home *** CD-ROM | disk | FTP | other *** search
/ Magnum One / Magnum One (Mid-American Digital) (Disc Manufacturing).iso / d1 / cleanp62.arc / CLEAN62.DOC < prev    next >
Text File  |  1990-04-25  |  17KB  |  351 lines
  1.             CLEAN-UP VIRUS REMOVER   Version 3.1 V62
  2.                             Copyright 1989, 1990 McAfee Associates
  3.  
  4.                                             4423 Cheeney Street
  5.                                             Santa Clara, CA 95054
  6.                                             408 988 3832 (voice)
  7.                                             408 988 4004 (BBS)
  8.  
  9.  
  10. Executable Program (CLEAN.EXE):
  11.     CLEAN contains a self test at load time.  If CLEAN has been
  12. modified in any way, a warning will be displayed.  The program will
  13. still continue to repair and clean infected programs, however.  In
  14. addition, versions 55 and above are packaged with a VALIDATE
  15. program that will authenticate the integrity of CLEAN.EXE.  Refer
  16. to the VALIDATE.DOC instructions for the use of the validation
  17. program.
  18.     The validation results for V62 should be:
  19.                 SIZE: 54,959
  20.                 DATE: 4-24-1990
  21.     FILE AUTHENTICATION:
  22.         Check Method 1 - 79CC
  23.         Check Method 2 - 1CFC
  24.  
  25.     You may also call the McAfee Associates bulletin board at 408
  26. 988 4004 to obtain on-line SCAN.EXE verification data.  The
  27. VALIDATE program distributed with CLEAN may be used to authenticate
  28. all future versions of CLEAN.
  29.  
  30. Notes on Version 62:
  31.     Version 62 identifies and removes four new viruses.  The first
  32. is a COM and EXE infector called the Eight Tunes virus (also called
  33. the 1971 virus).  This virus is memory resident and randomly plays
  34. one of eight German folk songs on the system speaker.  It appears
  35. to have no destructive code within it.  The virus adds
  36. approximately 1975 bytes to infected files.  A second musical that
  37. appeared in the past two weeks is the Yankee Doodle-2 virus.  This
  38. virus is similar to the first Yankee Doodle, except that it plays
  39. the Yankee Doodle tune as soon as an infected program is executed. 
  40. It infects EXE files only.
  41.     The third virus reported is a small non-memory resident COM
  42. infector called the Kennedy virus.  It appears to have no
  43. destructive or disruptive code but it does contain a reference to
  44. the Kennedy family inside the virus code.  The fourth virus is a
  45. destructive virus called the June 16th virus.  It is a non-resident
  46. virus that infects COM files, including the Command Interpreter
  47. (COMMAND.COM).  On every June 16th, the virus activates and
  48. replaces all FAT entries with the word "ZAPPED".
  49.  
  50. OVERVIEW:
  51.  
  52.     CLEAN-UP kills and removes computer viruses, and in most
  53. instances it repairs infected files, re-constructs damaged programs
  54. and returns the system to normal operation.  CLEAN-UP works for all
  55. viruses identified by the current version of McAfee Associates'
  56. SCAN.
  57.     CLEAN-UP searches the entire system looking for the virus that
  58. you wish to remove.  When found, the infected file is identified,
  59. the virus is isolated and removed, and for the more common viruses,
  60. the infected file is repaired.  If the file is infected with a less
  61. common virus that cannot be separated from the file, the infected
  62. file is wiped from the disk and deleted from the system.  A warning
  63. message is displayed by CLEAN-UP before erasing any files, and you
  64. have the option of overriding the erase function.  
  65.     The common viruses that CLEAN-UP is able to remove
  66. successfully and repair and restore the damaged programs are:  
  67.  
  68. Jerusalem B     Alabama      Jerusalem A     Ping Pong  
  69. Jerusalem E     Stoned       Dark Avenger    Pakistani Brain 
  70. Suriv03         Payday       Alameda         1701
  71. 1704            Disk Killer  Ping Pong-B     Ashar
  72. Sunday          1260         4096
  73.  
  74.     These viruses account for the overwhelming majority of
  75. infection occurrences.  All other known viruses will be identified
  76. and isolated by CLEAN-UP and the infected files' area of disk will
  77. be wiped clean and the files will be removed from the system. 
  78.  
  79.                 ******   I M P O R T A N T   ******
  80.  
  81.     *    Note: EXE viruses cannot be successfully removed
  82.           from all infected .EXE files in 100% of the cases.  A
  83.           few EXE programs will be damaged beyond repair by the
  84.           infection and they will have to be deleted.  In all
  85.           cases, however, the virus in the file will be killed and
  86.           rendered harmless by CLEAN-UP.  Additionally, removing
  87.           the Stoned virus can cause loss of the partition table 
  88.           in systems with non-standard disk controllers or systems
  89.           that use special purpose device drivers for disk access.
  90.           If you are removing the Stoned virus, as a precaution 
  91.           back-up all critical data before running Clean-up.  Loss
  92.           of the partition table will cause -- LOSS OF ALL DATA
  93.           ON THE DISK. 
  94.     
  95.  
  96.      ******* FOLLOW THE REMOVAL INSTRUCTIONS CLOSELY *******
  97.  
  98. * POWER DOWN AND RE-BOOT FROM A CLEAN DISKETTE BEFORE BEGINNING *
  99.  
  100. RUNNING CLEAN-UP:
  101.     Before running CLEAN-UP, verify the suspected virus infection
  102. by running VIRUSCAN (SCAN.EXE) Version 55 or greater.  SCAN will
  103. identify the virus strain and sub-strain and will display the I.D.
  104. to be used as input to the CLEAN-UP program.  CLEAN-UP uses this
  105. I.D. to determine which virus to seek out and remove.  The I.D. for
  106. each virus is displayed inside a set of brackets - [ ].  For
  107. example, the I.D. for the Disk Killer virus will be displayed by
  108. SCAN as [Killer].  This identical identifier must be used in the
  109. command line of CLEAN-UP in order to remove the Disk Killer
  110. virus.
  111.         
  112. ***  Important:  Before you begin the disinfection process, you
  113. MUST power down the infected computer and then re-boot the computer
  114. from a clean, write-protected system diskette.  This step is very
  115. important.  It will remove the virus from control in memory and
  116. prevent the virus from continuing to infect during the clean-up
  117. process.  After Re-booting from the clean diskette, run SCAN on the
  118. diskette to verify that it is indeed not infected.
  119.  
  120.     To run CLEAN-UP type:
  121.  
  122.     CLEAN    d1: d2: ... dn: [virusname] /a /many 
  123.  
  124.             where:
  125.  
  126.        dn: - Drive designators for drives to be cleaned.
  127.               (up to 10 drives may be cleaned with one command)
  128.  
  129. [virusname] - The virus I.D. (brackets must be included)
  130.  
  131.          /a - Option to check all files
  132.  
  133.       /many - Option to allow cleaning multiple floppies
  134.  
  135.  
  136.       Examples:
  137.  
  138.      CLEAN   C: D: [Jeru]       will clean Jerusalem from C and D
  139.                                 drives
  140.  
  141.      CLEAN   C:\TEMP [Dav] /a   Will clean Dark avenger from
  142.                                 C:\TEMP and will search all file
  143.                                 extensions for the virus
  144.  
  145.  
  146.     CLEAN-UP will display the name of each infected file as it is
  147. found.  When the virus has been removed from each file, a
  148. "successful" message will be displayed.  
  149.  
  150.  
  151.       NOTE:    If a file has been infected multiple times by a
  152.                virus, clean will display the name of the file and
  153.                the "successful" message for each infection
  154.                occurrence.  Thus, multiple lines will be displayed
  155.                for each file infected more than once.
  156.  
  157.  
  158.     After running CLEAN-UP, run SCAN again, this time with the /a
  159. option, to ensure that all remnants of the virus have been removed.
  160.     After cleaning the fixed disk drives, SCAN all floppies and
  161. if any infections are found, remove them with CLEAN-UP.
  162.  
  163.     The clean-up I.D.'s for each of the known viruses are listed
  164. in brackets below:
  165.  
  166. Oropax [Oro]                    Pakistani Brain [Brain]
  167. 4096 [4096]                     Chaos [Chaos]
  168. AIDS Trojan [AIDS]              Virus-90 [90]
  169. Amstrad [Amst]                  Devil's Dance [Dance]
  170. Holland Girl [Holland]          Datacrime II-B [Crime-2B]
  171. Do-Nothing virus [Nothing]      Sunday virus [Sunday]
  172. Lisbon virus [Lisb]             Typo COM virus [Typo]
  173. DBASE virus [Dbase]             Ghost / Ghostball Boot  
  174. Ghost COM Version [Ghost-C]     New Jerusalem [Jeru]
  175. Alabama [Alabama]               Yankee Doodle [Doodle]
  176. 2930 [2930]                     Ashar [Brain]
  177. AIDS / Taunt [Taunt]            Disk Killer / Ogre [Killer]
  178. 1536 / Zero Bug [Zero]          MIX1 [Mix1]
  179. Dark Avenger [Dav]              3551 / Syslock [Syslock]
  180. Vacsina [Vacs]                  Ohio 
  181. Typo                            Swap / Israeli Boot
  182. Datacrime II [Crime-2]          Icelandic-II / System [Ice-2] 
  183. Pentagon                        3066 / Traceback [3066]
  184. Datacrime-B [Crime-B]           Icelandic [Ice]
  185. Saratoga [Toga]                 405 [405]
  186. 1704 Format [170X]              Fu Manchu / 2086 [Fu]
  187. 1280 / Datacrime [Crime]        1701 / Cascade [170X]
  188. 1704 / Cascade-B [170X]         Stoned / Marijuana [Stoned]
  189. 1704 / Cascade [170X]           Ping Pong-B / Cascade Boot [Ping]
  190. Den Zuk                         Ping Pong / Bouncing Dot [Ping]
  191. Vienna-B [Vienna-B]             Lehigh [Lehigh]
  192. Vienna / DOS-62 [Vienna]        Jerusalem-B [Jeru]
  193. Yale / Alameda [Alameda]        Friday 13th COM virus [13]
  194. Jerusalem-A / 1813 [Jeru]       Suriv03 / Jerusalem-E [Jeru]
  195. Suriv02 [jeru-D]                Suriv01 [April]
  196. Taiwan [Taiwan]              Halloechen [Hal]
  197. Perfume [Fume]                  Joker [Joke]
  198. Icelandic-3 [Ice-3]             1260 [1260]
  199. Virus-101 [101]                 V2000 [2000]
  200. Saturday 14th [Sat14]           1720 [1720]
  201. 1210 [1210]                     Christmas Tree [XA1]
  202. 1392 [1392]                     Korea [Korea]
  203. 2000-B [Solano]                 Kennedy [Kennedy]
  204. Yankee-2 [Doodle2]              Eight Tunes [1971]
  205. June 16th [June16]
  206.    
  207.  
  208. REGISTRATION:
  209.     CLEAN-UP is a required registration shareware product.  It may
  210. be use in a home environment for a registration fee of $35.  Please
  211. use the enclosed REGISTER.DOC file for registration information. 
  212. For corporate, organizational or agency use, however, a corporate
  213. site license is required.  For site license information please
  214. contact:
  215.  
  216.             McAfee Associates
  217.             4423 Cheeney Street
  218.             Santa Clara, CA 95054
  219.             408 988 3832 (voice)
  220.             408 988 4004 (BBS)
  221.             408 970 9727 (Fax)
  222.  
  223.  
  224.  
  225.                          Version Notes
  226.  
  227. Version 61:
  228.     Version 61 is able to detect five new viruses reported since
  229. March 1, 1990.  The first virus was submitted by Dave Chess of IBM.
  230. It is a destructive COM and EXE infector called the Saturday the
  231. 14th virus.  The virus activates every Saturday that falls on the
  232. 14th of any month and causes the first 100 sectors of the A, B, and
  233. C drives to be overwritten.  The net result is loss of all of the
  234. control information for the media assigned to those drives.  The
  235. Partition table, Boot Sector and FAT will be destroyed.  The virus
  236. is 685 bytes long and is memory resident.
  237.     The second new virus is the 1392 virus which was also
  238. submitted by Dave Chess of IBM.  The virus does little damage,
  239. other than corruption of the infected programs, but it does display
  240. the following message:  "SMA KHETAPUNK - Nouvel Band A.M.O.E.B.A." 
  241. No idea what this means.  The virus changes the date of infected
  242. files to the date of infection; it is memory resident; it infects
  243. both COM and EXE files, including COMMAND.COM and is 1392 bytes
  244. long.
  245.     The third new virus is the XA1, or Christmas Tree virus.  It
  246. was submitted by Christoff Fischer of West Germany.  It is an
  247. encrypted virus that only infects COM files.  It activates on April
  248. the 1st and destroys the partition table of the hard disk.  From
  249. December 24th till January 1st it will draw a full screen picture
  250. of a christmas tree when an infected program is executed.  It is
  251. not memory resident.
  252.     The fourth and fifth new viruses were discovered in Spain and
  253. are called the 1720 and 1210 viruses.  The 1720 infects both COM
  254. and EXE files, while the 1210 only infects EXE files.  Little is
  255. know of these viruses at this point other than that the 1720
  256. appears to be destructive.  The viruses were named after their
  257. respective lengths.
  258.     In addition to the above new viruses, version 61 fixes a bug
  259. which caused it to mis-identify the Korea Virus.
  260.  
  261. Version 60:
  262.     Version 60 identifies four new viruses that have been reported
  263. from widely dispersed parts of the world.  The first virus, the
  264. Solano 2000, or Dyslexia virus, was widely and suddenly reported
  265. in Solano County California in late February and Early March 1990. 
  266. The first person to isolate and submit the virus was Edward
  267. Winters.  The virus is 2000 bytes long, but bears no resemblance
  268. to the V2000 virus from Bulgaria.  The virus infects only COM
  269. files, is memory resident, and infects each file as it is executed.
  270. The virus randomly reverses contiguous numeric data in the video
  271. buffer.  No other damage has been observed.
  272.     The second virus, ItaVir, was submitted by Andrea Salvia and
  273. Emilio Caravaglia of Milan Polytechnic in Milan, Italy.  The virus
  274. is 3,880 bytes long, infects only EXE files and is not memory
  275. resident.  The virus is activated based on the amount of time it
  276. has been in the system (apparently a random time greater than 24
  277. hours) and when activated, it sequentially writes all values
  278. (between 0 and 255) to all I/O ports in the system.  The result is
  279. a dramatic confusion of all peripherals.  The video monitor will
  280. flicker and if the monitor is VGA, will also hiss.  The boot sector
  281. is also wiped out and the system will be non-bootable on power-up.
  282.     The third virus, Vcomm, was submitted by Yuval Tal from
  283. Rehovot, Israel.  It is a non-memory resident EXE infector and is
  284. 1074 bytes long.  After the virus is first executed, it infects one
  285. other EXE file and then modifies the in-memory Command Interpreter
  286. so that the DOS COPY command no longer works.  No other disruptions
  287. have been reported from this virus.
  288.     The fourth virus is a boot sector infector submitted from
  289. Korea.  Limited analysis has been done so far on this virus other
  290. than developing an identifier.  The virus has been named the Korea
  291. Virus.
  292.  
  293. Version 59:
  294.         Version 59 now removes a number of new variations of the
  295. Vienna, Yankee Doodle and Vacsina.  These variations were submitted
  296. by researchers in Eastern Europe.  The variations of the Yankee
  297. Doodle and Vacsina appear to be earlier trial versions of these
  298. viruses.  They don't appear to be harmful, other than corrupting
  299. the programs that are infected and there have been no reported
  300. incidents of infection in the U.S. or Western Europe.  The
  301. variations of Vienna are likewise apparently harmless.  
  302.     A completely new virus has also been added to the scan
  303. list.  Called the V2000 virus, it works as follows:
  304.     It installs resident in memory and then searches for and
  305. infects the Command Interpreter (COMMAND.COM).  It will then infect
  306. any COM or EXE file whenever the file is opened.  Thus, the
  307. executable files are infected whenever they are executed, copied
  308. or manipulated in any way.  The virus hides the length increase of
  309. infected files, much like the 4096, so the user will not see the
  310. increased file lengths in the listing displayed by the DIR command.
  311.     The virus is very virulent and has caused system crashes and
  312. lost data, as well as causing some systems to become non-bootable
  313. after infection.        
  314.     The 4096 virus has been added to the list of viruses that can
  315. be removed without erasing the infected program.
  316.  
  317. Version 57:
  318.     CLEAN57 has been substantially modified to allow removal of
  319. viruses that use variable encryption techniques. Two such viruses
  320. surfaced for the first time in January.  These viruses cannot be
  321. accurately identified and removed with simple I.D. strings.  The
  322. changes to SCAN now allow these two viruses to be positively
  323. identified, and identification and removal of future viruses that
  324. use similar techniques has been simplified.
  325.     Both of these encrypted viruses were written as "experimental"
  326. viruses.  One surfaced on a number of bulletin boards in Minnesota
  327. under the name of COM_AIDS.ZIP.  I have named it the 1260 virus,
  328. although it is based in part on the original Vienna virus.  The
  329. other was written by Patrick Toulme in Washington D.C. (author of
  330. Virus-90).  He has called the new virus Virus-101.  Neither of
  331. these viruses was designed to be destructive - they just attach
  332. themselves to other programs.  However, there is no such thing as
  333. a "harmless" virus.  All viruses corrupt the code of the host
  334. programs, and none enter your system under invitation.  And none
  335. have yet successfully been contained.  Even the most well designed
  336. and coded "harmless" virus will cause problems in some mix of
  337. hardware/BIOS/DOS-Version/Memory-resident-programs etc.  The
  338. Pakistani Brain is a prime example of this.  For this reason we
  339. oppose the public distribution of any kind of virus.  Once
  340. released, they cannot be controlled.  In addition, many lazier
  341. hackers can easily modify "harmless" viruses to become destructive,
  342. and many instances of such modification exist.  Thus, V57 of CLEAN
  343. removes both of these viruses.
  344.     In addition to the above two viruses, V57 removes the Joker
  345. and Perfume viruses from Poland, the Icelandic-3 found by
  346. Fridrik Skulason in Iceland and the Halloechen virus reported by
  347. Christoff Fischer at the University of Karlsruhe in West Germany. 
  348. These are detailed in VIRLIST.TXT.  
  349.     The 1260 Virus has been added to the list of viruses that can
  350. be removed without erasing the infected program.
  351.