home *** CD-ROM | disk | FTP | other *** search
/ Magnum One / Magnum One (Mid-American Digital) (Disc Manufacturing).iso / d23 / fprot201.arc / ANALYSE.DOC next >
Text File  |  1992-01-13  |  3KB  |  80 lines
  1.                               Analyse 
  2.  
  3. Signature-based virus scanning is not the ultimate solution to the virus
  4. problem. If using an up-to-date scanner (or better yet, two scanners from
  5. different companies), one can be fairly certain that all known viruses
  6. will be detected.  The scanners may or may not detect new variants which
  7. have been created by modifying older viruses, but if a new virus is
  8. written entirely from scratch, it will probably not be detected by any
  9. existing virus signature.
  10.  
  11. The virus may be detected by a generic monitoring program when it
  12. activates - perhaps when trying to perform some suspicious action, such as
  13. reformatting the hard disk.  Nevertheless, it is preferable to try to
  14. detect the presence of the virus without actually running a virus-infected
  15. program.
  16.  
  17. The 'Analyse' option is still only in an experimental stage, but as the
  18. name implies it attempts to analyse programs, and reports any suspicious
  19. code which is found.  This is not flawless - some viruses cannot yet
  20. be detected in this way, and an occasional false alarm can be expected.
  21.  
  22. The 'Analyse' part of the program is still under development, but currently
  23. it appears to be able to detect the majority of viruses, while the number
  24. of false alarms is around 1%.
  25.  
  26. Several different messages may be produced when suspicious code is found
  27. in a program, some of which are nearly certain to indicate a virus
  28. infection, such as the following three messages:
  29.  
  30.     This program contains several features which
  31.     are normally only found in virus programs.
  32.     It is almost certainly virus-infected.
  33.  
  34.     This program contains a virus which stays resident
  35.     in memory when an infected program is run.
  36.  
  37.     This program contains a primitive virus,
  38.     which is located at the beginning of the file.
  39.  
  40. Other messages might indicate a virus infection, but occasionally they are
  41. just false alarms. The less serious messages include:
  42.  
  43.     This program moves itself to a different area
  44.     of memory using a method which is normally
  45.     only used by viruses.
  46.  
  47.     This is a self-modifying program, which may
  48.     indicate a self-encrypting virus or just
  49.     unusual code.
  50.  
  51. Finally there are a few messages which do not indicate a virus infection,
  52. only that something unusual has been found, such as:
  53.  
  54.     This file is packed using PKLITE, LZEXE or
  55.     a similar program.  It may have been infected
  56.     before it was packed, but this program is not
  57.     yet able to determine if this is the case.
  58.  
  59.     Some code has been added to the end of this
  60.     file, but it does not appear to be a virus.
  61.  
  62. On a colour display those messages will appear on a gray background, not
  63. red like the more serious ones.
  64.  
  65. As the 'Analysis' option is still under development, a false positive
  66. might be expected occasionally, and all reports of this would be
  67. appreciated.
  68.  
  69. Currently the following programs are known to cause a false positive:
  70.  
  71. KERNEL.EXE   (from Windows 3.0)
  72. WORD.COM     (Microsoft Word)
  73. STUFFIT.COM
  74. PUTAV.EXE
  75. EMSTEST.COM
  76. LHA211.EXE
  77. IBMBIO.COM
  78. WSSM513.EXE
  79.  
  80.