home *** CD-ROM | disk | FTP | other *** search
/ Cream of the Crop 11 / Cream of the Crop 11-1.iso / virus / 12nav95.zip / VIRSPEC.TXT < prev    next >
Text File  |  1995-12-01  |  8KB  |  169 lines
  1. VIRSPEC.TXT - Special Information Regarding Unique Viruses
  2. AntiVirus Lab, SYMANTEC/Peter Norton Product Group
  3. December 1, 1995
  4. **************************************************************************
  5.  
  6. In instances where viruses employ new or previously unused technology, NAV
  7. requires the use of various external files to effectivly detect and/or 
  8. repair infections. We have made these external files available for you to 
  9. download.
  10.  
  11. ========================
  12. Disappearing Hard Drives
  13. ========================
  14. There are several viruses that appear to cause the hard drive to 
  15. "disappear" when booting from a clean floppy disk. This occurs when the 
  16. virus encrypts or moves the partition table (a vital part of the system 
  17. area). Everything appears to be fine as long as the virus is in memory 
  18. because the virus tells DOS where the partition table is, or acts as the 
  19. partition table itself. When you boot clean, DOS can't find the partition 
  20. table as the virus isn't around to give it directions. As a result, you 
  21. might receive a "Invalid drive specification" or similar error when 
  22. trying to access the drive.
  23.  
  24. When you boot clean to have NAV repair such an infection, the hard drive 
  25. will not appear in the drive list. Not to worry! NAV, with the default 
  26. options enabled, will bypass DOS and look directly at the hard drive and 
  27. check the system area for infection no matter what you scan. In effect, 
  28. scanning your floppy will scan memory, the floppy AND the system area of 
  29. the hard drive. If an infection is discovered, you will be alerted 
  30. appropriately.
  31.  
  32. Examples of viruses that work in this manner are Crazy Boot, Frankenstein,
  33. Neuroquila and Stoned.Empire.Monkey.
  34.  
  35.  
  36. ==========
  37. Crazy Boot
  38. ==========
  39. The Crazy Boot virus is a MBR infector that behaves much like the 
  40. Stoned.Empire.Monkey virus.  Due to the nature of this virus, once you 
  41. have started your computer from an uninfected diskette, you will no 
  42. longer see your fixed disk. Booting with the virus in memory will allow 
  43. you to see and access your hard disk, but Crazy Boot will continue to 
  44. spread at every opportunity.
  45.  
  46. If Norton AntiVirus finds the Crazy Boot virus on your computer, please 
  47. contact Technical Support department for instructions on how to remove the
  48. virus.  Please do not attempt to repair the virus without talking to 
  49. Technical Support first.
  50.  
  51. Requires external file for repair.
  52.  
  53. **************************************************************************
  54. WARNING: Because of the unusual behavior of this virus, DO NOT reinoculate 
  55. the master boot record or use inoculation technology to repair the virus 
  56. and DO NOT attempt to repair your hard disk using Norton Disk Doctor or 
  57. any other disk repair utility.
  58. **************************************************************************
  59.  
  60.  
  61. ==========
  62. Neuroquila
  63. ==========
  64. Neuroquila is a multipartite virus that behaves in some ways like the 
  65. Stoned.Empire.Monkey virus or Crazy Boot. In addition to infecting files,
  66. it will infect and encrypt both the master boot record and boot sector. 
  67. Due to this encryption, once you have started your computer from an 
  68. uninfected diskette, you will no longer see your fixed disk. Booting with 
  69. the virus in memory will allow you to see and access your hard disk, but 
  70. Neuroquila will continue to spread at every opportunity.
  71.  
  72. If Norton AntiVirus detects the Neuroquila virus on your computer, please
  73. contact Technical Support department for instructions on how to remove
  74. the virus. Please do not attempt to repair the virus without talking to
  75. Technical Support first.
  76.  
  77. Requires external file for complete detection and repair.
  78.  
  79. **************************************************************************
  80. WARNING: Because of the unusual behavior of this virus, DO NOT reinoculate 
  81. the master boot record or use inoculation technology to repair the virus 
  82. and DO NOT attempt to repair your hard disk using Norton Disk Doctor or 
  83. any other disk repair utility.
  84. **************************************************************************
  85.  
  86.  
  87. ==============
  88. One Half Virus
  89. ==============
  90. The One Half virus is a multipartite virus that exhibits both stealth and
  91. polymorphic behavior.  In addition to infecting files and master boot 
  92. records, the One Half virus will encrypt data on your hard disk. 
  93.  
  94. To date, the One Half virus has been detected in parts of Europe, 
  95. specifically Russia and other Eastern bloc countries.  The virus was also 
  96. detected in a U.S. government agency.
  97.  
  98. Starting November 1, 1994 the virus definitions file includes a definition
  99. for detecting this virus.
  100.  
  101. If Norton AntiVirus finds the One Half virus on your computer, please 
  102. contact Technical Support department for instructions on how to remove the 
  103. virus. Please do not attempt to repair the virus without talking to 
  104. Technical Support first.
  105.  
  106. **************************************************************************
  107. WARNING: Because of the unusual behavior of this virus, DO NOT reinoculate 
  108. the master boot record or use inoculation technology to repair the virus 
  109. and DO NOT attempt to repair your hard disk using Norton Disk Doctor or 
  110. any other disk repair utility.
  111. **************************************************************************
  112.  
  113.  
  114. ===========
  115. Viking.Dec3
  116. ===========
  117. The Viking.Dec3 virus alters EXE files in such a way that NAV is not able 
  118. to completely repair them.  However, we felt it was important to give you 
  119. as much of the repair as possible rather than none.  NAV will repair the 
  120. COM files flawlessly, but the EXE repair requires some input from you.
  121.  
  122. In order to complete the EXE repair, we need your involvement.  As a 
  123. result, we recommend that you replace files from backups where you can. 
  124. And where you can't, apply the following procedure.  If you need help with
  125. this repair, we encourage you to call our Technical Support.
  126.  
  127. After an EXE file is repaired by NAV, one must take the following 
  128. additional steps.  Lines prefixed by the "greater than" sign represent 
  129. lines to be typed at the DOS prompt.  Lines prefixed by a dash are typed 
  130. while running debug.
  131.  
  132.         >rename filename.exe filename.bad
  133.         >debug filename.bad
  134.         -d 100 l 4
  135.         Verify that the first byte is E9 and the fourth byte is
  136.         C0.  If yes, proceed.  If no, quit (q) from debug.
  137.         -e 100 4d 5a ff 1
  138.         -w
  139.         -q
  140.         >rename filename.bad filename.exe
  141.  
  142.  
  143. ====================
  144. MS Word Macro Family
  145. ====================
  146. The Word Macro family of viruses uses the WordBasic macro language to
  147. infect and, in some cases, implant binary viruses into host programs. 
  148. These macros reside within Word document templates and the documents 
  149. themselves. Most notably, this family of viruses is platform independant -
  150. they will infect documents and templates on DOS, Windows, Mac and Windows 
  151. NT operating systems.
  152.  
  153. In order for NAV to detect these viruses, you must insure that your
  154. scanning options include .DOC and .DOT extensions (or you have selected
  155. the option to scan "All Files"). For more information on setting this option,
  156. see Chapter 8 "Customizing Virus Checking" of your User's Guide. With that
  157. in place, scan your system as usual.
  158.  
  159. Microsoft has provided a repair solution for the Concept virus. You can 
  160. obtain additional information regarding the virus and a repair for it from
  161. the following locations:
  162.  
  163. - The Microsoft WWW site at http://www.microsoft.com/msoffice/prank.htm
  164. - The Microsoft Network. Go word: wordprankfix 
  165. - The Word forums on CompuServe and America Online
  166. - Customers can call Microsoft's Product Support Services at 206-462-9673
  167.   for Word for Windows, and 206-635-7200 for Word for the Macintosh.
  168.  
  169.