home *** CD-ROM | disk | FTP | other *** search
/ Cream of the Crop 11 / Cream of the Crop 11-1.iso / virus / n10a25.zip / VIRSPEC.TXT < prev   
Text File  |  1995-11-01  |  8KB  |  190 lines
  1. VIRSPEC.TXT - Special Information Regarding Unique Viruses
  2. AntiVirus Lab, SYMANTEC/Peter Norton Product Group
  3. November 1, 1995
  4. *******************************************************************************
  5.  
  6. In instances where viruses employ new or previously unused technology, NAV
  7. requires the use of various external files to effectivly detect and/or repair 
  8. infections. We have made these external files available for you to download. 
  9. The file is named REPAIR.ZIP and is available from wherever you downloaded this 
  10. file.
  11.  
  12. ========================
  13. External Files Available
  14. ========================
  15. NAV requires external files to detect and/or repair the following viruses:
  16.  
  17.      Annoying.4060
  18.      Bad_Head
  19.      Byway
  20.      CPW
  21.      Crazy Boot
  22.      Da'Boys
  23.      Die Hard
  24.      Emmie.2702
  25.      Emmie.2823
  26.      Emmie.3097
  27.      Fairz
  28.      Frankenstein
  29.      Neuroquila
  30.      Sat_Bug.Natas
  31.      Urkel
  32.      WinWord Macro Family (WinWord.Concept and WinWord.Nuclear)
  33.  
  34.  
  35.  
  36. ========================
  37. Disappearing Hard Drives
  38. ========================
  39. There are several viruses that appear to cause the hard drive to "disappear" 
  40. when booting from a clean floppy disk. This occurs when the virus encrypts or 
  41. moves the partition table (a vital part of the system area). Everything 
  42. appears to be fine as long as the virus is in memory because the virus tells 
  43. DOS where the partition table is, or acts as the partition table itself. When 
  44. you boot clean, DOS can't find the partition table as the virus isn't around 
  45. to give it directions. As a result, you might receive a "Invalid drive 
  46. specification" or similar error when trying to access the drive.
  47.  
  48. When you boot clean to have NAV repair such an infection, the hard drive will 
  49. not appear in the drive list. Not to worry! NAV, with the default options 
  50. enabled, will bypass DOS and look directly at the hard drive and check the 
  51. system area for infection no matter what you scan. In effect, scanning your 
  52. floppy will scan memory, the floppy AND the system area of the hard drive. If 
  53. an infection is discovered, you will be alerted appropriately.
  54.  
  55. Examples of viruses that work in this manner are Crazy Boot, Frankenstein,
  56. Neuroquila and Stoned.Empire.Monkey.
  57.  
  58.  
  59. ==========
  60. Crazy Boot
  61. ==========
  62. The Crazy Boot virus is a MBR infector that behaves much like the 
  63. Stoned.Empire.Monkey virus.  Due to the nature of this virus, once you have 
  64. started your computer from an uninfected diskette, you will no longer see your
  65. fixed disk. Booting with the virus in memory will allow you to see and access 
  66. your hard disk, but Crazy Boot will continue to spread at every opportunity.
  67.  
  68. If Norton AntiVirus finds the Crazy Boot virus on your computer, please 
  69. contact Technical Support department for instructions on how to remove the 
  70. virus.  Please do not attempt to repair the virus without talking to Technical 
  71. Support first.
  72.  
  73. Requires external file for repair.
  74.  
  75. *******************************************************************************
  76. WARNING: Because of the unusual behavior of this virus, DO NOT reinoculate the 
  77. master boot record or use inoculation technology to repair the virus and DO 
  78. NOT attempt to repair your hard disk using Norton Disk Doctor or any other 
  79. disk repair utility.
  80. *******************************************************************************
  81.  
  82.  
  83. ==========
  84. Neuroquila
  85. ==========
  86. Neuroquila is a multipartite virus that behaves in some ways like the 
  87. Stoned.Empire.Monkey virus or Crazy Boot. In addition to infecting files, it 
  88. will infect and encrypt both the master boot record and boot sector. Due to 
  89. this encryption, once you have started your computer from an uninfected 
  90. diskette, you will no longer see your fixed disk. Booting with the virus in 
  91. memory will allow you to see and access your hard disk, but Neuroquila will 
  92. continue to spread at every opportunity.
  93.  
  94. If Norton AntiVirus detects the Neuroquila virus on your computer, please
  95. contact Technical Support department for instructions on how to remove
  96. the virus. Please do not attempt to repair the virus without talking to
  97. Technical Support first.
  98.  
  99. Requires external file for complete detection and repair.
  100.  
  101. *******************************************************************************
  102. WARNING: Because of the unusual behavior of this virus, DO NOT reinoculate the 
  103. master boot record, boot sector or use inoculation technology to repair the 
  104. virus and DO NOT attempt to repair your hard disk using Norton Disk Doctor or 
  105. any other disk repair utility.
  106. *******************************************************************************
  107.  
  108.  
  109. ==============
  110. One Half Virus
  111. ==============
  112. The One Half virus is a multipartite virus that exhibits both stealth and
  113. polymorphic behavior.  In addition to infecting files and master boot records,
  114. the One Half virus will encrypt data on your hard disk. 
  115.  
  116. To date, the One Half virus has been detected in parts of Europe, specifically 
  117. Russia and other Eastern bloc countries.  The virus was also detected in a 
  118. U.S. government agency.
  119.  
  120. Starting November 1, 1994 the virus definitions file includes a definition 
  121. for detecting this virus.
  122.  
  123. If Norton AntiVirus finds the One Half virus on your computer, please contact 
  124. Technical Support department for instructions on how to remove the virus.  
  125. Please do not attempt to repair the virus without talking to Technical Support 
  126. first.
  127.  
  128. *******************************************************************************
  129. WARNING: Because of the unusual behavior of this virus, DO NOT reinoculate the 
  130. master boot record or use inoculation technology to repair the virus and DO 
  131. NOT attempt to repair your hard disk using Norton Disk Doctor or any other 
  132. disk repair utility.
  133. *******************************************************************************
  134.  
  135.  
  136. ===========
  137. Viking.Dec3
  138. ===========
  139. The Viking.Dec3 virus alters EXE files in such a way that NAV is not able to 
  140. completely repair them.  However, we felt it was important to give you as much 
  141. of the repair as possible rather than none.  NAV will repair the COM files 
  142. flawlessly, but the EXE repair requires some input from you.
  143.  
  144. In order to complete the EXE repair, we need your involvement.  As a result, 
  145. we recommend that you replace files from backups where you can. And where you 
  146. can't, apply the following procedure.  If you need help with this repair, we 
  147. encourage you to call our Technical Support.
  148.  
  149. After an EXE file is repaired by NAV, one must take the following additional 
  150. steps.  Lines prefixed by the "greater than" sign represent lines to be typed 
  151. at the DOS prompt.  Lines prefixed by a dash are typed while running debug.
  152.  
  153.         >rename filename.exe filename.bad
  154.         >debug filename.bad
  155.         -d 100 l 4
  156.         Verify that the first byte is E9 and the fourth byte is
  157.         C0.  If yes, proceed.  If no, quit (q) from debug.
  158.         -e 100 4d 5a ff 1
  159.         -w
  160.         -q
  161.         >rename filename.bad filename.exe
  162.  
  163.  
  164. ====================
  165. WinWord Macro Family
  166. ====================
  167. The WinWord Macro family of viruses uses the WordBasic macro language to
  168. infect and, in some cases, implant binary viruses into host programs. These 
  169. macros reside within Word document templates and the documents themselves. 
  170. Most notably, this family of viruses is platform independant - they will 
  171. infect documents and templates on DOS, Windows, Mac and Windows NT operating 
  172. systems.
  173.  
  174. The default NAV settings do not check non-binary files. In order for 
  175. NAV to detect these viruses, you must have the external detection file 
  176. (VIRSPWD.DAT) in your NAV directory and you must set your scanning options
  177. to scan "All Files." For more information on setting this option, see Chapter 
  178. 8 "Customizing Virus Checking" of your User's Guide. With that in place, scan
  179. your system as usual.
  180.  
  181. Microsoft has provided a repair solution for the WinWord.Concept virus. You can
  182. obtain additional information regarding the virus and a repair for it from the
  183. following locations:
  184.  
  185. - The Microsoft WWW site at http://www.microsoft.com/msoffice/prank.htm
  186. - The Microsoft Network. Go word: wordprankfix 
  187. - The Word forums on CompuServe and America Online
  188. - Customers can call Microsoft's Product Support Services at 206-462-9673 for 
  189.   Word for Windows, and 206-635-7200 for Word for the Macintosh. 
  190.