home *** CD-ROM | disk | FTP | other *** search
/ Cream of the Crop 20 / Cream of the Crop 20 (Terry Blount) (1996).iso / virus / 06nav96.zip / 06NAV96.EXE / VIRSPEC.TXT < prev    next >
Text File  |  1996-06-01  |  7KB  |  140 lines
  1. ==========================================================================
  2. VIRSPEC.TXT - Special Information Regarding Unique Computer Viruses
  3. Symantec AntiVirus Research Center
  4. June 1, 1996
  5. ==========================================================================
  6.  
  7. **************************************************************************
  8. *                IMPORTANT NOTICE - Norton AntiVirus v3.0                *
  9. *                                                                        *
  10. * If your version of Norton AntiVirus 3.0 for Windows for DOS (NAV.EXE,  *
  11. * NAVW.EXE) is dated before December 1, 1995, you will need to update it *
  12. * using the NAV Macro Engine Update in order to protect against Word     *
  13. * Macro Viruses. If you have not updated your version, download the NAV  *
  14. * Macro Engine Update from the Symantec BBS, Symantec's FTP and Web site,*
  15. * CompuServe, America Online, or Microsoft Network. The file is called   *
  16. * UPDATEME.EXE and is located where the monthly update files are         *
  17. * normally found. Alternately, you may call Customer Service at (800)    *
  18. * 441-7234 to order a disk set.                                          *
  19. **************************************************************************
  20.  
  21.  
  22.  
  23. ====================
  24. MS Word Macro Family
  25. ====================
  26.  
  27. The Word Macro family of viruses uses the WordBasic macro language to
  28. infect and, in some cases, implant binary viruses into host programs.
  29. Currently, there are several known Macro viruses, the Concept macro
  30. virus being the most widespread.  These macros reside within Word
  31. document templates and the documents themselves. Most notably, this
  32. family of viruses is platform independant - they will infect documents
  33. and templates on DOS, Windows, Mac and Windows NT operating systems.
  34.  
  35. In order for NAV to detect these viruses, you must ensure that your
  36. scanning options include .DOC and .DOT extensions.  For more information
  37. on setting this option, see Chapter 8 "Customizing Virus Checking" of
  38. your User's Guide. With that in place, scan your system as usual.
  39.  
  40.  
  41. ========================
  42. Disappearing Hard Drives
  43. ========================
  44. There are several viruses that appear to cause the hard drive to 
  45. "disappear" when booting from a clean floppy disk. This occurs when the 
  46. virus encrypts or moves the partition table (a vital part of the system 
  47. area). Everything appears to be fine as long as the virus is in memory 
  48. because the virus tells DOS where the partition table is, or acts as the 
  49. partition table itself. When you boot clean, DOS can't find the partition 
  50. table as the virus isn't around to give it directions. As a result, you 
  51. might receive an "Invalid drive specification" or similar error when
  52. trying to access the drive.
  53.  
  54. When you boot clean to have NAV repair such an infection, the hard drive 
  55. will not appear in the drive list. Not to worry! NAV, with the default 
  56. options enabled, will bypass DOS and look directly at the hard drive and 
  57. check the system area for infection no matter what you scan. In effect, 
  58. scanning your floppy will scan memory, the floppy AND the system area of 
  59. the hard drive. If an infection is discovered, you will be alerted 
  60. appropriately.
  61.  
  62. NOTE: If you have an IDE hard drive that is larger than 1024 cylinders,
  63. you may need to include additional files on your rescue disk in order to
  64. correctly repair it.  Make sure that any overlay files or drivers for
  65. your hard drive that are part of your normal system configuration are
  66. included on your rescue disk.
  67.  
  68. Examples of viruses that work in this manner are Crazy Boot, Frankenstein,
  69. Neuroquila and Stoned.Empire.Monkey.
  70.  
  71.  
  72. ==========
  73. Crazy Boot
  74. ==========
  75. The Crazy Boot virus is a MBR infector that behaves much like the
  76. Stoned.Empire.Monkey virus.  Due to the nature of this virus, once you 
  77. have started your computer from an uninfected diskette, you will no 
  78. longer see your fixed disk. Booting with the virus in memory will allow 
  79. you to see and access your hard disk, but Crazy Boot will continue to 
  80. spread at every opportunity.
  81.  
  82. If Norton AntiVirus finds the Crazy Boot virus on your computer, please 
  83. contact Technical Support department for instructions on how to remove the
  84. virus.  Please do not attempt to repair the virus without talking to 
  85. Technical Support first.
  86.  
  87. **************************************************************************
  88. WARNING: Because of the unusual behavior of this virus, DO NOT reinoculate 
  89. the master boot record or use inoculation technology to repair the virus 
  90. and DO NOT attempt to repair your hard disk using Norton Disk Doctor or 
  91. any other disk repair utility.
  92. **************************************************************************
  93.  
  94.  
  95. ==========
  96. Neuroquila
  97. ==========
  98. Neuroquila is a multipartite virus that behaves in some ways like the 
  99. Stoned.Empire.Monkey virus or Crazy Boot. In addition to infecting files,
  100. it will infect and encrypt both the master boot record and boot sector. 
  101. Due to this encryption, once you have started your computer from an 
  102. uninfected diskette, you will no longer see your fixed disk. Booting with 
  103. the virus in memory will allow you to see and access your hard disk, but 
  104. Neuroquila will continue to spread at every opportunity.
  105.  
  106. If Norton AntiVirus detects the Neuroquila virus on your computer, please
  107. contact Technical Support department for instructions on how to remove
  108. the virus. Please do not attempt to repair the virus without talking to
  109. Technical Support first.
  110.  
  111. **************************************************************************
  112. WARNING: Because of the unusual behavior of this virus, DO NOT reinoculate 
  113. the master boot record or use inoculation technology to repair the virus 
  114. and DO NOT attempt to repair your hard disk using Norton Disk Doctor or 
  115. any other disk repair utility.
  116. **************************************************************************
  117.  
  118.  
  119. ==============
  120. One Half Virus
  121. ==============
  122. The One Half virus is a multipartite virus that exhibits both stealth and
  123. polymorphic behavior.  In addition to infecting files and master boot 
  124. records, the One Half virus will encrypt data on your hard disk. 
  125.  
  126. Starting November 1, 1994 the virus definitions file includes a definition
  127. for detecting this virus.
  128.  
  129. If Norton AntiVirus finds the One Half virus on your computer, please 
  130. contact Technical Support department for instructions on how to remove the 
  131. virus. Please do not attempt to repair the virus without talking to 
  132. Technical Support first.
  133.  
  134. **************************************************************************
  135. WARNING: Because of the unusual behavior of this virus, DO NOT reinoculate 
  136. the master boot record or use inoculation technology to repair the virus 
  137. and DO NOT attempt to repair your hard disk using Norton Disk Doctor or 
  138. any other disk repair utility.
  139. **************************************************************************
  140.