home *** CD-ROM | disk | FTP | other *** search
/ Magnum One / Magnum One (Mid-American Digital) (Disc Manufacturing).iso / d23 / fsp_17.arc / FSP.TXT < prev    next >
Text File  |  1989-08-29  |  103KB  |  2,585 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11.  
  12.  
  13.  
  14.  
  15.  
  16.  
  17.  
  18.  
  19.  
  20.  
  21.  
  22.  
  23.  
  24.  
  25.  
  26.  
  27.  
  28.                              FLU_SHOT+, Version 1.7
  29.  
  30.                             A Form of Protection from
  31.                             Viral and Trojan Programs
  32.  
  33.  
  34.                                        by
  35.                                 Ross M. Greenberg
  36.                                        and
  37.                             Software Concepts Design
  38.                                 594 Third Avenue
  39.                             New York, New York 10016
  40.                        BBS:(212)-889-6438 1200|2400|N/8/1
  41.  
  42.                 Member of the Association of Shareware Professionals
  43.  
  44.  
  45.  
  46.  
  47.               FLU_SHOT+ is a trademark of Software Concepts Design.
  48.               Copyright (C), 1988, 1989 by Software Concepts Design.
  49.                               All Rights Reserved.
  50.  
  51.  
  52.         Not for Commercial Distribution without written permission by the 
  53.         copyright holder. Noncommercial copying of this software and this 
  54.         documentation is encouraged.  Commercial Distribution is easily 
  55.         defined: if you distribute this software, or the enclosed 
  56.         documentation, for more than your cost of such distribution, then 
  57.         you're a Commercial Distributor and require our written 
  58.         permission.  Not-for-profit organizations and computer user 
  59.         groups, and their bulletin board systems (if any) are 
  60.         specifically *not* considered commercial distributors.
  61.  
  62.         By your using this software, you agree to the terms herein.  
  63.         Specifically, that you do not have the right to copy this 
  64.         software except as outlined above, and that you are granted a 
  65.         license to use this software only by registering this software as 
  66.         mentioned elsewhere in this document.
  67.  
  68.         You also agree, and signify that agreement by using this 
  69.         software, that Software Concepts Design and Ross M. Greenberg 
  70.         will not be held liable for any reason for any cost you may 
  71.         incur, or any potential income you might lose as a result of 
  72.         using this software.  Finally, this software is provided "AS IS", 
  73.         meaning that what you see is what you get.  If you use this 
  74.         software and a tree falls on your house, or your spouse leaves 
  75.         you for someone younger and more virile, please do not bother 
  76.         having your lawyer call -- it isn't the fault of the software, no 
  77.         matter what the lawyer tries to convince you!  Maybe lawyers 
  78.         should all work on a shareware basis: they only get paid if 
  79.         you're satisfied with their work?  One can dream....
  80.  
  81.         Software Concepts Design can be reached by the following means
  82.         *by*registered*users* of FLU_SHOT+:
  83.  
  84.              Telephone:  Monday-Friday, 9am - 5pm (EST):  212-889-6431
  85.              RamNet BBS: 212-889-6438
  86.              MCI:        'greenber'
  87.              BIX:        'greenber'
  88.              CompuServe:  [72461, 3212]
  89.              UseNet:      ...uunet!utoday!greenber, greenber@utoday.uunet
  90.  
  91.  
  92.  
  93.  
  94.         Table of Contents
  95.  
  96.         I.   Introduction
  97.              a.   What is a Trojan.....................................1
  98.              b.   What is a Virus......................................4
  99.              c.   The Challenge to the Worm............................6
  100.  
  101.         II.  About the FLUSHOT Series
  102.              a.   A Brief History......................................8
  103.              b.   FLU_SHOT+ Features and Enhancements..................9
  104.              c.   Registering FLU_SHOT+................................10
  105.              d.   Site Licensing of FLU_SHOT+..........................10
  106.  
  107.         III. Using FLU_SHOT+
  108.  
  109.              a.   Down and Dirty Installation: Step-By-Step............12
  110.              b.   The FLUSHOT.DAT file.................................14
  111.                   1.   Protecting files from Write Access..............15
  112.                   2.   Protecting files from Read Access...............15
  113.                   3.   Excluding files.................................15
  114.                   4.   Checksumming files..............................16
  115.                   5.   Registering a TSR program.......................17
  116.                   6.   Restricted Access...............................17
  117.                   7.   Protecting the FLUSHOT.DAT file.................18
  118.                   8.   Protection Recommendations......................18
  119.                   9.   Allowing "dangerous" programs to run............19
  120.                  10.   Protecting your Boot Track......................19
  121.  
  122.              c.   Running FLU_SHOT+....................................20
  123.                   1.   Checksumming the in-memory table................20
  124.                   2.   Intercepting Direct Disk Writes Through INT13...21
  125.                   3.   What about INT26................................21
  126.                   4.   Turning off the header message..................21
  127.                   5.   Disabling Triggering on Open With Write Access..21
  128.                   6.   Changing the Trigger Window Attributes..........21
  129.                   7.   Allowing trusted TSR's to work..................23
  130.                   8.   Disabling FLU_SHOT+.............................23
  131.                   9.   Disabling FLU_SHOT+ Toggle Display..............24
  132.                  10.   Forcing FLU_SHOT+ to only use the BIOS..........24
  133.                  10.   Defining the "Special" Keys.....................25
  134.                  11.   Putting FLU_SHOT+ to sleep when run.............25
  135.  
  136.         IV.  Interpreting a FLU_SHOT+ Trigger..........................26
  137.  
  138.         V.   How Good is FLUSHOT+, Really?.............................30
  139.  
  140.         VI.  Reward Offered............................................31
  141.  
  142.         VII. Appendices
  143.              Appendix A:  Common Questions and Their Answers...........33
  144.              Appendix B:  How Does A Virus Work?.......................38
  145.  
  146.  
  147.  
  148.                                   Introduction
  149.  
  150.         What is a Trojan?
  151.         =================
  152.  
  153.         Back in the good old days (before there were computers), there 
  154.         was this bunch of soldiers who had no chance of beating a 
  155.         superior force or of even making it into their fortress.  They 
  156.         had this nifty idea:  present the other side with a gift.  Once 
  157.         the gift had been accepted, soldiers hiding within the gift would 
  158.         sneak out and overtake the enemy from within.
  159.  
  160.         We can only think of the intellectual giants of the day who would 
  161.         accept a gift large enough to house enemy soldiers without 
  162.         checking its contents.  Obviously, they had little opportunity to 
  163.         watch old WWII movies to see the same device used over and over 
  164.         again.  They probably wouldn't have appreciated Hogan's Heroes 
  165.         anyway.  No color TV's -- or at least not ones with reliable 
  166.         reception.
  167.  
  168.         Consider the types of people who would be thrilled at the concept 
  169.         of owning their own rough hewn, large wooden horse!  Perhaps they 
  170.         wanted to be the first one on their block, or something silly 
  171.         like that.
  172.  
  173.         Anyway, you're all aware of the story of The Trojan Horse.
  174.  
  175.         Bringing ourselves a bit closer to the reality we've all grown to 
  176.         know and love, there's a modern day equivalent:  getting a gift 
  177.         from your BBS or user group which contains a little gem which 
  178.         will attack your hard disk, destroying whatever data it contains.
  179.  
  180.         In order to understand how a potentially useful program can cause 
  181.         such damage when corrupted by some misguided soul, it's useful to 
  182.         understand how your disk works, and how absurdly easy it is to 
  183.         cause damage to the data contained thereon.  So, a brief 
  184.         technical discussion of the operation of your disk is in order.  
  185.         For those who aren't concerned, turn the page or something.
  186.  
  187.         Data is preserved on a disk in a variety of different physical 
  188.         ways having to do with how the data is encoding in the actual 
  189.         recording of that data. The actual *structure* of that data, 
  190.         however, is the same between MS-DOS machines.  Other operating 
  191.         systems have a different structure, but that doesn't concern us 
  192.         now.
  193.  
  194.         Each disk has a number of "tracks". These are sometimes called 
  195.         cylinders from the old type IBMer's.  These are the same people 
  196.         who call hard disks DASDs (Direct Access Storage Devices), so we 
  197.         can safely ignore their techno-speak, and just call them tracks.  
  198.         Tracks can be thought of as the individual little grooves on an 
  199.         audio record, sort of.
  200.  
  201.         Anyway, each track is subdivided into a number of sectors.  Each 
  202.         track has the same number of sectors.  Tracks are numbered, as 
  203.  
  204.  
  205.                                         1
  206.  
  207.  
  208.  
  209.         are sectors.  Any given area on the disk can be accessed if a 
  210.         request is made to read or write data into or out of Track-X, 
  211.         Sector Y.  The read or write command is given to the disk 
  212.         controller, which is an interface between the computer itself and 
  213.         the hard disk.  The controller figures out what commands to send 
  214.         to the hard disk,  the hard disk responds and the data is read or 
  215.         written as directed.
  216.  
  217.         The first track on the hard disk typically will contain a small 
  218.         program which is read from the hard disk and executed when you 
  219.         first power up your machine.  The power up sequence is called 
  220.         "booting" your machine, and therefore the first track is typical 
  221.         known as the "boot track".
  222.  
  223.         In order to read information from your disk in a logical 
  224.         sequence, there has to be some sort of index.  An unusual index 
  225.         method was selected for MS-DOS.  Imagine going to the card index 
  226.         in a library, looking up the title you desire, and getting a 
  227.         place in another index which tells you where on the racks where 
  228.         the book is stored.  Now, when you read the book, you discover 
  229.         that only the first chapter of the book is there.  In order to 
  230.         find the next chapter of the book, you have to go back to that 
  231.         middle index, which tells you where the next chapter is stored.  
  232.         This process continues until you get to the end of the book.  
  233.         Sounds pretty convoluted, right?  You bet!  However, this is 
  234.         pretty much how MS-DOS does its "cataloguing" of files.
  235.  
  236.         The directory structure of MS-DOS allows for you to look up an 
  237.         item called the "first cluster".  A cluster represents a set of 
  238.         contiguous ("touching or in contact" according to Random House) 
  239.         tracks and sectors.  It is the smallest amount of information 
  240.         which the file structure of MS-DOS knows how to read or write.
  241.  
  242.         Based on the first cluster number as stored in the directory, the 
  243.         first portion of a file can be read.  When the information 
  244.         contained therein is exhausted, MS-DOS goes to that secondary 
  245.         index for a pointer to the next cluster.  That index is called 
  246.         the File Allocation Table, commonly abbreviated to "FAT".  The 
  247.         FAT contains an entry for each cluster on the disk.  An FAT entry 
  248.         can have a few values: ones which indicate that the cluster is 
  249.         unused, another which indicates that the associated cluster has 
  250.         been damaged somehow and that it should be marked as a "bad 
  251.         cluster", and a pointer to the next cluster for a given file.  
  252.         This allows for what is called a linked list:  once you start 
  253.         looking up clusters associated with a given file, each FAT entry 
  254.         tells you what the next cluster is.  At the end of the linked 
  255.         list is a special indicator which indicates that there are no 
  256.         more clusters associated with the file.
  257.  
  258.         There are actually two copies of the FAT stored on your disk, but 
  259.         no one really knows what the second copy was intended for.  
  260.         Often, if the first copy of the FAT is corrupted for some reason, 
  261.         a clever programmer could recover information from the second 
  262.         copy to restore to the primary FAT.  These clever programmers can 
  263.         be called "hackers", and should not be confused with the thieves 
  264.  
  265.  
  266.                                         2
  267.  
  268.  
  269.  
  270.         who break into computer systems and steal things, or the "worms" 
  271.         [Joanne Dow gets credit for *that* phrase!] who would get joy out 
  272.         of causing you heartache!
  273.  
  274.         But that heartache is exactly what can happen if the directory 
  275.         (which contains the pointer to the first cluster a file uses), 
  276.         the FAT (which contains that linked list to other areas on the 
  277.         disk which the file uses), or other areas of the disk get 
  278.         corrupted.
  279.  
  280.         And that's what the little worms who create Trojan programs do:  
  281.         they cause what at first appears to be a useful program to 
  282.         eventually corrupt the important parts of your disk.  This can be 
  283.         as simple as changing a few bytes of data, or can include wiping 
  284.         entire tracks clean.
  285.  
  286.         Not all programs which write to your hard disk are bad ones, 
  287.         obviously.  Your word processor, spreadsheet, database and 
  288.         utility programs have to write to the hard disk.  Some of the DOS 
  289.         programs (such as FORMAT), if used improperly, can also erase 
  290.         portions of your hard disk causing you massive amounts of grief.  
  291.         You'd be surprised what damage the simple "DEL" command can do 
  292.         with just a simple typo.
  293.  
  294.         But, what defines a Trojan program is its delivery mechanism: the 
  295.         fact that you're running something you didn't expect.  Typical 
  296.         Trojan programs cause damage to your data, and were designed to 
  297.         do so by the worms who writhe in delight at causing this damage.  
  298.         May they rot in hell -- a mind is a terrible thing to waste!
  299.  
  300.         Considering the personality required to cause such damage, you 
  301.         can rest assured that they have few friends, and even their 
  302.         mother doesn't like to be in the same room with them.  They sit 
  303.         back and chortle about the damage they do with a few other lowly 
  304.         worms.  This is their entire social universe. You should pity 
  305.         them.  I know that I do.
  306.  
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315.  
  316.  
  317.  
  318.  
  319.  
  320.  
  321.  
  322.  
  323.  
  324.  
  325.  
  326.  
  327.                                         3
  328.  
  329.  
  330.  
  331.                                   Introduction
  332.  
  333.         What is a Virus?
  334.         ================
  335.  
  336.         Trojan programs are but a delivery mechanism, as stated above.  
  337.         They can be implemented in a clever manner, so that they only 
  338.         trigger the malicious part on a certain date, when your disk 
  339.         contains certain information or whatever.  However they're coded, 
  340.         though, they typically affect the disk only in a destructive 
  341.         manner once triggered.
  342.  
  343.         A new breed of programs has the capability of not only reserving 
  344.         malicious damage for a given event's occurrence, but of also 
  345.         replicating itself as well.
  346.  
  347.         This is what people refer to when they mention the term "Virus 
  348.         Program".
  349.  
  350.         Typically, a virus will spread itself by replicating a portion of 
  351.         itself onto another program.  Later, when that normally safe 
  352.         program is run it will, in part, execute a set of instructions 
  353.         which will infect other programs and then potentially, trigger 
  354.         the Trojan portion of the program contained within the virus.
  355.  
  356.         The danger of the virus program is twofold. First, it contains a 
  357.         Trojan which will cause damage to your hard disk.  The second 
  358.         danger is the reason why everyone is busy building bomb shelters.  
  359.         This danger is that the virus program will infect other programs 
  360.         and they in turn will infect other programs and so forth.  Since 
  361.         it can also infect programs on your floppy disks, you could 
  362.         unknowingly infect other machines!  Pretty dangerous stuff, 
  363.         alright!
  364.  
  365.         Kenneth van Wyck, one of the computer folks over at Lehigh 
  366.         University, first brought a particular virus to the attention of 
  367.         the computer community.  This virus infects a program, which 
  368.         every MS-DOS computer must have, called COMMAND.COM.  This is the 
  369.         Command Line Interpreter and is the interface between your 
  370.         keyboard and the MS-DOS operating system itself.  Whatever you 
  371.         type at the C> prompt will be interpreted by it.
  372.  
  373.         Well, the virus subverts this intended function, causing the 
  374.         infection of neighboring COMMAND.COMs before continuing with 
  375.         normal functionality of the command you typed.  After a certain 
  376.         number of "infections", the Trojan aspect of the program goes 
  377.         off, causing you to lose data.
  378.  
  379.         The programmer was clever.  But still a worm.  And still 
  380.         deserving of contempt instead of respect.  Think of what good 
  381.         purposes the programmer could have put his or her talents to 
  382.         instead of creating this damage.  And consider what this 
  383.         programmer must do, in covering up what they've done.  They 
  384.         certainly can't tell anyone what they've accomplished.  
  385.         Justifiable homicide comes to mind, but since the worms they must 
  386.  
  387.  
  388.                                         4
  389.  
  390.  
  391.  
  392.         hang around are probably as disreputable as they are, they must 
  393.         hold their little creation a secret.
  394.  
  395.         A pity.  Hopefully, the worm is losing sleep.  Or getting a sore 
  396.         neck looking behind them wondering which of their "friends" are 
  397.         gonna turn them in for the reward I list towards the end of this 
  398.         document.
  399.  
  400.  
  401.  
  402.  
  403.  
  404.  
  405.  
  406.  
  407.  
  408.  
  409.  
  410.  
  411.  
  412.  
  413.  
  414.  
  415.  
  416.  
  417.  
  418.  
  419.  
  420.  
  421.  
  422.  
  423.  
  424.  
  425.  
  426.  
  427.  
  428.  
  429.  
  430.  
  431.  
  432.  
  433.  
  434.  
  435.  
  436.  
  437.  
  438.  
  439.  
  440.  
  441.  
  442.  
  443.  
  444.  
  445.  
  446.  
  447.  
  448.  
  449.                                         5
  450.  
  451.  
  452.  
  453.                                   Introduction
  454.  
  455.         The Challenge to the Worm
  456.         =========================
  457.  
  458.         When I first released a program to try to thwart their demented 
  459.         little efforts, I published this letter in the archive (still in 
  460.         the FLU_SHOT+ archive of which this is a part of).  What I say in 
  461.         it still holds:
  462.  
  463.                     As for the designer of the virus program: most 
  464.                     likely an impotent adolescent, incapable of 
  465.                     normal social relationships, and attempting to 
  466.                     prove their own worth to themselves through 
  467.                     these type of terrorist attacks.
  468.  
  469.                     Never succeeding in that task (or in any 
  470.                     other), since they have no worth, they will one 
  471.                     day take a look at themselves and what they've 
  472.                     done in their past, and kill themselves in 
  473.                     disgust.  This is a Good Thing, since it saves 
  474.                     the taxpayers' money which normally would be 
  475.                     wasted on therapy and treatment of this 
  476.                     miscreant.
  477.  
  478.                     If they *really* want a challenge, they'll try 
  479.                     to destroy *my* hard disk on my BBS, instead of 
  480.                     the disk of some innocent person.  I challenge 
  481.                     them to upload a virus or other Trojan horse to 
  482.                     my BBS that I can't disarm.  It is doubtful the 
  483.                     challenge will be taken: the profile of such a 
  484.                     person prohibits them from attacking those who 
  485.                     can fight back.  Alas, having a go with this  
  486.                     lowlife would be amusing for the five minutes 
  487.                     it takes to disarm whatever they invent.
  488.  
  489.                     Go ahead, you good-for-nothing little 
  490.                     slimebucket:  make *my* day!
  491.  
  492.  
  493.         Alas, somebody out there opted to do the cowardly thing and to 
  494.         use the FLUSHOT programs as a vehicle for wrecking still more 
  495.         destruction on people like you.  The FLUSHOT3 program was 
  496.         redistributed along with a companion program to aid you in 
  497.         reading the documentation.  It was renamed FLUSHOT4.  And the 
  498.         reader program was turned into a Trojan itself.
  499.  
  500.         I guess the programmer involved was too cowardly to take me up on 
  501.         my offer and prefers to hurt people not capable of fighting back.  
  502.         I should have known that, I suppose, but I don't normally think 
  503.         of people who attack innocents. Normally, I think of people to 
  504.         respect, not people to pity, certainly not people who must cause 
  505.         such damage in order to "get off".
  506.  
  507.         They are below contempt, obviously, and can do little to help 
  508.  
  509.  
  510.                                         6
  511.  
  512.  
  513.  
  514.         themselves out of the mire they live in.
  515.  
  516.         Still, a worm is a worm.
  517.  
  518.  
  519.  
  520.  
  521.  
  522.  
  523.  
  524.  
  525.  
  526.  
  527.  
  528.  
  529.  
  530.  
  531.  
  532.  
  533.  
  534.  
  535.  
  536.  
  537.  
  538.  
  539.  
  540.  
  541.  
  542.  
  543.  
  544.  
  545.  
  546.  
  547.  
  548.  
  549.  
  550.  
  551.  
  552.  
  553.  
  554.  
  555.  
  556.  
  557.  
  558.  
  559.  
  560.  
  561.  
  562.  
  563.  
  564.  
  565.  
  566.  
  567.  
  568.  
  569.  
  570.  
  571.                                         7
  572.  
  573.  
  574.  
  575.                                   About FLUSHOT
  576.  
  577.         A Brief History
  578.         ===============
  579.  
  580.         The original incarnation of FLU_SHOT was a quick hack done in my 
  581.         spare time.  It had a couple of bugs in it which caused it to 
  582.         trigger when it shouldn't, and a few conditions which I had to 
  583.         fix.  A strangeness in how COMMAND.COM processed certain 
  584.         conditions when I "failed" an operation caused people to lose 
  585.         more data than they had intended -- certainly not my intent!
  586.  
  587.         FLU_SHOT was modified and became FLUSHOT2.  It included some 
  588.         additional protections, protecting some other important system 
  589.         files, and protecting against direct disk writes which can be 
  590.         used to circumvent FLUSHOT's protection mechanisms.
  591.  
  592.         Additionally, FLUSHOT2 forced an exit of the program currently 
  593.         running instead of a fail condition when you indicated that an 
  594.         operation should not be carried out.
  595.  
  596.         FLUSHOT2 was also now distributed in the popular archive format 
  597.         (have you remembered to send your shareware check into Phil Katz 
  598.         for his efforts?  You really should.  It ain't that much money!).
  599.  
  600.         Next came FLUSHOT3. A bug was fixed which could have caused 
  601.         certain weird things when you denied direct disk I/O to certain 
  602.         portions of DOS 3.x. 
  603.  
  604.         The enhancements to FLUSHOT3 included the ability to enter a 'G' 
  605.         when FLUSHOT was triggered.  This allowed FLUSHOT to become 
  606.         inactive until an exit was called by the foreground task.  So, 
  607.         when you used some trustworthy program which did direct disk I/O, 
  608.         you wouldn't be pestered with constant triggering after you enter 
  609.         the 'G'.  Primarily this was a quick hack to allow programs such 
  610.         as the FORMAT program to run without FLUSHOT being triggered each 
  611.         time it tried to do any work it was supposed to.
  612.  
  613.  
  614.  
  615.  
  616.  
  617.  
  618.  
  619.  
  620.  
  621.  
  622.  
  623.  
  624.  
  625.  
  626.  
  627.  
  628.  
  629.  
  630.  
  631.  
  632.                                         8
  633.  
  634.  
  635.  
  636.                                   About FLUSHOT
  637.  
  638.         FLU_SHOT+ Features and Enhancements
  639.         ===================================
  640.  
  641.         This release of FLU_SHOT has a new name: FLU_SHOT+.  Because 
  642.         FLUSHOT4 was a Trojan, I opted to change the name.  Besides, 
  643.         FLU_SHOT+ is the result of some real effort on my part, instead 
  644.         of being a part-time quick hack.  I hope the effort shows.
  645.  
  646.         FLUSHOT is now table driven.  That table is in a file which I 
  647.         call FLUSHOT.DAT.  It exists in the root directory on your C: 
  648.         drive.  However, I'll advise you later on how to change its 
  649.         location so that a worm can't create a Trojan to modify that 
  650.         file.
  651.  
  652.         This file now allows you to write and/or read protect entire 
  653.         classes of programs.  This means that you can write protect from 
  654.         damage all of your *.COM, *.EXE, *.BAT, and *.SYS files.  You can 
  655.         read protect all of your *.BAT files so that a nasty program can 
  656.         not even determine what name you used for FLU_SHOT+ when you 
  657.         invoked it!
  658.  
  659.         Additionally, you can now automatically check programs when you 
  660.         first invoke FLU_SHOT+ to determine if they've changed since you 
  661.         last looked at them.  Called checksumming, it allows you to know 
  662.         immediately if one of the protected programs has been changed 
  663.         when you're not looking.  Additionally, this checksumming can 
  664.         even take place each time you load the program for execution.
  665.  
  666.         Also, FLU_SHOT+ will advise you when any program "goes TSR".  TSR 
  667.         stands for "Terminate and Stay Resident", allowing pop-ups and 
  668.         other useful programs to be created.  A worm could create a 
  669.         program which leaves a bit of slime behind.  Programs like 
  670.         Borland's SideKick program, a wonderful program and certainly not 
  671.         a Trojan or virus, is probably the best known TSR.   FLU_SHOT+ 
  672.         will advise you if any program attempts to go TSR which you 
  673.         haven't already registered in your FLUSHOT.DAT file.
  674.  
  675.         Finally, FLU_SHOT+ will also now pop-up a little window in the 
  676.         middle of your screen when it gets triggered.  It also will more 
  677.         fully explain why it was triggered.  The pop-up window means that 
  678.         your screen won't get screwed up beyond recognition -- unless 
  679.         you're in graphics mode when it pops up.  Sorry, 'dems the 
  680.         breaks!
  681.  
  682.         This version, FLU_SHOT+, has some other substantial improvements 
  683.         on the security side, has a couple of bug fixes here and there 
  684.         and is generally the same program - just a little more reliable, 
  685.         and a little more user friendly.  And, more closely attuned to 
  686.         what you, the user community, have asked me for.
  687.  
  688.         More information about FLU_SHOT+ and its enhancements can be 
  689.         found in the file "UPDATES.TXT", in the archive.  My thanks to 
  690.         Mr. Mark Hamilton of the UK for some enhancements ideas and code.
  691.  
  692.  
  693.                                         9
  694.  
  695.  
  696.  
  697.  
  698.                                   About FLUSHOT
  699.  
  700.         Registering FLU_SHOT+
  701.         =====================
  702.  
  703.         FLU_SHOT+ is not a free program.  You're encouraged to use it, to 
  704.         distribute it to your friends and co-workers.  If you end up not 
  705.         using it for some reason, let me know why and I'll see if I can 
  706.         do something about it in the next release.
  707.  
  708.         But, the right to use FLU_SHOT+ is contingent upon you paying for 
  709.         the right to use it.  I ask for ten dollars as a registration 
  710.         fee, plus four dollars to meet my costs for shipping, handling, 
  711.         and processing each order.  This entitles you to get informed 
  712.         when the next update is available, and to have someone available 
  713.         to help support you with any problem you might have with the 
  714.         program.  And it allows you to pay me, in part, for my labor in 
  715.         creating the entire FLU_SHOT series.  I don't expect to get my 
  716.         normal consulting rate or to get a return equal to that of other 
  717.         programs which I've developed and sell through more traditional 
  718.         channels.  That's not my intent, or I would have made FLU_SHOT+ a 
  719.         commercial program and you'd be paying lots more money for it.
  720.  
  721.         Some people are uncomfortable with the shareware concept, or 
  722.         believe that there ain't no such thing as Trojan or Virus 
  723.         programs, and that a person who profits from the distribution of 
  724.         a program such as FLU_SHOT must be in it for the money.  Although 
  725.         I sympathize with their feelings, I feel that a user of FLU_SHOT 
  726.         simply *must* pay for their usage of the program -- using it for 
  727.         free is paramount to stealing, and we know how wrong that is!
  728.  
  729.         I've created an alternative for these folks.  I'll call it 
  730.         "charityware" [first called that, to my knowledge, by Roedy 
  731.         Green].  You can also register FLU_SHOT+ by sending me a check 
  732.         for $10 made out to your favorite charity. And a check made out 
  733.         to me for $4 to handle my costs.  Be sure to include a stamped 
  734.         and addressed envelope.  I'll forward the monies onto them and 
  735.         register you fully.
  736.  
  737.         Of course, if you wish, you can send me a check for more than 
  738.         $14.  I'll cash it gladly (I'm no fool!).
  739.  
  740.  
  741.         Site Licensing of FLU_SHOT+
  742.         ===========================
  743.  
  744.         So, you run the computer department of a big corporation, you got 
  745.         a copy of FLU_SHOT+, decided it was wonderful and that it  did 
  746.         everything you wanted and sent in your ten bucks.  Then you 
  747.         distributed it to your 1000 users.
  748.  
  749.         Not what is intended by the shareware scheme.  *Each* site using 
  750.         FLU_SHOT+ should be registered.  That's ten bucks a site, me 
  751.         bucko!  Again, make the check out to charity if you're 
  752.  
  753.  
  754.                                        10
  755.  
  756.  
  757.  
  758.         uncomfortable with the idea of a programmer actually deriving an 
  759.         income from their work.
  760.  
  761.         However, if you've really got 1000 computers, you should give me 
  762.         a call.  As much as I'd like to get $10 for each site, that 
  763.         wouldn't be fair to you.  So, quantity discounts are available.
  764.  
  765.         Here's out quantity discount schedule.  Remember to add in the 
  766.         four dollar charge for each order.
  767.  
  768.                   Quantity            Price Each
  769.                ==============       ===============
  770.                 1 -  49                $10
  771.                50 - 249                $ 9
  772.               250 - 499                $ 7
  773.               500 - 9999               $ 6
  774.               10,000+                No Charge (after paying for 9999!)
  775.  
  776.         Site licensee's get a "gold" disk, and make their own copies at 
  777.         their site, working on the honor system.  Each site license does 
  778.         require a separate agreement, so be sure to give us a call to 
  779.         work out the details.  End-user contact *must* be through a 
  780.         single contact point in order for any of these discounts to 
  781.         apply.
  782.  
  783.  
  784.  
  785.  
  786.  
  787.  
  788.  
  789.  
  790.  
  791.  
  792.  
  793.  
  794.  
  795.  
  796.  
  797.  
  798.  
  799.  
  800.  
  801.  
  802.  
  803.  
  804.  
  805.  
  806.  
  807.  
  808.  
  809.  
  810.  
  811.  
  812.  
  813.  
  814.  
  815.                                        11
  816.  
  817.  
  818.  
  819.                                  Using FLU_SHOT+
  820.  
  821.         Down and Dirty Installation: Step By Step
  822.         =========================================
  823.  
  824.         Consider this area of the manual to be the "I hate to read 
  825.         manuals" approach.  We encourage you to read the manual, since 
  826.         about 90% of our tech support calls are answered by telling the 
  827.         caller to turn to a given page in the manual.  Some people, 
  828.         however, just want the ability to use the product immediately, 
  829.         without wading through the manual.  So, if you're one of those 
  830.         gung-ho'ers, here's a step-by-step approach:
  831.  
  832.         1)   If you received FLU_SHOT+ on a diskette, place that diskette 
  833.         in the A: drive on your system.  If you received FLU_SHOT+ from a 
  834.         Bulletin Board System, then you've obviously figured out how to 
  835.         de-arc and de-compress the files contained within the archive (if 
  836.         not, how are you reading this?).
  837.  
  838.         2)   Type the following commands:
  839.                   COPY A:FSP.COM C:\
  840.                   COPY A:FLUSHOT.DAT C:\
  841.  
  842.         3)   Make C: your default drive by simply typing "C:", followed 
  843.         by a carriage return.  Make the root directory your default 
  844.         directory simply by typing "CD \", followed by a carriage return.
  845.  
  846.         4)   Type "FSP", followed by a carriage return.  This will invoke 
  847.         FLU_SHOT+.
  848.  
  849.         5)   You should expect to see three error messages.  These will 
  850.         take one of two forms.  One form will tell you that the checksum 
  851.         for the listed file doesn't match the actual checksum for that 
  852.         file.  If you see this message, copy down the displayed number on 
  853.         a separate piece of paper, along with the filename.  Press any 
  854.         key to continue on to the next file.
  855.  
  856.         6)   If you see a message indicating that a given file is not 
  857.         found, then you'll have to remember what the names your computer 
  858.         uses for the on-disk BIOS (FLU_SHOT+ expects "IBMBIO.SYS") and 
  859.         on-disk Disk Operating System (FLU_SHOT+ expects "IBMDOS.SYS") 
  860.         and edit the names in the FLUSHOT.DAT file appropriately.  If, 
  861.         for example, your system uses the name of "IOSYS.SYS" and 
  862.         "MSSYS.SYS" for these files, replace the missing filenames within 
  863.         the FLUSHOT.DAT file to reflect the actual names you use.  When 
  864.         you finish with these edits, reboot your system and start with 
  865.         step 3), above.
  866.  
  867.         7)   At this point, you should have three files with their actual 
  868.         checksums on a piece of paper.  Edit the FLUSHOT.DAT file in your 
  869.         C:\ directory to reflect these checksums.  Replace the default 
  870.         "[12345]" with the actual checksums you've written down.  So, if 
  871.         the actual checksum for your COMMAND.COM file is "32767", the 
  872.         line in your FLUSHOT.DAT to reflect this should read:
  873.                   C=C:\COMMAND.COM[32767]
  874.  
  875.  
  876.                                        12
  877.  
  878.  
  879.  
  880.  
  881.         8)   Reboot your system.  When you invoke FLU_SHOT+, by typing 
  882.         FSP followed by a carriage return, everything should run to 
  883.         completion, leaving you at your C> prompt.
  884.  
  885.         9)   If you wish to cause FLU_SHOT+ to run whenever you first 
  886.         boot your computer, simply edit your AUTOEXEC.BAT file, found in 
  887.         the root directory on your "boot" drive, to include "FSP" as the 
  888.         last line.
  889.  
  890.         10)  For extra security, you might wish to rename the 
  891.         FLUSHOT.DAT.  To do so, read the section in this manual which 
  892.         describes the FLU_POKE program.
  893.  
  894.         11)  If there are any problems in the installation procedure, it 
  895.         probably means that you're using something a little unique in the 
  896.         way of computer equipment or software packages.  You'll have to 
  897.         read the entire document.  Sorry.
  898.  
  899.         12)  FLU_SHOT+, "out of the box", offers some pretty good 
  900.         protection.  If you want to substantially enhance the security 
  901.         FLU_SHOT+ offers you, please read the rest of the manual?  
  902.         Remember that we will *not* answer any tech support calls from 
  903.         people who have not read the manual.
  904.  
  905.  
  906.  
  907.  
  908.  
  909.  
  910.  
  911.  
  912.  
  913.  
  914.  
  915.  
  916.  
  917.  
  918.  
  919.  
  920.  
  921.  
  922.  
  923.  
  924.  
  925.  
  926.  
  927.  
  928.  
  929.  
  930.  
  931.  
  932.  
  933.  
  934.  
  935.  
  936.  
  937.                                        13
  938.  
  939.  
  940.  
  941.                                  Using FLU_SHOT+
  942.  
  943.         The FLUSHOT.DAT file
  944.         ====================
  945.  
  946.         FLU_SHOT+ is table driven by the contents of the FLUSHOT.DAT 
  947.         file.  This file normally exists in the root directory of your C: 
  948.         drive (C:\FLUSHOT.DAT).
  949.  
  950.         A little later in this document you'll see how to disguise the 
  951.         data file name, making life tougher for the worms out there.  But 
  952.         for the purposes of this document, we'll assume that the file is 
  953.         called C:\FLUSHOT.DAT.
  954.  
  955.         The FLU_SHOT+ program will read this data file exactly once. It 
  956.         reads the data from the data file into memory and overwrites the 
  957.         name of the data file in so doing.  A little extra protection in 
  958.         hiding the name of the file.
  959.  
  960.         This data file contains a number of lines of text.  Each line of 
  961.         text is of the form:
  962.  
  963.         <Command>=<filename><options>
  964.  
  965.         Command can be any one of the following characters:
  966.  
  967.              P    -    Write Protect the file named
  968.              R    -    Read Protect the file named
  969.              E    -    Exclude the file named from matching P or R lines
  970.              T    -    The named file is a legitimate TSR
  971.              C    -    Perform checksum operations on the file named
  972.  
  973.         The  filename can be an ambiguous file if you wish for all 
  974.         commands except the 'T' and 'C' commands.  This means that:
  975.  
  976.              C:\level1\*.COM
  977.  
  978.         will specify all COM files on your C: drive in the level1 
  979.         directory (or its sub-directories). Specifying:
  980.  
  981.              C:\level1\*\*.EXE
  982.  
  983.         would specify all EXE files in subdirectories under the C:\level1 
  984.         directory, but would not include that directory itself.
  985.  
  986.         You can also use the '?' operator to specify ambiguous characters 
  987.         as in:
  988.  
  989.              ?:\usr\bin\?.COM
  990.  
  991.         would be used to specify files on any drive in the \usr\bin 
  992.         directory on that drive.  The files would have to be single 
  993.         letter filenames with the extension of 'COM'.
  994.  
  995.         Ambiguous file names are not allowed for the 'T' and 'C' options.
  996.  
  997.  
  998.                                        14
  999.  
  1000.  
  1001.  
  1002.                                  Using FLU_SHOT+
  1003.  
  1004.         Protecting files from Write Access
  1005.         ==================================
  1006.  
  1007.         Use the 'P=' option to protect files from write access.  To 
  1008.         disallow writes to any of your COM, EXE, SYS, and BAT files, 
  1009.         specify lines of the form:
  1010.  
  1011.              P=*.COM
  1012.              P=*.EXE
  1013.              P=*.SYS
  1014.              P=*.BAT
  1015.  
  1016.         which protects these files on any disk, in any directory.
  1017.  
  1018.         Protecting files from Read Access
  1019.         =================================
  1020.  
  1021.         Similarly, you can use the 'R' command to protect files from 
  1022.         being read by a program (including the ability to 'TYPE' a 
  1023.         file!).  To prevent read access to all of your BAT files, use a 
  1024.         line such as:
  1025.  
  1026.              R=*.BAT
  1027.  
  1028.         Combinations of R and P lines are allowed, so the combination of 
  1029.         the above lines would prevent read or write access to all batch 
  1030.         files.
  1031.  
  1032.         Excluding files
  1033.         ===============
  1034.  
  1035.         Programmers in particular should find usage for the 'E' command.  
  1036.         This allows you to exclude matching filenames from other match 
  1037.         operations.  Assume you're doing development work in the 
  1038.         C:\develop directory.
  1039.  
  1040.         You could exclude FLU_SHOT+ from being triggered by including a 
  1041.         line such as:
  1042.  
  1043.              E=C:\develop\*.*
  1044.  
  1045.         Of course, you might have development work on many disks under a 
  1046.         directory of that name.  If you do, you might include a line 
  1047.         which looks like:
  1048.  
  1049.              E=?:\develop\*.*
  1050.                   or
  1051.              E=*\develop*
  1052.  
  1053.  
  1054.  
  1055.  
  1056.  
  1057.  
  1058.  
  1059.                                        15
  1060.  
  1061.  
  1062.  
  1063.  
  1064.         Checksumming files
  1065.         ==================
  1066.  
  1067.         This line is a little more complicated than others and involves 
  1068.         some setup work.  It's worth it though!
  1069.  
  1070.         A checksum is a method used to reduce a files validity into a 
  1071.         single number.  Adding up the values of the bytes which make up 
  1072.         the file would be a simple checksum method.  Doing more complex 
  1073.         mathematics allows for more and more checking information to be 
  1074.         included in a test.
  1075.  
  1076.         If you use a lie on the form:
  1077.  
  1078.              C=C:\COMMAND.COM[12345]
  1079.  
  1080.         then when FLU_SHOT+ first loads it will check the validity of the 
  1081.         file against the number in the square brackets.  If the checksum 
  1082.         calculated does not match the number presented, you'll be advised 
  1083.         with a triggering of FLUSHOT, which presents the correct 
  1084.         checksum.
  1085.  
  1086.         When you first set up your FLUSHOT.DAT file, use a dummy number 
  1087.         such as '12345' for each of the files you wish to checksum.  
  1088.         Then, when you run FLUSHOT, you should copy down the "erroneous" 
  1089.         checksum presented.  Then, edit the FLUSHOT.DAT file and replace 
  1090.         the dummy number with the actual checksum value you had copied 
  1091.         down. Voila! If even one byte in the is changed, you'll be 
  1092.         advised the next time you run FLU_SHOT+.
  1093.  
  1094.         But wait! There's more! Not available in stores!
  1095.  
  1096.         Sorry.  I got carried away.
  1097.  
  1098.         Seriously, there is more.  When a "checksummed" file is loaded by 
  1099.         MS-DOS, it will, by default, be checksummed again.  So, if you 
  1100.         had a line such as:
  1101.  
  1102.              C=C:\usr\bin\WS.COM[12345]
  1103.  
  1104.         the venerable old WordStar program (still *my* editor of choice!) 
  1105.         would be checksummed each time you went to edit a file.
  1106.  
  1107.         Of course, you might not want the overhead of that checksumming 
  1108.         to take place each time you load a program.  Therefore, a few 
  1109.         switches have been added.  The switches are place immediately 
  1110.         after the ']' in the checksum line:
  1111.  
  1112.              C=C:\usr\bin\WS.COM[12345]<switch>
  1113.  
  1114.         These switches are:
  1115.  
  1116.              ,n   -    will only checksum the file only 'n' times. Only
  1117.                        one digit allowed.
  1118.  
  1119.  
  1120.                                        16
  1121.  
  1122.  
  1123.  
  1124.  
  1125.              -    -    Only checksum this file when FLU_SHOT+ first
  1126.                        loads.  ',1' and '-' are equivalent.
  1127.  
  1128.              +    -    Only checksum this file when it is loaded and
  1129.                        executed, not when FLU_SHOT+ first loads
  1130.  
  1131.         Therefore, if you wished to only check your WS.COM file when you 
  1132.         first loaded the FLU_SHOT+ program, you'd specify a line as:
  1133.  
  1134.              C=C:\usr\bin\ws.com[12345],1
  1135.                   or
  1136.              C=C:\usr\bin\ws.com[12345]-
  1137.  
  1138.         If you wished to checksum your program called "MY_PROG.EXE" only 
  1139.         when it was used, try:
  1140.  
  1141.              C=C:\path\MY_PROG.EXE[12345]+
  1142.  
  1143.  
  1144.         Registering a TSR program
  1145.         =========================
  1146.  
  1147.         Any unregistered TSR program which is run after FLU_SHOT+ will 
  1148.         cause a trigger when they "go TSR".  You can register a program 
  1149.         so no trigger goes off by specifying it in a line such as:
  1150.  
  1151.              T=C:\usr\bin\tsr_s\sk.com
  1152.  
  1153.         which will keep FLU_SHOT+ from complaining about sk.com.  Make 
  1154.         sure to take a look at the '-T' option, specified in the next 
  1155.         section.
  1156.  
  1157.         Restricted Access
  1158.         =================
  1159.  
  1160.         Normally, when access to a file causes FLU_SHOT+ to trigger, the 
  1161.         user is given the option of hitting a 'Y' to allow the access, or 
  1162.         a 'G' to allow the access until program exit or a key is hit.  
  1163.         However, in some cases, access to a file should *never* be 
  1164.         allowed.  If you end a line in your FLUSHOT.DAT file with an '!', 
  1165.         then the trigger will indicate that this is a restricted access 
  1166.         file, and the user will be asked to press a key to continue.  In 
  1167.         any case, trigger accesses resulting from a line with a '!' at 
  1168.         the end will not be allowed to go forth.  For example, if you 
  1169.         never want anyone to be able to read an AUTOEXEC.BAT file on any 
  1170.         of your disks, have a line of the form:
  1171.  
  1172.                   R=*AUTOEXEC.BAT!
  1173.  
  1174.         in your FLUSHOT.DAT file.  That's pretty easy!  (Make sure, 
  1175.         however, to take a look at the FSP command line arguments for the 
  1176.         '--' switch.)
  1177.  
  1178.  
  1179.  
  1180.  
  1181.                                        17
  1182.  
  1183.  
  1184.  
  1185.         Protecting the FLUSHOT.DAT file
  1186.         ===============================
  1187.  
  1188.         Obviously, the weak link in the chain of the protection which 
  1189.         FLU_SHOT+ offers you is the FLUSHOT.DAT file.
  1190.  
  1191.         You would think that you'd want to protect the FLUSHOT.DAT file 
  1192.         from reads and writes as specified above.  However this, too, 
  1193.         leaves a gaping security hole: memory could be searched for it, 
  1194.         and it could be located that way.  A better alternative exists.  
  1195.         In the distribution package for FLUSHOT+ exists a program called 
  1196.         FLU_POKE.COM.  This program allows you to specify the new name 
  1197.         you wish to call the FLUSHOT.DAT file. Simply type:
  1198.  
  1199.              FLU_POKE <flushot_name>
  1200.  
  1201.         where <flushot_name> represents the full path filename of your 
  1202.         copy of FLU_SHOT+.
  1203.  
  1204.         You'll be prompted for the name of the FLUSHOT.DAT file.  Enter 
  1205.         the name you've selected (remember to specify the disk and 
  1206.         directory as part of the name).  Voila!  Nothing could be easier.
  1207.  
  1208.         Here's an example, assuming that you've already named your 
  1209.         FLUSHOT.DAT to FRED.TXT, and it resides in the C:\DOC directory.  
  1210.         Assume that FSP.COM is in the current directory and has been 
  1211.         renamed to MYFILE.COM.  Here's the command line:
  1212.  
  1213.              FLU_POKE MYFILE.COM
  1214.              File opened ok...
  1215.  
  1216.              Enter the FLUSHOT.DAT filename (full pathname): FRED.TXT
  1217.  
  1218.  
  1219.         Protection Recommendations
  1220.         ==========================
  1221.  
  1222.         Here's a sample FLUSHOT.DAT file, basically the same one included 
  1223.         in the archive.  Your actual checksums will differ, and you may 
  1224.         want to modify what files and directories are protected. 
  1225.         Obviously, your exact needs are different than mine, so consider 
  1226.         this a generic FLUSHOT.DAT:
  1227.  
  1228.         P=*.bat
  1229.         P=*.sys
  1230.         P=*.exe
  1231.         P=*.com
  1232.         R=*AUTOEXEC.BAT
  1233.         R=*CONFIG.SYS
  1234.         E=?\dev\*
  1235.         C=C:\COMMAND.COM[12345]-
  1236.         C=C:\IBMBIO.COM[12345]-
  1237.         C=C:\IBMDOS.COM[12345]-
  1238.  
  1239.  
  1240.  
  1241.  
  1242.                                        18
  1243.  
  1244.  
  1245.  
  1246.         Allowing "dangerous" programs to run
  1247.         ====================================
  1248.         In some cases, though, you'll still want the ability to let 
  1249.         "trusted" programs to run -- even if they are potentially 
  1250.         dangerous.  A good example of this is the DOS FORMAT program:  
  1251.         here is a program specifically designed to overwrite the data on 
  1252.         your disk in such a way that it would be difficult, at best, to 
  1253.         recover.  Yet, the program is a necessary part of your day-to-day 
  1254.         computer usage.
  1255.  
  1256.         Therefore, the 'X=' switch has been added in to allow a program 
  1257.         such as FORMAT to run without interruption.  THIS IS A POTENTIAL 
  1258.         SECURITY HOLE.  To prevent an 'X=' program from being corrupted, 
  1259.         I suggest you also include any 'X=' program as both a 'C=' and a 
  1260.         'P=' program as well: any writes to the file would cause FLU_SHOT 
  1261.         to trigger, and you wouldn't be able to run a modified program 
  1262.         without first giving FLU_SHOT permission.  Use 'X=' sparingly.  
  1263.         I'm rather uncomfortable with it myself.
  1264.  
  1265.  
  1266.         Protecting Your Boot Track
  1267.         ==========================
  1268.         Some of the virus writers out there are getting pretty devious: 
  1269.         they are creating viruses which will replace your "boot record" 
  1270.         with something of their own creation which will first create a 
  1271.         virus upon a system boot, then will run your actual boot program.  
  1272.         The "boot program" is a small program at the beginning of your 
  1273.         disk, telling the system what to do when you first turn the 
  1274.         system on.  What makes these types of viruses particularly 
  1275.         dangerous is that they are run before FLU_SHOT+ can be run:  by 
  1276.         the time FLU_SHOT+ is running, you're already infected!
  1277.  
  1278.         Therefore, you might want to consider using the Boot Checksum 
  1279.         option line in your FLUSHOT.DAT file.  It takes the form of:
  1280.  
  1281.              B=<disk><checksum>
  1282.  
  1283.         where <disk> is a single character (no ':') indicating which disk 
  1284.         drive you boot from, and checksum is the boot checksum.  The boot 
  1285.         checksum is checked each time you exit a program and when you 
  1286.         first invoke FLU_SHOT+.
  1287.  
  1288.         First, create a bogus boot checksum entry, as in:
  1289.  
  1290.              B=C12345
  1291.  
  1292.         then, run FLU_SHOT+.  You'll be advised of what the actual boot 
  1293.         checksum is, and you should edit that checksum into the "B=" 
  1294.         line.
  1295.  
  1296.         That's it!  You're now protected from some virus program somehow 
  1297.         getting around the protections FLU_SHOT+ offers and modifying the 
  1298.         boot record, and you'll be advised if something changed your boot 
  1299.         record while you weren't looking. Never boot off a floppy if you 
  1300.         can avoid it, though:  that's how a lot of viruses spread!
  1301.  
  1302.  
  1303.                                        19
  1304.  
  1305.  
  1306.  
  1307.  
  1308.                                Invoking FLU_SHOT+
  1309.  
  1310.         Running FLUSHOT+
  1311.         ================
  1312.  
  1313.         For extra protection, after you've run FLU_POKE, you should 
  1314.         rename the FLU_SHOT+ program is something unique and meaningful 
  1315.         to you, but not a worm.
  1316.  
  1317.         Assuming you didn't rename it, however, you could invoke the 
  1318.         program simply by typing:
  1319.  
  1320.              FSP
  1321.  
  1322.         when at the prompt.  That's all there is to it.  When you're 
  1323.         satisfied, you can add it to your AUTOEXEC.BAT file, after all of 
  1324.         your trusted programs have run.
  1325.  
  1326.         But there are some options you should know about:
  1327.  
  1328.         Checksumming the in-memory table
  1329.         ================================
  1330.         Since the wily worm may well be able to thwart some of the 
  1331.         efforts of FLU_SHOT+ by playing nasty games with the in-memory 
  1332.         copy of the FLUSHOT.DAT file, FLU_SHOT+ will also check this 
  1333.         table against a checksum it generates on a regular basis.  If the 
  1334.         table gets corrupted, you'll be advised of it.  This table is 
  1335.         checked with each call to DOS, so the table must be in good shape 
  1336.         before any disk I/O is done.
  1337.  
  1338.  
  1339.  
  1340.  
  1341.  
  1342.  
  1343.  
  1344.  
  1345.  
  1346.  
  1347.  
  1348.  
  1349.  
  1350.  
  1351.  
  1352.  
  1353.  
  1354.  
  1355.  
  1356.  
  1357.  
  1358.  
  1359.  
  1360.  
  1361.  
  1362.  
  1363.  
  1364.                                        20
  1365.  
  1366.  
  1367.  
  1368.         Intercepting Direct Disk Writes Through INT13 and INT40
  1369.         =======================================================
  1370.  
  1371.         The default operation of FLU_SHOT+ is to intercept and examine 
  1372.         every call to the direct disk routines.  You can *disable* this 
  1373.         by including the '-F' switch on your command line:
  1374.  
  1375.              FSP -F
  1376.  
  1377.         This is not recommended, but exists primarily for developers who 
  1378.         can't use the constant triggering one of their programs may 
  1379.         cause.
  1380.  
  1381.  
  1382.         What about INT26
  1383.         ================
  1384.         Similarly, the same exists for the direct writes which normally 
  1385.         are only made by DOS through interrupt 26.  Again, I do not 
  1386.         recommend you disable the checking, but if you desire to do so, 
  1387.         use the '-D' switch.
  1388.  
  1389.         Turning off the header message
  1390.         ==============================
  1391.         If you've no desire to see the rather lengthy welcome message,  
  1392.         displayed when you first use FLU_SHOT+, use the '-h' switch.
  1393.  
  1394.         Disabling Triggering on Open with Write Access
  1395.         ==============================================
  1396.         Files which are opened with write access allowed are often not 
  1397.         ever written to.  For example, a COPY A.COM B.COM will open 
  1398.         *both* files for write access, although DOS will not actually 
  1399.         write to the A.COM file.  Programmer laziness is the most likely 
  1400.         excuse, and I'm as guilty of it as anyone else.  However, this 
  1401.         can cause some false alarms, which can alarm you!  If you specify 
  1402.         the '-W' switch on your command line, you won't have this 
  1403.         particular alert come up.
  1404.  
  1405.         Since the actual write operation to this file is also protected 
  1406.         by FLU_SHOT+, there is no real danger with using the '-W' option 
  1407.         -- except that a "protected" file could be created anew without 
  1408.         you being triggered.  That's not too big a deal.  Future versions 
  1409.         of FLU_SHOT+ will most probably have the '-W' option as the 
  1410.         default operation.
  1411.  
  1412.  
  1413.         Changing the Trigger Window Attributes
  1414.         ======================================
  1415.         Certain displays, particularly monochrome displays which try to 
  1416.         emulate color displays, have a problem with the default selection 
  1417.         of attributed in the trigger window of FLU_SHOT+.  If you use the 
  1418.         '-Axx:yy' switch, you can modify these attributes.
  1419.  
  1420.         The xx:yy represent the hex values (as selected from the table 
  1421.         below) for the interior and the perimeter of the trigger window.  
  1422.         The 'xx' represents the interior attribute, the 'yy', the 
  1423.  
  1424.  
  1425.                                        21
  1426.  
  1427.  
  1428.  
  1429.         perimeter.  If you use the '-A' switch, you *must* select both of 
  1430.         these values - failure to do so may give a rather strange 
  1431.         display.
  1432.  
  1433.         What follows is a table of color and characteristics associated 
  1434.         with the attribute byte.  A byte has eight bits. Counting from 
  1435.         the leftmost bit, the first bit of the attribute byte, if set, 
  1436.         will cause the character to blink, regardless of other settings.  
  1437.         The next three bits represent the background color for a given 
  1438.         character position.  The next bit indicates whether a character 
  1439.         should have high intensity turned on.  Finally, the last three 
  1440.         bits represent the color of the character itself.  To create the 
  1441.         color of your choice, simply combine the bits, then calculate 
  1442.         what they are in hexadecimal.  If you're not sure of how to 
  1443.         create a hexadecimal representation of a binary number, have no 
  1444.         fear:  that information follows, too.
  1445.  
  1446.                                     Bkgrnd    Frgrnd
  1447.                                  B   CLR   I   CLR
  1448.                                  [] [][][] [] [][][]
  1449.                     Brightness----^  | | |  |  | | |
  1450.                     Background-------+-+-+  |  | | |
  1451.                     Intensity---------------+  | | |
  1452.                     Foreground-----------------+-+-+
  1453.  
  1454.                                               Value in hex
  1455.         Bit Pattern    Value      Color       if B or I set 
  1456.         ====================================================
  1457.           0  0  0      0         Black            8
  1458.           0  0  1      1         Blue             9
  1459.           0  1  0      2         Green            a
  1460.           0  1  1      3         Cyan             b
  1461.           1  0  0      4         Red              c
  1462.           1  0  1      5         Magenta          d
  1463.           1  1  0      6         Yellow           e
  1464.           1  1  1      7         White            f
  1465.  
  1466.         For example, to create an attribute byte that is high intensity, 
  1467.         blinking yellow characters on a green background, the attribute 
  1468.         byte would be:
  1469.  
  1470.                                     Bkgrnd    Frgrnd
  1471.                                  B   CLR   I   CLR
  1472.                                  1  0 1 0  1  1 1 0
  1473.                                 \--------/ \-------/
  1474.                                     |          |
  1475.                                     A          E
  1476.                     Attribute char:     AE
  1477.  
  1478.         IMPORTANT: If the value is less than 10 (hex), you *must* include 
  1479.         a leading zero or strange things will happen to the selected 
  1480.         value.
  1481.  
  1482.  
  1483.  
  1484.  
  1485.  
  1486.                                        22
  1487.  
  1488.  
  1489.  
  1490.  
  1491.         Allowing Trusted TSR's to Work
  1492.         ==============================
  1493.         Normally, you'd load all of your trusted TSR's before FLUSHOT+ is 
  1494.         loaded from within your AUTOEXEC.BAT file.  However, you might 
  1495.         want to use SideKick once in a while, removing it from memory as 
  1496.         you desire.  This could cause some problems, since SideKick, and 
  1497.         programs like it, take over certain interrupts, and FLU_SHOT+ 
  1498.         could get confused about whether this is a valid call or a call 
  1499.         that shouldn't be allowed.  Normally, FLU_SHOT+ will trigger on 
  1500.         these calls, which is safer, but can be annoying.  If you use the 
  1501.         special '-T' switch upon program invocation, then calls which 
  1502.         trusted TSR's (those specified with the 'T=' command in your 
  1503.         FLUSHOT.DAT file) make will be allowed.  Understand, please, that 
  1504.         this basically means that calls made by a Trojan while a trusted 
  1505.         TSR is loaded may not be caught.  Please, use this switch with 
  1506.         caution!
  1507.  
  1508.         Disabling FLU_SHOT+
  1509.         ===================
  1510.         There may be times when you're about to do some work which you 
  1511.         know will trigger FLU_SHOT+.  And you might not want to be 
  1512.         bothered with all of the triggering, the pop-up windows and your 
  1513.         need to respond to each trigger.  If you look in the upper right 
  1514.         hand corner of your screen, you'll see a '+' sign.  This 
  1515.         indicates that FLU_SHOT+ is monitoring and attempting to protect 
  1516.         your system.  Depress the ALT key three times.  Notice that the 
  1517.         '+' sign' turned into a '-'?  Well, FLU_SHOT+ is now disabled, 
  1518.         and will not trigger on any event.  If you depress the ALT key 
  1519.         three more times, you'll see the '-' turn back into a '+' -- each 
  1520.         time you depress the ALT key three times, FLU_SHOT+ will toggle 
  1521.         between being enabled and disabled. 
  1522.  
  1523.         Disabling the Disabling of FLU_SHOT+
  1524.         ====================================
  1525.         Yes, I know about the poor grammar used in the heading, but I 
  1526.         couldn't think of a better way of expressing it.
  1527.  
  1528.         You can cause FLU_SHOT+ to ignore the "strike ALT three times" 
  1529.         function discussed above.  If you'd rather that the people using 
  1530.         the machine FLU_SHOT is working on *not* be able to disable it, 
  1531.         then enter the '--' switch on the command line, as in:
  1532.  
  1533.               FSP --
  1534.  
  1535.         this is important when used in combination with the '!' 
  1536.         restricted file access option you may have opted to use in your 
  1537.         FLUSHOT.DAT file.
  1538.  
  1539.  
  1540.  
  1541.  
  1542.  
  1543.  
  1544.  
  1545.  
  1546.  
  1547.                                        23
  1548.  
  1549.  
  1550.  
  1551.         Disabling FLU_SHOT+ Toggle Display
  1552.         ==================================
  1553.         Alas, there are graphics applications which will be screwed up be 
  1554.         the '-' or '+' in the upper right hand corner of your display. 
  1555.         Therefore, if you depress the CTRL key three times, you'll be 
  1556.         able to toggle the display capability of FLU_SHOT+.  The default 
  1557.         configuration of FLU_SHOT+ is to "come up" with display turned 
  1558.         on.  You can reverse this capability if you include the '-G' (for 
  1559.         graphics) switch on your command line when you run FLU_SHOT+.
  1560.  
  1561.         When you toggle this function, the '-' or the '+' won't appear or 
  1562.         disappear immediately.  Simply that the repainting of them will 
  1563.         no longer take place.
  1564.  
  1565.         Defining Your Own "Special Keys"
  1566.         ================================
  1567.         If you would like to, you can define your own "special keys" (as 
  1568.         in the default Alt and Ctrl keys in a similar way as you define 
  1569.         your attributes above.  Use the '-Kxx:yy' option, which takes the 
  1570.         hexadecimal scan code value for the replacement Alt key as the 
  1571.         first argument (the 'xx') and the hexadecimal scan code value for 
  1572.         the replacement Ctrl key value.  If you're not sure of what your 
  1573.         scan codes are, you should look them up in your BIOS tech ref 
  1574.         manual -- or there are a multitude of programs which will print 
  1575.         out the scan code for a given key. Most of these programs are 
  1576.         available on BBS's throughout the world, including the Software 
  1577.         Concepts Design, RamNet BBS at (212)-89-6438.
  1578.  
  1579.         Due to extreme programmer fatigue, the "Welcome" message you see 
  1580.         when you first run FLU_SHOT+ with the '-K' option will not change 
  1581.         to reflect your selection.  Maybe in the next version.  And, of 
  1582.         course, it depends upon how much you, the end-user want such an 
  1583.         option.
  1584.  
  1585.         IMPORTANT: If the value is less than 10 (hex), you *must* include 
  1586.         a leading zero or strange things will happen to the selected 
  1587.         value.
  1588.  
  1589.         Forcing FLU_SHOT+ to only use the BIOS
  1590.         ======================================
  1591.  
  1592.         Certain machines are not totally compatible with the IBM BIOS, 
  1593.         which is the BIOS for which FLU_SHOT+ was written.  Because 
  1594.         FLU_SHOT has to be able to deal with the hardware in a pretty 
  1595.         direct manner in order to "pop-up" a screen, these machines were 
  1596.         not able to use FLU_SHOT.  If you specify the '-B' switch in your 
  1597.         command line when you first run FLU_SHOT+, then only the BIOS 
  1598.         will be used for screen output.  This is *drastically* slower 
  1599.         than direct screen memory writes (the method used unless you 
  1600.         specify to use the BIOS), but at least it works.  However, the 
  1601.         "hit ALT and/or CTRL three times" options may not work in these 
  1602.         machines - only your experimentation will tell.
  1603.  
  1604.  
  1605.  
  1606.  
  1607.  
  1608.                                        24
  1609.  
  1610.  
  1611.  
  1612.         Putting FLU_SHOT+ to Sleep When Its First Run
  1613.         ==============================================
  1614.         One of the idiosyncrasies of DOS is how a batch file is 
  1615.         processed.  Basically, DOS opens the batch file, reads the next 
  1616.         command, closes the batch file, executes the command, and then 
  1617.         starts over again until the batch file is exhausted of commands.
  1618.  
  1619.         This would, normally, not be a problem, but can become when you 
  1620.         opt to place the FLU_SHOT command line in your AUTOEXEC.BAT file 
  1621.         *and* you've opted to Read Protect (with the 'R=' option) the 
  1622.         AUTOEXEC file itself:  you'll be advised that some program is 
  1623.         reading this protected file.  Not a big deal, really, but 
  1624.         certainly a hassle when you fist boot up your system.  Therefore, 
  1625.         protections within FLU_SHOT are not turned on a certain amount of 
  1626.         time.  The default is set to ten seconds, or until you enter a 
  1627.         key.  You can modify the default "sleep" time by entering a '-Sn' 
  1628.         option on the command line, where 'n' represents the number of 
  1629.         eighteenths of a second (1/18) you wish to have FLU_SHOT+ sleep 
  1630.         before becoming active.  Since you will most likely have 
  1631.         FLU_SHOT+ as one of the final commands in your AUTOEXEC.BAT, you 
  1632.         probably won't have to modify this parameter, but the capability 
  1633.         exists, nonetheless.
  1634.  
  1635.  
  1636.  
  1637.  
  1638.  
  1639.  
  1640.  
  1641.  
  1642.  
  1643.  
  1644.  
  1645.  
  1646.  
  1647.  
  1648.  
  1649.  
  1650.  
  1651.  
  1652.  
  1653.  
  1654.  
  1655.  
  1656.  
  1657.  
  1658.  
  1659.  
  1660.  
  1661.  
  1662.  
  1663.  
  1664.  
  1665.  
  1666.  
  1667.  
  1668.  
  1669.                                        25
  1670.  
  1671.  
  1672.  
  1673.         Interpreting a FLU_SHOT+ Trigger
  1674.         ================================
  1675.  
  1676.         So, you've run FLU_SHOT+, and you're at your C> prompt. Great!  
  1677.         Now stick a blank disk which you don't care about into your A: 
  1678.         drive and try to format it.
  1679.  
  1680.         Surprise!  FLU_SHOT+ caught the attempt!  You have three choices 
  1681.         now:  typing 'Y' allows the operation to continue, but the next 
  1682.         one will be caught as well.  Typing a 'G' (for Go!) allows the 
  1683.         operation to continue, disabling FLU_SHOT+ until an exit from the 
  1684.         program is made. When FLU_SHOT+ is in the 'G' state, a 'G' will 
  1685.         appear in the upper right hand corner of your screen.
  1686.  
  1687.         Any other key will cause a failure of the operation to occur.
  1688.  
  1689.         When you've got FLU_SHOT+ running and you get signaled that there 
  1690.         is a problem, you should think about what might have caused the 
  1691.         problem.  Some programs, like FORMAT, or the Norton Utilities or 
  1692.         PC-Tools, or DREP have very good reasons for doing direct reads 
  1693.         and writes to your hard disk.  However, a public domain checkbook 
  1694.         accounting program doesn't.  You'll have to be the judge of what 
  1695.         are legitimate operations and which are questionable.
  1696.  
  1697.         There is no reason to write to IBMBIO or IBMDOS, right? 
  1698.  
  1699.         Wrong!
  1700.  
  1701.         When you format a disk with the '/S' option, those files are 
  1702.         created on the target diskette.  The act of creating, opening up 
  1703.         and writing those files will trigger FLU_SHOT+ as part of its 
  1704.         expected operation. There are many other legitimate operations 
  1705.         which may cause FLU_SHOT+ to trigger.
  1706.  
  1707.         So will copying a COM or EXE file if you have those protected 
  1708.         with a 'P=' command.  FLU_SHOT+ is not particularly intelligent 
  1709.         about what is allowed and what isn't.  That's where you, the 
  1710.         pilot, get to decide.
  1711.  
  1712.         Here's a fuller listing of the messages which you might see when 
  1713.         you're using FLU_SHOT+:
  1714.  
  1715.  
  1716.         Checking ===><filename>
  1717.  
  1718.         This message is displayed as FLU_SHOT+ checks the checksum on all 
  1719.         of the "C=" files when you first invoke FLU_SHOT+.  The files 
  1720.         must be read in from disk, their checksum calculated and then 
  1721.         compared against the value you claim the checksum should equal.
  1722.  
  1723.  
  1724.  
  1725.  
  1726.  
  1727.  
  1728.  
  1729.  
  1730.                                        26
  1731.  
  1732.  
  1733.  
  1734.         If the checksum does *not* equal what you claim it should (which 
  1735.         means that the file may have been written to and might therefore 
  1736.         be suspect), a window will pop up in the middle of your screen:
  1737.  
  1738.         +===============================================================+
  1739.         |  Bad Checksum on <filename>                                   |
  1740.         |  Actual Checksum is: <checksum>                               |
  1741.         |Press "Y" to allow, "G" to go till exit, any other key to exit.|
  1742.         +===============================================================+
  1743.  
  1744.         This message simultaneously advises you there is a problem with 
  1745.         the checksums not matching, shows you what the checksum should be 
  1746.         and then awaits your response.
  1747.  
  1748.         Except for the initial run of FLU_SHOT+, if you type a 'Y' or a 
  1749.         'G', then the program will load and execute.  Typing any other 
  1750.         key will cause the program to abort and for you to be returned to 
  1751.         the C> prompt.  When FLU_SHOT+ is in the 'G' state, a 'G' will 
  1752.         appear in the upper right hand corner of your screen.
  1753.  
  1754.         If this is the initial run of FLU_SHOT+, however, you'll be 
  1755.         advised of the program's actual checksum, but FLU_SHOT+ will 
  1756.         continue to run, checking all remaining "C=" files in the 
  1757.         FLUSHOT.DAT file.
  1758.  
  1759.  
  1760.  
  1761.         If you're running a program and you see a screen like:
  1762.  
  1763.         +===============================================================+
  1764.         |  ? WARNING! TSR Request from an unregistered program!         |
  1765.         |Number of paragraphs of memory requested (in decimal) are:<cnt>|   
  1766.         |                   (Press any key to continue)                 |
  1767.         +===============================================================+
  1768.  
  1769.         you're being advised that a program is about to go TSR.  If this 
  1770.         is a program you trust (such as SideKick, of KBHIT, or a host of 
  1771.         other TSR programs you've grown to know and love), then you 
  1772.         should considering installing a "T=" line in the FLUSHOT.DAT file 
  1773.         so that future runs of this program will not trigger FLU_SHOT+.
  1774.  
  1775.         However, if you get this message when running a program you don't 
  1776.         think has any need to go TSR (such as the proverbial checkbook 
  1777.         balancing program), you should be a little suspicious.  Having a 
  1778.         TSR program is not, in of and of itself, something to be 
  1779.         suspicious of.   But having one you don't expect --- well, that's 
  1780.         a different story.
  1781.  
  1782.         Most TSR's "hook into" an interrupt vector before they go TSR.  
  1783.         These hooks might intercept and process key strokes ("hotkeys"), 
  1784.         or they might hook and intercept direct disk writes themselves.  
  1785.         In any event, FLU_SHOT+ (in this version!) doesn't have the 
  1786.         smarts to do more than advise you of the TSR'ing of the program.  
  1787.         If you're truly suspicious, reboot your machine immediately!
  1788.  
  1789.  
  1790.  
  1791.                                        27
  1792.  
  1793.  
  1794.  
  1795.         If a program attempts to write directly to the interrupts which 
  1796.         are reserved for disk writes, FLU_SHOT+ will also be triggered 
  1797.         and you'll see something like:
  1798.  
  1799.         +===============================================================+
  1800.         |====>Direct Disk Write attempt by program other than DOS! <====|
  1801.         | Interrupt xx=> Drive: x Head: y Track: zzzzz Sector: zzzzz    |
  1802.         |  By:  <program>                                               |
  1803.         |Press "Y" to allow, "G" to go till exit, any other key to fail.|
  1804.         +===============================================================+
  1805.  
  1806.         where the <xx> represents either a 13 or 40 (indicating a direct 
  1807.         BIOS write to the disk) or a 26 (indicating a direct DOS write).  
  1808.         Again, pressing a 'Y' or a 'G' allows the operation to continue, 
  1809.         pressing any other key will cause the operation to return a 
  1810.         failed status to DOS, and the operation will not take place. When 
  1811.         FLU_SHOT+ is in the 'G' state, a 'G' will appear in the upper 
  1812.         right hand corner of your screen.  FLU_SHOT+ will attempt to let 
  1813.         you know what program is actually attempting the write as well: 
  1814.         this is not always reliable, though, so don't count on it as more 
  1815.         than a hint.
  1816.  
  1817.         Additionally, for the folks interested in the real techno-babble, 
  1818.         FLU_SHOT+ will also let you know what drive, head, track and 
  1819.         sector is the target of the supposed "illegal" access.
  1820.  
  1821.         If an attempt is made to format your disk, which may be a 
  1822.         legitimate operation made by the DOS FORMAT program, you'll see a 
  1823.         message such as:
  1824.  
  1825.         +===============================================================+
  1826.         |          ====>Disk being formatted! Are You Sure?<====        |
  1827.         | Interrupt xx=> Drive: x Head: y Track: zzzzz Sector: zzzzz    |
  1828.         |  By:  <program>                                               |
  1829.         |Press "Y" to allow, "G" to go till exit, any other key to fail.|
  1830.         +===============================================================+
  1831.  
  1832.         which follows similarly to the direct disk write operations. You 
  1833.         should question whether the format operation is appropriate at 
  1834.         the time and take whatever action you think is best.
  1835.  
  1836.         If one of your protected files is about to be written to, you'll 
  1837.         see a message like:
  1838.  
  1839.         +===============================================================+
  1840.         |Write access being attempted on:                               |
  1841.         | <filename>                                                    |
  1842.         |  By:  <program>                                               |
  1843.         |Press "Y" to allow, "G" to go till exit, any other key to fail.|
  1844.         +===============================================================+
  1845.  
  1846.         where <filename> represents the file you're trying to protect 
  1847.         from these write operations.  Your red flag should fly, and you 
  1848.         should question why the program currently running should cause 
  1849.         such an operation. 
  1850.  
  1851.  
  1852.                                        28
  1853.  
  1854.  
  1855.  
  1856.         You may also see the same type of message when one of your "Read-
  1857.         Protected" files is being accessed:
  1858.  
  1859.         +===============================================================+
  1860.         |Read Access being attempted on:                                |
  1861.         | <filename>                                                    |
  1862.         |  By:  <program>                                               |
  1863.         |Press "Y" to allow, "G" to go till exit, any other key to fail.|
  1864.         +===============================================================+
  1865.  
  1866.         Again, the same red flag should fly, but it doesn't mean that 
  1867.         you're infected with some nasty virus program!  It could be 
  1868.         something harmless or intended.  You'll have to be the judge.
  1869.  
  1870.         +===============================================================+
  1871.         |Open File with Write access being attempted on:                |
  1872.         | <filename>                                                    |
  1873.         |  By:  <program>                                               |
  1874.         |Press "Y" to allow, "G" to go till exit, any other key to fail.|
  1875.         +===============================================================+
  1876.  
  1877.         If you see the above message:  Don't Panic!  When a program opens 
  1878.         a file, it may open the file for different types of access.  One 
  1879.         access method prohibits writing to the file.  Another allows you 
  1880.         to write to the file.  However, lazy programmers (myself included 
  1881.         in this category from time to time) will often open a file for 
  1882.         read *and* write access, even though they have no intention of 
  1883.         ever doing a write into the file.  FLU_SHOT+ isn't smart enough 
  1884.         to be able to figure out what a program *might* do in the future, 
  1885.         so it will alert you to an attempt to open the indicated 
  1886.         protected file with write access allowed.  Again, you'll have to 
  1887.         consider whether the program opening the file is a "trusted" 
  1888.         program or not and you'll have to then decide what action to 
  1889.         take.
  1890.  
  1891.         +===============================================================+
  1892.         |Handle Write Access being attempted on:                        |
  1893.         | <filename>                                                    |
  1894.         |  By:  <program>                                               |
  1895.         |Press "Y" to allow, "G" to go till exit, any other key to fail.|
  1896.         +===============================================================+
  1897.  
  1898.         If you see this message, it means that some program is trying to 
  1899.         write to a protected file through an access method known as 
  1900.         "handle access".  This should normally never happen, with the 
  1901.         caveats raised above in the "Open With Write Access" section.
  1902.  
  1903.  
  1904.  
  1905.  
  1906.  
  1907.  
  1908.  
  1909.  
  1910.  
  1911.  
  1912.  
  1913.                                        29
  1914.  
  1915.  
  1916.  
  1917.         There are three separate messages you'll see if a program 
  1918.         attempts to rename a protected file (you'll only see one of these 
  1919.         messages at a time, though):
  1920.  
  1921.  
  1922.         +===============================================================+
  1923.         |FCB Rename being attempted on source file:                     | 
  1924.         |FCB Rename being attempted on target file:                     |
  1925.         |Handle Rename being attempted on:                              |
  1926.         | <filename>                                                    |
  1927.         |  By:  <program>                                               |
  1928.         |Press "Y" to allow, "G" to go till exit, any other key to fail.|
  1929.         +===============================================================+
  1930.  
  1931.         This indicates what type of operation is attempting to rename a 
  1932.         protected file.  FCB's are a relic of the older CP/M days, and 
  1933.         "handles" are a newer concept, a little more modern.  In any 
  1934.         event, this tells you that a file is being renamed.  It is 
  1935.         possible that a trojan or virus writer will attempt to rename an 
  1936.         existing protected file to some other name, then rename a 
  1937.         trojaned or virused program in its stead.  FLU_SHOT will alert 
  1938.         you to this action:  again, though, you'll have to decide what to 
  1939.         do about it.
  1940.  
  1941.         +===============================================================+
  1942.         |Delete being attempted on:                                     |
  1943.         | <filename>                                                    |
  1944.         |  By:  <program>                                               |
  1945.         |Press "Y" to allow, "G" to go till exit, any other key to fail.|
  1946.         +===============================================================+
  1947.  
  1948.         Pretty much self-evident as to what's happening here, there are 
  1949.         very few reasons why one of the files you've opted to protect 
  1950.         should be deleted.
  1951.  
  1952.  
  1953.  
  1954.  
  1955.  
  1956.  
  1957.  
  1958.  
  1959.  
  1960.  
  1961.  
  1962.  
  1963.  
  1964.  
  1965.  
  1966.  
  1967.  
  1968.  
  1969.  
  1970.  
  1971.  
  1972.  
  1973.  
  1974.                                        30
  1975.  
  1976.  
  1977.  
  1978.                           How Good is FLUSHOT+, Really?
  1979.  
  1980.         FLU_SHOT+ is a pretty handy piece of code.  But, it can't 
  1981.         absolutely protect you from a worm.  No software can do that.  
  1982.         There are ways around FLU_SHOT+.  I'm of two minds about 
  1983.         discussing them, since the worms out there are reading this, too.  
  1984.         So I'll only discuss them in passing.  And I'll tell you what I 
  1985.         use here to protect myself from worms.  First, though, a little 
  1986.         story to tell you what it's like here, and how I protect myself 
  1987.         from getting wormed.
  1988.  
  1989.         The RamNet Bulletin Board System site I run is open access. No 
  1990.         need to register, or to leave your phone number or address, 
  1991.         although a note to that effect is always appreciated.  As 
  1992.         mentioned above, I dare the worm to try to affect the disk of 
  1993.         somebody who can fight back.  A couple of of worms have tried and 
  1994.         I have a nice collection of Trojans and viruses.  Obviously, I 
  1995.         run FLU_SHOT+ on my board, along with checking incoming files 
  1996.         with CHK4BOMB.  My procedure for testing out newly uploaded code 
  1997.         involves me doing a backup, installing all sorts of software to 
  1998.         monitor what is going on, and doing a checksum on all files on 
  1999.         the disk.  I then try out all of the code I get, primarily to 
  2000.         determine if the code is of high enough quality to be posted.  
  2001.         After testing out all of the weeks uploads, I run the checksum 
  2002.         program again to determine of any of my files might have been 
  2003.         modified by a worm's virus program.
  2004.  
  2005.         Recently, what looked like a decent little directory lister was 
  2006.         posted to the board.  For some reason I've yet to fathom, 
  2007.         directory aid programs seem to be the ones which have the highest 
  2008.         percentage of Trojans attached to them.
  2009.  
  2010.         This directory aid program listed my directories in a wonderful 
  2011.         tree structure, using different colors for different types of 
  2012.         files.  Nice program.  When it exited, however, it went out and 
  2013.         looked for a directory with the word "FLU" in it.  Once it found 
  2014.         a directory with a match in it, it proceeded to try to erase all 
  2015.         of the files in that directory. An assault! No big deal.  That's 
  2016.         what backups are for.
  2017.  
  2018.         But it brings up an interesting point:  I was attacked by a 
  2019.         clever worm, and it erased a bunch of files which were pretty 
  2020.         valuable.  All of the protection I had would have been for naught 
  2021.         if I didn't use the first line of defense from these worms:  full 
  2022.         and adequate backup.
  2023.  
  2024.         I've spent three years of my life developing one particular 
  2025.         software package.  Imagine what would have happened if that had 
  2026.         been erased by a worm!  Fortunately, I make backups at least once 
  2027.         a day, and usually more frequently than that.  You should, too.
  2028.  
  2029.         Now, I quarantine that machine as well.  I spent a couple of 
  2030.         dollars and bought a bunch of bright red floppy disks.  The basic 
  2031.         rule around here is that Red Disks are the only disks that go 
  2032.         into the BBS machine, and the Red Disks go into no other machine.  
  2033.  
  2034.  
  2035.                                        31
  2036.  
  2037.  
  2038.  
  2039.         You see, I *know* that there is some worm out there who is gonna 
  2040.         find some way to infect my system.  No matter what software 
  2041.         protection I use, there *is* a way around it.
  2042.  
  2043.         You needn't be concerned though -- you're making backups on a 
  2044.         regular basis, right?  And, you aren't asking for trouble.  I am, 
  2045.         I expect to find it, and it is sort of amusing to see what the 
  2046.         worms out there are wasting their efforts on.
  2047.  
  2048.         At this point, Trojans and Viruses are becoming a hobby with me: 
  2049.         watching what the worms try to do, figuring out a way to defend 
  2050.         against it, and then updating the FLU_SHOT series.
  2051.  
  2052.         However, there is a possibility that the FLU_SHOT series (as well 
  2053.         as other protection programs which are just as valuable) are 
  2054.         causing an escalation of the terms of this war.  The worms out 
  2055.         there are sick individuals.  They must enjoy causing the damage 
  2056.         they do.  But they haven't the guts to stand up and actually do 
  2057.         something in person.  They prefer to hide behind a mist of 
  2058.         anonymity.
  2059.  
  2060.         But you have the ultimate defense!  No, not the FLU_SHOT+ 
  2061.         program.
  2062.  
  2063.         FULL AND ADEQUATE BACKUPS!
  2064.  
  2065.         There are a variety of very good backup programs which can save 
  2066.         you more work than you can imagine.  I use the FASTBACK+ program, 
  2067.         which is a great little program.  I backup 30Megs once in a 
  2068.         while, and do an incremental backup on a very frequent basis.  
  2069.         There are a variety of very good commercial, public domain, and 
  2070.         shareware backup programs out there.  Use them!  Because, no 
  2071.         matter what software protection you use, somebody will find a way 
  2072.         around it once day.  But they can't find a way around your 
  2073.         backups.  And, if you (and everyone else) do regular backups, 
  2074.         you'll remove the only joy in life these worms have.  They'll 
  2075.         kill themselves, hopefully, and an entire subspecies will be 
  2076.         wiped out -- and you'll be partially responsible!
  2077.  
  2078.         My advance thanks for helping to exterminate these little 
  2079.         slimebuckets.  But that brings me to something else.
  2080.  
  2081.  
  2082.  
  2083.  
  2084.  
  2085.  
  2086.  
  2087.  
  2088.  
  2089.  
  2090.  
  2091.  
  2092.  
  2093.  
  2094.  
  2095.  
  2096.                                        32
  2097.  
  2098.  
  2099.  
  2100.                                  Reward Offered
  2101.  
  2102.         Somebody out there knows who the worms are.  Even they must have 
  2103.         someone who is a friend. True, I can't think of any reason 
  2104.         someone would befriend a worm.  But somebody who doesn't know 
  2105.         better has.
  2106.  
  2107.         Well, I'm offering a reward for the capture and conviction of 
  2108.         these worms.
  2109.  
  2110.         Enough already with software protection schemes, hardware 
  2111.         protection schemes, or any protection at all.  It shouldn't be 
  2112.         required, dammit!
  2113.  
  2114.         Here's the deal:
  2115.  
  2116.         In this archive is a form called REWARD.FRM.  If you're a 
  2117.         software or hardware manufacturer, or you have some software or 
  2118.         hardware you don't need, consider filling out that form, and 
  2119.         donating it to a worthy cause.  I don't know what the legal and 
  2120.         tax ramifications of that donation would be.  I'm not a lawyer 
  2121.         and we can cross that bridge when we get to it.
  2122.  
  2123.         Anyway, if you know one of these worms, turn them in!  Call me 
  2124.         up, send me a letter, a telegram, or leave a message for me on my 
  2125.         BBS.  Indicate who you *know* is worming about.  I'll keep your 
  2126.         name confidential.
  2127.  
  2128.         It is surprisingly easy to get the authorities in on this -- 
  2129.         they're as concerned about what is happening to our community as 
  2130.         we are.  I'll presume that they'll end up putting a data tap on 
  2131.         the phone line of the accused worm.  Then, when he next uploads a 
  2132.         Trojan or a virus to a BBS, he'll get nailed.  The authorities 
  2133.         are pretty good about this stuff: they'll not tap a phone or take 
  2134.         any action whatsoever without adequate proof.  Will your dropping 
  2135.         a dime on this worm be adequate proof?  I don't know.   Again, a 
  2136.         bridge to cross when we approach it.
  2137.  
  2138.         However, assuming that this slimeball gets nailed, you'll get all 
  2139.         of the software and hardware which other people have donated. And 
  2140.         the satisfaction of knowing that you've done a Good Thing, that 
  2141.         you've helped an industry and community continue to grow.  This 
  2142.         *is* your community, and the vast majority of people in it are 
  2143.         good people who shouldn't have to fear from your friend.  Your 
  2144.         friend is not really a friend: he uses you to justify his own 
  2145.         existence.  When someone uses you like that, they're not a 
  2146.         friend, they're a leach.  And you've probably got better things 
  2147.         to do then let somebody use you like that.
  2148.  
  2149.         Most importantly, the worm out there won't know if one of his 
  2150.         friends has already turned him in.  So he won't know if his phone 
  2151.         is tapped.  If *I* were a worm, and considering what kind of 
  2152.         friends I would have, I'd be sure that somebody dropped a dime on 
  2153.         me.  And therefore an intelligent worm (perhaps I'm giving the 
  2154.         worm too much credit?) must presume that their line is tapped and 
  2155.  
  2156.  
  2157.                                        33
  2158.  
  2159.  
  2160.  
  2161.         that they're gonna go to jail if they continue what they're 
  2162.         doing.
  2163.  
  2164.         So just stop, you miserable little lowlife, huh?  You're going to 
  2165.         be arrested. You're going to have to put up with indignities 
  2166.         which even you don't deserve!  Your equipment will be 
  2167.         confiscated.  You'll never get a job in the industry.  You're 
  2168.         going to go to jail.  
  2169.  
  2170.         All because one of your friend's actually has a conscience and 
  2171.         knows what is right and what is wrong.  And what you're doing is 
  2172.         wrong.
  2173.  
  2174.         So, let me get back to the kind of programming I enjoy -- 
  2175.         productive programming.  And turn your programming to useful, 
  2176.         interesting, and productive programming.  You have the talent to 
  2177.         do something useful and good with your life.  What you're doing 
  2178.         is hurting the industry and hurting the community which would 
  2179.         welcome someone with your talents with open arms.
  2180.  
  2181.         And the satisfaction of helping far surpasses the satisfaction 
  2182.         you must get from hurting innocent people.
  2183.  
  2184.         So just stop. 
  2185.  
  2186.  
  2187.         Sincerely, Ross M. Greenberg
  2188.  
  2189.  
  2190.  
  2191.  
  2192.  
  2193.  
  2194.  
  2195.  
  2196.  
  2197.  
  2198.  
  2199.  
  2200.  
  2201.  
  2202.  
  2203.  
  2204.  
  2205.  
  2206.  
  2207.  
  2208.  
  2209.  
  2210.  
  2211.  
  2212.  
  2213.  
  2214.  
  2215.  
  2216.  
  2217.  
  2218.                                        34
  2219.  
  2220.  
  2221.  
  2222.                 APPENDIX  A: Common Questions and Their Answers:
  2223.  
  2224.         Q:  Why does FLU_SHOT+ not work with programs that use graphics 
  2225.             capabilities, such as Microsoft EXCEL?
  2226.  
  2227.         A:  FLU_SHOT+ is a TSR program, and uses up memory on your 
  2228.             computer even when there is no suspicious action taking 
  2229.             place.  When such an action occurs, the current screen must 
  2230.             be saved to bring up the trigger window.  In graphics mode, 
  2231.             this requires a great deal of memory to be set aside, and so 
  2232.             we considered it not worth the loss of memory
  2233.  
  2234.         Q:  So, then, what can I do if I use such graphics programs?
  2235.  
  2236.         A:  Try using the '-B' switch.  You might lose a portion of your 
  2237.             screen, but you'll be able to see what is causing the trigger 
  2238.             to occur.
  2239.  
  2240.         Q:  Certain programs lock up when FLU_SHOT+ triggers -- I have to 
  2241.             reboot the system.  What can I do?
  2242.  
  2243.         A:  Try resetting the Action Keys (with the -Kxx:yy option).  
  2244.             Chances are that your program is taking over the keyboard and 
  2245.             not passing keys over to FLU_SHOT+.  You'll have to 
  2246.             experiment around with keys until you find a set that works.
  2247.  
  2248.         Q:  Certain programs, like WORDPERFECT, use temporary work files, 
  2249.             and then delete them with a call that triggers FLU_SHOT+.  
  2250.             What can I do?
  2251.  
  2252.         A:  Try excluding the class of files causing the trigger with the 
  2253.             'E=' option in your FLUSHOT.DAT file.  Look for the pattern 
  2254.             of the target filenames in the trigger window, and then 
  2255.             install a line into FLUSHOT.DAT that corresponds to it.  Or, 
  2256.             you could exclude that particular directory if you wish.
  2257.  
  2258.         Q:  Every time I run a program like "PRINT", I get a lot of Direct 
  2259.             Disk Access messages from FLU_SHOT+.  Does this mean that 
  2260.             PRINT (for example) is infected with a virus?
  2261.  
  2262.         A:  Not at all! PRINT is a TSR, which means that a portion of it 
  2263.             stays around after you get back your C:> prompt.  Part of 
  2264.             that TSR takes over the Direct Disk Access Interrupts.  
  2265.             Therefore, whenever even a legitimate program makes a call to 
  2266.             do a legitimate disk operation, it appears to come from some 
  2267.             program other than the DOS operating system.  Try putting 
  2268.             your PRINT (or other trusted TSR) command before the call to 
  2269.             FLU_SHOT+ in your AUTOEXEC.BAT file.  This should solve the 
  2270.             problem.
  2271.  
  2272.  
  2273.  
  2274.  
  2275.  
  2276.  
  2277.  
  2278.  
  2279.                                        35
  2280.  
  2281.  
  2282.  
  2283.         Q:  Will FLU_SHOT+ tell me if I have a virus on my disk and will 
  2284.             it remove a virus if found?
  2285.  
  2286.         A:  Nope. FLU_SHOT+ will check that files are what they appear to 
  2287.             be when you run them, if you wish.  And, it will interrupt 
  2288.             the type of suspicious activity associated with a virus 
  2289.             attack.  At that point, you have to consider whether or not 
  2290.             the program you're running is a virus or not, and take 
  2291.             appropriate action if it is.
  2292.  
  2293.         Q:  What kind of appropriate action?
  2294.  
  2295.         A:  First thing to do would be to load a new copy of that program 
  2296.             from your original distribution disk.  Try using the program 
  2297.             again.  If the trigger window pops up, then chances are the 
  2298.             program is violating one of the rules in your FLUSHOT.DAT 
  2299.             file, but isn't a virus.  Change your FLUSHOT.DAT to reflect 
  2300.             whatever exceptions are needed to cause this program to no 
  2301.             longer trigger.
  2302.  
  2303.         Q:  What precautions should I take when reloading a program from 
  2304.             my original distribution disks?
  2305.  
  2306.         A:  You should power off your computer for about ten seconds. 
  2307.             Reboot with a clean, write-protected copy (stick a piece of 
  2308.             black tape over the write enable notch on the disk) in your 
  2309.             A: drive.  Then, do a "SYS" onto your hard disk to play it 
  2310.             safe (see the DOS manuals for an explanation of what SYS does 
  2311.             and how to use it), then reinstall your software.
  2312.  
  2313.         Q:  I see a lot of copies of FLU_SHOT+ on the Bulletin Board 
  2314.             Systems I use.  Are they the same as this version?
  2315.  
  2316.         A:  You'll have to check the version number to make sure -- but 
  2317.             there's no guarantee that the version you see out on a BBS is 
  2318.             going to be a clean copy of FLU_SHOT+ (unless you get it from 
  2319.             one of the BBS's the author uploaded it to himself).  The 
  2320.             commercial releases have an installation program to aid you 
  2321.             your installing FLU_SHOT+ and have a printed manual.
  2322.  
  2323.         Q:  May I distribute this copy of the program onto BBS systems?
  2324.  
  2325.         A:  You may only distribute the .ARC file on the Distribution 
  2326.             Disk to BBS systems.  Without any changes.  If you distribute 
  2327.             any other files from that disk, you will be in violation of 
  2328.             copyright law -- and that's a federal offense!
  2329.  
  2330.         Q:  If I get a virus, what should I do with the infected program?
  2331.  
  2332.         A:  If you like, make a copy of the infected program and send it 
  2333.             to us so we can examine it and determine, if possible, who 
  2334.             might have released it and have them prosecuted.  Otherwise, 
  2335.             simply delete the infected program - a deleted virus can hurt 
  2336.             no one.
  2337.  
  2338.  
  2339.  
  2340.                                        36
  2341.  
  2342.  
  2343.  
  2344.         Q:  I'm interested in seeing what a virus is.  Can you send me 
  2345.             one?
  2346.  
  2347.         A:  Sorry, we can't do that.  Aside from the ethics of releasing 
  2348.             a virus to an unknown person (even if a customer!), there are 
  2349.             now some laws on the books making distribution of a virus a 
  2350.             federal offense.
  2351.  
  2352.         Q:  I ran out of space in my FLUSHOT.DAT file.  Can I expand it 
  2353.             out at all?
  2354.  
  2355.         A:  Nope.  It's of a fixed size in this release of FLU_SHOT+.  
  2356.             There's a big brother of FLU_SHOT+, called FLU_SHOT++, which 
  2357.             provides for an unlimited size for your Protections File.  
  2358.             Send in the card for more information on  FLU_SHOT++ and the 
  2359.             additional protections it affords.
  2360.  
  2361.         Q:  Will FLU_SHOT+ stop every virus out there?
  2362.  
  2363.         A:  No. No software product can stop every virus attack, since 
  2364.             there are a variety of ways a virus can attack your system 
  2365.             and get around FLU_SHOT+'s protection mechanisms.  However, 
  2366.             no virus can infect a program and not change the checksum of 
  2367.             the program.  Therefore, use the C= option in your 
  2368.             FLUSHOT.DAT Protections File on all the programs you run.  
  2369.             That way, you'll know if the program you're running has 
  2370.             become infected since the last time you ran it.
  2371.  
  2372.  
  2373.         Q:  ????
  2374.  
  2375.         A:  42
  2376.  
  2377.  
  2378.  
  2379.  
  2380.  
  2381.  
  2382.  
  2383.  
  2384.  
  2385.  
  2386.  
  2387.  
  2388.  
  2389.  
  2390.  
  2391.  
  2392.  
  2393.  
  2394.  
  2395.  
  2396.  
  2397.  
  2398.  
  2399.  
  2400.  
  2401.                                        37
  2402.  
  2403.  
  2404.  
  2405.                        APPENDIX B: How Does A Virus Work?
  2406.  
  2407.         A computer virus is actually a very simple program to write.  
  2408.         First, a little bit of terminology can help understand what they 
  2409.         are:
  2410.  
  2411.         A computer virus has a number of different parts.  First, some 
  2412.         viruses (some people consider the plural of 'virus' to be 'virii' 
  2413.         -- I don't) have what is called a 'pre-trigger'.  If the pre-
  2414.         trigger does not go off, then the infected program will work 
  2415.         normally, as if not infected.  What makes a pre-trigger go off?
  2416.  
  2417.         Almost anything the virus writer wants.  It can be made to go off 
  2418.         when the disk is more than a certain amount full, or when more 
  2419.         than a certain amount of memory is in use by your programs.  Or, 
  2420.         perhaps, when a certain date comes or has past.  Or, if a certain 
  2421.         program exists on your hard disk.  Fancifully speaking, it could 
  2422.         be set to go off on the correct phase of the moon.
  2423.  
  2424.         Once the pre-trigger goes off (not many viruses have them, by the 
  2425.         way), the next phase, the 'replication aspect' phase, gets 
  2426.         initiated.  Viruses seem to come in two flavors:  the transient 
  2427.         virus, which is only active when you're running your code, and 
  2428.         the Terminate and Stay Resident kind, which stay active from the 
  2429.         time initiated until you reboot your computer.  There's a third 
  2430.         kind, called a 'boot sector' virus, but that'll be discussed 
  2431.         below.
  2432.  
  2433.         When you invoke a program, infected or not, your computer will 
  2434.         read the image of the program from the disk into the computers 
  2435.         memory, do a little bit of futzing with the program (if it's an 
  2436.         program, letting the program tell it what to do from that point 
  2437.         onwards.  The computer's operating system, in this case MS-DOS, 
  2438.         is really stupid:  it gives total control to the running program 
  2439.         from that moment until the program exits and you get back to your 
  2440.         command line prompt.
  2441.  
  2442.         When you invoke an infected program, it is run just as any other 
  2443.         program. The virus portion of that program will typically be run 
  2444.         first.  After passing the pre-trigger (if any), the replication 
  2445.         aspect will consider what types of files to infect.  For the 
  2446.         standard transient virus, this usually means that a given 
  2447.         directory will have one or more of its .COM or .EXE files 
  2448.         infected.  Some viruses will infect only one program each time 
  2449.         they are run, some will infect many.  It's up to the virus 
  2450.         writer.  Each virus has some characteristic about it which is 
  2451.         unique, and often the virus writer will examine the target .COM 
  2452.         or .EXE file for this characteristic to see if the target program 
  2453.         is already infected.  If it is, then the program will be passed 
  2454.         over and the next one examined and potentially infected.
  2455.  
  2456.         Since the computer simply passes control onto the program once it 
  2457.         is loaded into memory, and then basically forgets about it, if 
  2458.         the first few instructions of the program can be changed to cause 
  2459.         the computer to execute some new instructions, it will blindly do 
  2460.  
  2461.  
  2462.                                        38
  2463.  
  2464.  
  2465.  
  2466.         so.  And that's what a virus does.  It takes the first few 
  2467.         instructions of the program, saves them someplace, and replaces 
  2468.         those instructions with a call to jump to the virus code. When 
  2469.         the virus infected program executes later, it will first run the 
  2470.         virus code, then restore the original code (unless the virus 
  2471.         "goes off", discussed below), and finally will jump to the 
  2472.         beginning of the reconstructed program.  The infected program 
  2473.         executes  as if nothing had happened at all.
  2474.  
  2475.         So, when a virus goes to infect another program, it must add code 
  2476.         to it.  And, must replace at least a few instructions, at least 
  2477.         temporarily, with some of its own.
  2478.  
  2479.         Typically, a virus will add to the end of a program, although not 
  2480.         all viruses work that way.
  2481.  
  2482.         This is how almost all transient viruses work.
  2483.  
  2484.         Another, more sophisticated virus, is called the "TSR virus".  
  2485.         This infects a program similarly to the transient virus, but its 
  2486.         "action" involves leaving a little piece of itself behind (those 
  2487.         in the anti-virus field seem to always call that small part left 
  2488.         behind the "worm trail", or the "slime").  This piece becomes an 
  2489.         active, and permanent, part of your computers operating system.  
  2490.         Typically, it will look for instructions your computer sends in 
  2491.         response to you entering a run command.  When you do, it infects 
  2492.         the program you've requested to run before it is actually 
  2493.         executed, then executes it.
  2494.  
  2495.         Going back to the phases, the third phase is called the "trigger 
  2496.         aspect".  Like the pre-trigger, it depends on how devious the 
  2497.         virus writer is when he or she creates the trigger, and can go 
  2498.         off on just about anything.
  2499.  
  2500.         When it goes off, the final (and most dangerous) phase of the 
  2501.         virus is reached:  the "Trojan aspect".  This is the part that 
  2502.         deletes files, trashes your hard disk, or otherwise makes your 
  2503.         life miserable.
  2504.  
  2505.         And, that's all there is a virus.  An ingenious little piece of 
  2506.         code.  Written by a warped person.  Who could spend their time 
  2507.         better if they spent it doing something constructive instead of 
  2508.         destructive. We already know that, of course.  When they mature a 
  2509.         bit, hopefully they'll find that out.  Before they've hurt anyone 
  2510.         else.
  2511.  
  2512.         Oh!  Almost forgot about Boot Sector Viruses.  Here goes:
  2513.  
  2514.         When you turn your computer on, a small program is run before 
  2515.         anything else.  That's called the Boot Sector, and it loads up 
  2516.         some of the important stuff you need to have on your computer in 
  2517.         order for it work.  Little things, like the operating system.  
  2518.         Without the operating system (MS-DOS), your computer is an 
  2519.         expensive paperweight.  Without the Boot Sector, and the program 
  2520.         thereon, you have an expensive paperweight with an inoperable 
  2521.  
  2522.  
  2523.                                        39
  2524.  
  2525.  
  2526.  
  2527.         operating system on it.
  2528.  
  2529.         A Boot Sector Virus replaces the current boot program with 
  2530.         itself, and sticks the original boot sector onto an unused 
  2531.         portion of your disk.  After the Boot Sector Virus has run, 
  2532.         leaving behind a sleazy little worm trail of its own, it will 
  2533.         execute the original boot program.  You'll have an infected 
  2534.         system even before an anti-virus program is run!
  2535.  
  2536.         When you access some other disk, the worm trail of the Boot 
  2537.         Sector Virus will examine the boot sector of that disk.  If not 
  2538.         infected, it will infect it.  Very simple.  And the infected 
  2539.         diskette waits for you to pass it on to one of your friends, who 
  2540.         will then (by booting on that disk) infect their own drive.  And 
  2541.         so.  The moral here:  never boot up your system on anyone else's 
  2542.         disk and you'll be a much happier person.
  2543.  
  2544.  
  2545.  
  2546.  
  2547.  
  2548.  
  2549.  
  2550.  
  2551.  
  2552.  
  2553.  
  2554.  
  2555.  
  2556.  
  2557.  
  2558.  
  2559.  
  2560.  
  2561.  
  2562.  
  2563.  
  2564.  
  2565.  
  2566.  
  2567.  
  2568.  
  2569.  
  2570.  
  2571.  
  2572.  
  2573.  
  2574.  
  2575.  
  2576.  
  2577.  
  2578.  
  2579.  
  2580.  
  2581.  
  2582.  
  2583.  
  2584.                                        40
  2585.