
  42.    created  from scratch, but by modifying existing viruses and  thus  pose 
  43.    additional  problems  for virus detecting programs.  To  further emulate 
  44.    real viruses that might actually be encountered, Virus Simulator creates 
  45.    a completely new modified simulated virus the same way.  No two files or 
  46.    disks  will be created identically.  New virus signatures  are regularly 
  47.    being added, so the latest version is sent by first class mail  directly 
  48.    for a single user license registration fee of $25. US 
  49.  
  50.    Businesses, corporations, government agencies and institutions   require 
  51.    a negotiated site license.
  52.    Virus Simulator prompts the user to generate any (or all) of three  test 
  53.    suite types: Files, boot sector, and memory.  
  54.         
  55.       1) Generate A:\VIRUS\VIR_#.COM & .EXE files.        (Erase to remove)
  56.       2) Overwrite A: boot with (new) simulated virus (Format A: to remove)
  57.       3) Install memory test simulated virus   (Power off system to remove)
  58.  
  59.    VIRSIM.COM  compiles simulated viruses directly.  VIRSIM.COM  itself  is
  60.    virus-free, and  when  scanned by virus detection  programs, must always 
  61.    be found free of infection.  Only the  simulated  viruses  should result
  62.    in any infection report.  Each time Virus Simulator is run, it generates
  63.    a completely new  and  unique  test  suite  of  simulated  viruses  with 
  64.    accompanying   documentation.  The   text   files   A:VIR_LIST.DOC   and 
  65.    A:VIR_BOOT.DOC are created at execution time and provide an audit  trail 
  66.    describing  each  unique  virus test  simulation  suite.  Executing  the 
  67.    generated  test  suite  programs is not required,  and  they  will  only 
  68.    display their Rosenthal Engineering origin.  The virus signature strings
  69.    contained within the individual test suite member programs are protected
  70.    from entering execution, but will be detected by a virus scanner. 
  71.  
  72.    Virus Simulator will only generate file and boot sector simulations on a 
  73.    formatted  disk in drive A:.  You must have an A: drive. Copy VIRSIM.COM 
  74.    to what ever drive you wish to run it from. Precautions have been  taken 
  75.    to  force  VIRSIM  to run only from the directory it appears  in  so  no 
  76.    paths, please.
  77.  
  78.    NOTE.     A:> VIRSIM  or C:> VIRSIM  (works ok)
  79.              
  80.              C:> A:VIRSIM or C:>\TEST\VIRSIM (won't work)
  81.  
  82.    Place  a  freshly formatted diskette in the  A:  drive.  This  diskette
  83.    will receive the generated  test virus simulation suite.  If you select 
  84.    the  "2) Overwrite A: boot sector"  option,  the  system  will  not  be 
  85.    bootable from this disk, but will  display  an "Infected with simulated  
  86.    boot sector virus" message if you attempt to boot from the diskette.
  87.    
  88.    If you select the "1) Generate A:\VIRUS\VIR_#.COM & .EXE files" option,
  89.    VIRSIM.COM  will  generate  a  subdirectory  on the diskette containing
  90.    a set of simulated virus-infected files which are named with sequential 
  91.    numbers as VIR_[#].COM or .EXE.  The A:\VIRUS\VIR_#.COM  or  .EXE files
  92.    can  be  renamed  and  copied to other disks (including hard disks) for 
  93.    testing,  but remember to erase all test viruses after  completing your 
  94.    tests. 
  95.  
  96.    If  the  "3) Install memory test virus" option is  selected,  a  warning 
  97.    message will appear in the upper right corner of the screen until  power 
  98.    for  the system is turned off. When power is restored, the  system  will 
  99.    return to normal, and the memory virus test suite will be removed.
  100.  
  101.    Run  VIRSIM and follow the prompts. Then, scan for viruses.  A note here 
  102.    about  false  alarms, especially when using disk cacheing.  Anytime  you 
  103.    read  or  write using a disk, the data is first buffered by  memory.  If 
  104.    you've  just written or read a test suite, your virus  scanning  program 
  105.    may  discover  it still in the disk buffer memory.  Just power down  the 
  106.    system and watch it go away. 
  107.  
  108.    These test suites are only safe and sterile simulations to evaluate your 
  109.    security  measures.  A  virus detecting program  is  validated  when  it 
  110.    detects  and  reports  the  presence  of  the  simulated viruses.  Virus 
  111.    detecting programs  that  fail to  find  these  simulations  may  indeed
  112.    discover  their  real  counterparts  and variations,   but  should  only
  113.    be  trusted  after  that   ability   is  demonstrated.    
  114.              -    -    -    -    -    -    -    -    -    -    -
  115.  
  116.                           History of Virus Simulator
  117.     
  118.    Virus simulator was first developed to support testing my System Monitor 
  119.    program. System Monitor is not a virus scanner or even a program devoted 
  120.    to  virus  protection.  It  installs in your IBM  PC/XT/AT  386  or  486 
  121.    Compatible  computer  to  test  and  extensively  monitor  a  number  of 
  122.    performance indicators.  Each time you use your computer, System Monitor 
  123.    re-evaluates  the  system and alerts you to any discrepancies  it  finds 
  124.    with an announcement that is hard to ignore.
  125.  
  126.    You  install  System  Monitor  as soon as  you're  confident  that  your 
  127.    computer  is  configured and operational. From then on,  System  Monitor 
  128.    will intervene immediately upon detecting problems, usually long  before 
  129.    a user even suspects any difficulty. This early monitoring and detection 
  130.    is  essential  in  avoiding  and correcting  problems  before  they  can 
  131.    compound and provides formidable anti-virus protection.
  132.  
  133.    Virus  Simulator can help determine which anti-virus programs  are  best 
  134.    for you. These programs then can be installed ahead of System Monitor so 
  135.    a virus that attempts to disable either of these programs will have  the 
  136.    very  Herculean  task of disabling or circumventing them  both  or  risk 
  137.    detection by the other. 
  138.  
  139.    The  first  version of Virus Simulator was only intended as  a  tool  to 
  140.    assist  volunteers who were beta testing System Monitor in a real  world 
  141.    environment.  Before beta testing, System Monitor had been tested  in  a 
  142.    controlled environment, using a considerable collection of real viruses. 
  143.    You  can imagine the enthusiasm my beta testers showed to  turning  real 
  144.    viruses loose on their systems. 
  145.  
  146.    During the beta testing of System Monitor, we discovered a real need for 
  147.    Virus Simulator beyond its' original intention. Some virus detectors not 
  148.    only  didn't  find  the simulated viruses... on closer inspection,  they 
  149.    didn't  find  the  real ones either.  We found  several  cases where  no 
  150.    security   procedures  were  being  adhered  to  and  even  though   the 
  151.    organization had acquired a site license for a very capable program, few 
  152.    users  had ever run it.  Additionally, a virus detecting program thought 
  153.    to be protecting a system used to duplicate distribution disks for other 
  154.    offices was  found to be an  obsolete version which missed nearly all of  
  155.    the current viruses.  No virus protection program will ever be effective 
  156.    without  the  cooperation of its users, and Virus Simulator  provides  a 
  157.    means to verify compliance with established security procedures.    
  158.  
  159.    The  current version Virus Simulator creates simulated test  suites  for 
  160.    every known virus available. 
  161.  
  162.              -    -    -    -    -    -    -    -    -    -    -
  163.  
  164.               Statistics, Probability and Making Sense of Tests
  165.  
  166.    Virus  Simulator makes an infinite number of simulated test  viruses  by 
  167.    varying  each one in a different way.  This is much the same way  a real 
  168.    virus  might  be discovered in the world at large.  Even testing with  a 
  169.    program infected with a real virus can not assure every combination will 
  170.    be examined. Is it a .COM file, .EXE, system, compressed? Is it the same 
  171.    for  all programs or just large ones?  How about files created before or 
  172.    after a certain date or time. What about a virus that was modified, even 
  173.    trivially,  offset a few bytes, or changed from one message to  another. 
  174.    Or,  a virus that only attacks one vendor's brand of software.  The only 
  175.    way  to  test with any kind of absolute certainty would  be  to  perform 
  176.    tests  with  every combination and variation, and even  then,  hope  you 
  177.    didn't overlook any. 
  178.  
  179.    Now, try that with well into many hundreds of viruses and  combinations. 
  180.    It  becomes apparent that no matter how exhaustive the tests  are,  they 
  181.    are  just random, probabilistic distributions. The study of  probability 
  182.    assumes  that you know the entire population or universe from which  you 
  183.    are going to sample.  Statistics assumes that you have only a sample and 
  184.    that  you are trying to determine, or at least guess, the parameters  or 
  185.    characteristics  of the most likely population or source from which  the 
  186.    sample  was taken.  That's what Virus Simulator supplies, a large enough 
  187.    sample  population size to establish statistical significance with  some 
  188.    reliability.
  189.  
  190.    Allowing Virus simulator to fill a single 360 K disk should be more than 
  191.    adequate to support reliable testing.  Although a 1.2 M disk offers some 
  192.    improvement,  additional disks offer ever diminishing benefits,  as  the 
  193.    distribution  confidence  interval shows  an  insignificant  improvement 
  194.    beyond that point.  In other words, for files...One disk ought to do it.
  195.  
  196.    Testing using boot sector viruses is another matter because, unlike  the 
  197.    hundreds  of  files that can be created on a disk  by  Virus  Simulator, 
  198.    there  is  only one boot sector per disk. You can generate  a  simulated 
  199.    boot sector virus onto as many different disks as you like, or overwrite 
  200.    a single disk repeatedly.  A new simulation will be generated each time.
  201.  
  202.    Evaluating anti-virus measures with viruses active in memory should only 
  203.    be  demonstrated  with simulated viruses produced  by  Virus  Simulator, 
  204.    never real viruses.  You're fairly safe scanning a write protected  disk 
  205.    which  contains  a real  virus, providing you don't attempt to run it or 
  206.    boot from the disk.  However, a virus active in memory is another story.  
  207.    A  real  virus  active  in  memory  has taken over   control   of   your 
  208.    system.   Any   validation tests  you attempt  at this point   would  be 
  209.    suspect.  Virus  Simulator  provides  a safe way  to validate your anti-
  210.    virus  measures  against  viruses present  in  memory.
  211.    
  212.    You'll find that some scanners  stop  immediately  upon discovering  the 
  213.    first virus in memory,  while others continue to scan until  they   have  
  214.    reported  every virus they can find.  An argument can be made for either 
  215.    approach,  but the important thing is to show that the  scanner  reveals 
  216.    a virus in memory.
  217.  
  218.  
  219.    System  Administrators should design their own tests to see which  users 
  220.    are practicing safe computing and complying with established safeguards. 
  221.    The  amount of user cooperation required by anti-virus programs  varies. 
  222.    Some  users require more automatic and regimented procedures, and  Virus 
  223.    Simulator  provides  system  administrators  with  a  practical  way  to 
  224.    evaluate  the  overall effectiveness of their security  measures.  These 
  225.    simulated  test viruses are sterile; they won't reproduce and spread  by 
  226.    themselves, so they have to be planted (copied). Such an exercise can go 
  227.    a long  way toward raising the vigilance of complacent users, so  when a
  228.    real virus attacks, destructive damage is held to a minimum. 
  229.  
  230.              -    -    -    -    -    -    -    -    -    -    -
  231.                             Shareware Announcement
  232.  
  233.  
  234.    Please feel free to use and evaluate this software without charge for 10 
  235.    days.  You are encouraged to copy and distribute it freely, provided  it 
  236.    remains  unmodified,  complete in it's original form and no  fee  (other 
  237.    than  a nominal copy charge) is required. This software is provided  "as 
  238.    is" without warranty either expressed or implied.
  239.  
  240.    This software is fully functional and not copy protected or crippled. If 
  241.    you  determine it to be useful, you must register it before the  end  of 
  242.    the 10 day evaluation period. 
  243.  
  244.    Once  the required registration fee is received, the  latest  registered 
  245.    version will be sent directly by (US) priority first class mail.
  246.  
  247.           -    -    -    -    -    -    -    -    -    -    -    
  248.  
  249.                           Software License agreement
  250.  
  251.    This Software is copyrighted material. It is not sold, but licensed. The 
  252.    registration  fee must be paid before the free 10 day evaluation  period 
  253.    expires or use of the software discontinued.  
  254.  
  255.    You  are  encouraged  to  copy and  distribute  Virus  Simulator  freely 
  256.    provided  it remains unmodified, complete in it's original form  and  no 
  257.    fee  (other  than a nominal copy charge) is required. This  software  is 
  258.    provided "as is" without warranty either expressed or implied.
  259.  
  260.    You  may not make any changes or modifications to the software  and  you 
  261.    may  not  decompile,  disassemble  or in  anyway  reverse  engineer  the 
  262.    software. 
  263.  
  264.    This  constitutes  the entire agreement and  understanding  between  the 
  265.    parties  and  supersedes any prior agreement or  understanding,  whether 
  266.    oral or written and may only be modified in writing.
  267.  
  268.    This  software  is  provided "as is" without  warranties  of  any  kind. 
  269.    Responsibility rests entirely with the user to determine its fitness for 
  270.    a  particular  purpose. ROSENTHAL ENGINEERING SHALL NOT IN ANY  CASE  BE 
  271.    LIABLE FOR SPECIAL, INCIDENTAL, CONSEQUENTIAL, INDIRECT OR OTHER SIMILAR 
  272.    DAMAGES ARISING FROM ANY USE OF THIS SOFTWARE. Some states may not allow 
  273.    these  limits  on warranties, so they may not apply to you. In  no  case 
  274.    shall Rosenthal Engineering's liability exceed the license fees paid  by 
  275.    you to Rosenthal Engineering for the right to use the Licensed Software.
  276.  
  277.    The single users license is obtained by sending your check for $25  (US) 
  278.    to:
  279.  
  280.       Rosenthal Engineering, 3737 Sequoia, San Luis Obispo, CA 93401 USA
  281.  
  282.  
  283.    Businesses, corporations, government agencies and institutions require a 
  284.    negotiated site license.
  285.  
  286.