home *** CD-ROM | disk | FTP | other *** search

---

/ The Best of the Best / _.img / 01193 / tbscan33 / comprsca.nfo

< prev

next >

Wrap

Text File  |  1992-04-12  |  7KB  |  187 lines

---

1.  
2.                   -====== COMPRSCA.DAT INFO ======-
3.  
4. 1 Introduction to Comprsca.dat
5. 2 Executable File Compressor overview
6. 3 Why you should use Comprsca.dat
7. 4 When you should use Comprsca.dat
8. 5 How to use it....
9. 6 Example virusbul.dat
10. 7 Disclaimer
11.  
12. 1 Introduction Comprsca.dat
13. ──────────────────────────-
14.  
15. The introduction  of  executable file compressors  has added a    new dimension
16. to virus scanning.  Previously it was fairly easy  to scan  executable files.
17. You just ran  your favorite scan program and the job was done. If you do this
18. now it's possible your scanner  might miss something, not because  you have a
19. bad scanner  but because the virusstring it is looking for has been encrypted
20. by an executable file compressor.  The signatures  in comprsca.dat  will help
21. you  to recognize compressed files.  They cannot tell you  if a compressed is
22. infected internally.  This can only  be done by  rescanning the file after it
23. has been extracted to its original size.
24.  
25.  
26.  
27. 2 Executable File Compressor overview
28. ────────────────────────────────────-
29.  
30. Executable File Compressors  (efc's) compress your executable files  in order
31. to  save  diskspace.  When  the  program is  compressed  a  small  amount  of
32. extraction code  is added to the file.    If you run  this program  the program
33. will automatically be expanded into memory.  If you're not familiar with this
34. phenomenon  you'll be  surprised  to see  how many  files on your HD  will be
35. compressed with such a program.
36.  
37. Popular EFC's are: Pklite
38.                    Lzexe
39.                    Diet
40.                    Exepack
41.  
42.  
43. 3 Why you should use comprsca.dat
44. ────────────────────────────────-
45.  
46. If you have received new files.  It's possible that an infected file has been
47. compressed and the virus has been encrypted.
48. Well you may say 'my favorite scanner scans inside Pklited and Lzexed files.'
49. My answer to this is: "Yes, but not always" and never inside Diet and Exepack
50. compressed files. I sincerely hope, they will do this tomorrow.
51.  
52. Compressed files  can easily  be modified.  After modification    even  the own
53. compressor  doesn't recognize the file anymore.  It remains fully functional.
54. I've seen several examples of this.  Some commercial, freeware- and shareware
55. authors do this trick to prevent other people hacking their programs. And not
56. to forget the people who spread viruses.
57.  
58. With this  technique  they could  spread  most    known viruses, say 600.  This
59. multiplied with 10 (efc versions) makes 6000 unrecognized viruses.
60. Of course  if you scan    your HD regularly, you'll detect  something is wrong,
61. because other files on your harddisk get infected.
62. After a "simple" cleaning job your scanner will report that your HD is clean,
63. but  the virus    in the encrypted file  is not found, and you'll see  that the
64. next time you scan your HD it is possibly reinfected.  After a few times this
65. will drive you mad.
66.  
67.       ***** So better find them soon rather than later. *******
68.  
69. 4 When to use comprsca.dat
70. ──────────────────────────
71.  
72. 1 When you want to scan new files.
73. 2 If your HD is regularly reinfected.
74.  
75. Don't  worry about  compressed files  on your HD  if your HD  is clean  after
76. regular  scanning.  We    advise you  to    keep  a logfile  of  your  compressed
77. executables which may be of great importance if situation 2 occurs.
78.  
79. Most of your  MS_DOS files  are compressed with Exepack.  You shouldn't worry
80. about them either.
81.  
82.  
83. 5 How to use comprsca.dat
84. ────────────────────────-
85.  
86. These signatures  can be used  with Htscan  and Tbscan.  Don't use them with
87. Tbscan(x).
88.  
89. You can add  the sigs in  comprsca.dat after the sanity check in Virscan.dat.
90. This can easily be done with the copy command.
91. Copy  virscan.dat + comprsca.dat xxxxxxxx.dat  (xxxxxxx  stands for any valid
92. prefix name, i.e. findem.dat)
93.  
94. Tell  your  scanner (i.e. Htscan)  which  sign.file  it  should use.  Add the
95. following switch  /V[=]<sign.file>: use the specified virus-signature list,
96.  
97. It could look like this:
98. Htscan c: /v=findem.dat /o=c:\novirus\htscan.log
99.  
100. Part of htscan.log
101.  
102. DELDIR.EXE      1 time  infected with: [Compressed with PKLITE]
103. GRASPRT.EXE     1 time  infected with: [Compressed with EXEPACK.2]
104. STARTPRT.EXE    1 time  infected with: [Compressed with EXEPACK]
105. UPACKEXE.EXE    1 time  infected with: [Compressed with LZX]
106.  
107. IMPORTANT NOTICE: This only means that the files are compressed ......
108.  
109. Future versions of Htscan (1.17) will display a more appropriate message.
110.  
111.  
112. Another easy way to use these sigs:
113.  
114. Htscan supports automatically several datfiles: Virscan.dat
115.                                                 Trojan.dat
116.                                                 Virusbul.dat
117.  
118. Rename comprsca.dat to virusbul.dat  Add at the beginning of virusbul.dat
119. ;$VB-
120.  
121.  
122. 6 Example Virusbul.dat
123. ──────────────────────
124.  
125. ;$VB-
126. ;────────────────────────────────────────────────────────────────────────────-;
127. ;%
128. ;%  Signatures for compressed executables
129. ;%  Revision:     920208
130. ;%  Copyright (C) Saesoft 1991,1992
131. ;%  {permission granted for non-commercial use}
132. ;%
133. ;────────────────────────────────────────────────────────────────────────────-;
134. ;
135. [Compressed with PKLITE]
136. COM EXE
137. 8E????B9????33FF57BE????FCF3A5CBB409BA
138. ;
139. [Compressed with PKLITE.2]
140.  
141. ──────- cut────────────-cut────────────cut────────────────────────────────-
142.  
143.  
144.  
145. For further information read your scanner docfiles thoroughly.
146.  
147.  
148. To decompress compressed files, you need at least the following programs:
149.  
150.  Pklite
151.  Diet
152.  Upackexe
153.  Unlzexe
154.  
155. Read the docfiles thoroughly  or use the online help.  You can also use other
156. unpack    utilities.  If    you  cannot  decompress  a  file  there  are  several
157. possibilities.
158.  
159. 1 It was modified after compression by the author of the program.
160. 2 The commercial version of pklite has been used with the E switch.
161. 3 The above has been done with criminal intentions to spread a virus.
162. 4 Your unpack utility is outdated.
163. 4 It's a false positive.
164.  
165.  
166. Disclaimer
167. ──────────
168.  
169. The sigs are released by Jan Terpstra with his Virscan.dat
170. They are made by Edwin Cleton.
171. This info has been written by Dean Buhrmann.
172.  
173. These sigs  are  thoroughly tested  and the persons mentioned above cannot be
174. held liable for  any special, incidental, consequential, indirect  or similar
175. damages  caused by false positives  or by not detecting a compressed file. We
176. appreciate  any remarks.  If you find a compressor  which is not  detected by
177. these sigs. Contact us by netmail please. (Zone 2)
178.  
179. Edwin Cleton, 512/1007.2   EXACT-TBBS ,31-15-610079,9600,MO,HST,CM,XA
180. Dean Buhrmann 500/45.10450 Kennemerland,31-23-316333,9600,V22,V32B,V42B,CM,XA
181.  
182. My personal  view  is that  the authors  of EFC's  should prevent  that their
183. programs are used this way. If a modification has been made after compressing
184. the file  it should be    noticed  by the program (selfcheck).  If you're  in a
185. position to inform the authors, please don't hesitate.
186.  
187.