home *** CD-ROM | disk | FTP | other *** search
/ Shareware Overload / ShartewareOverload.cdr / virus / ibm_prot.zip / IBMPROT.DOC
Text File  |  1988-08-09  |  12KB  |  301 lines
  1. ------------------------------
  2.  
  3. Date: Wed 15 Jun 88 15:36:53-PDT
  4. From: Ted Shapin <BEC.SHAPIN@ECLA.USC.EDU>
  5. Subject: Review of IBM Protection Programs
  6.  
  7. This file is IBMPROT.DOC.  Reviews of Virus Protection Programs.  Please
  8. feel free to add to this list.
  9.  
  10. Version 1, 6/15/88, T. Shapin
  11.  
  12. ===============================================================
  13.  
  14. Class 1 are programs that warn of changes to system files after the fact.
  15. These methods either compute some sort of CRC or hash sum, or compare a
  16. file against a copy of the file.  While it is theoretically possible for a
  17. particular CRC to be forged, each program seems to use a different
  18. algorithm for the computation so that different values are obtained.
  19. Furthermore, each version of DOS will give a different values, so I doubt
  20. that the signature can be forged practically.
  21.  
  22. ===============================================================
  23.  
  24. CHKSUM.ARC, contains: CHKSUM.C, CHKSUM.DOC, CHKSUM.EXE, CRC16.C, STOI.C.
  25. From: Bob Taylor, compiled using Turbo C 1.5.
  26.  
  27. What it does: Computes a redundancy check (CRC) for any file, (including
  28. system and hidden), and compares a computed CRC for a file with a
  29. specified one given as a parameter to the program. Wildcard file names and
  30. more than one filename can be supplied as parameters. Either gives a
  31. warning message or optionally sets a return code. On a vanilla 4.77 Mhz
  32. PC, it takes about 7 seconds to check all three system files.
  33.  
  34. Evaluation:  Fast and very useful. [T.S.]
  35.  
  36. - - - -
  37.  
  38. CHECK-OS.ARC, contains: CHECK-OS.DOC, CHECK-OS.EXE, CHECK-OS.PAS.
  39. From: R.J. Bartlett & Erik Ch. Ohrnberger
  40. Compiled with Turbo Pascal version 4.0.
  41.  
  42. What it does: It checks the Filesize, File Date/Time (last updated), and
  43. Checksum of COMMAND.COM, AUTOEXEC.BAT, and CONFIG.SYS. Will also check
  44. system files.
  45.  
  46. Evaluation: On my system it would not handle the "FCBS=" parameter in my
  47. CONFIG.SYS file. It needs some work. [T.S.]
  48.  
  49. - - - -
  50.  
  51. CHKUP14.ARC, contains: CHECKUP.DOC, CHECKUP.EXE, REGISTER.DOC.
  52.  
  53. From: Richard B. Levin. BBS's:  (215) 969-8379 or (215) 635-5226
  54. Compiled Microsoft BASIC v.6.0
  55.  
  56. What it does: Compares a target file's size, its incremental checksum, and
  57. its total checksum.
  58.  
  59. Evaluation: While the method of computing hash sums would be difficult to
  60. forge, it prints lots of messages when it runs, and there is no provision
  61. for returning error codes that can be tested in a batch file. I find the
  62. the lack of source code a minus and the appeals for money obnoxious. [T.S]
  63.  
  64. - - - -
  65.  
  66. CONDOM.ARC, contains: CONDOM.BAT, CONDOM.DOC, CPY.C, CPY.EXE,
  67. DIF.C, DIF.EXE, READ-ME.NOW.
  68.  
  69. From:
  70. Charlie Ros5e [sic], Boulder, Colorado, BBS Fido Node 104/23, Account
  71. Name: Charlie Rose; and Gerry Williams, Albuquerque, New Mexico, BBS Fido
  72. Node 15/1001.
  73.  
  74. DIF.C and CPY.C, were compiled with Aztec C86, Version 3.40b, Manx
  75. Software Systems.
  76.  
  77. What it does: CPY makes a reference copy of any file, including system, or
  78. hidden. DIF compares a current file to the reference copy and sets an
  79. error return code that can be tested in a batch file that indicates what
  80. happened.
  81.  
  82. Evaluation: Very useful for checking system files for any changes. [T.S.]
  83.  
  84. - - - -
  85.  
  86. FILECRC.ARC, contains: COMPARE.CHN, COMPARE.COM, COMPARE.PAS,
  87. FILECRC.COM, FILECRC.DOC and FILECRC.PAS.
  88.  
  89. From: Ted H. Emigh, Department of Genetics, North Carolina State University
  90. Box 7614, Raleigh, NC   27695-7614, emigh@ncsugn.uucp, NEMIGH@TUCC.BITNET.
  91. Compiled with Turbo Pascal 3.0.
  92.  
  93. What it does: FILECRC creates a list of all the files on the default drive
  94. along with creation date, file size, and a CRC (cyclic redundancy check)
  95. for each file.  When FILECRC is run again the new list is compared with
  96. the old list.
  97.  
  98. Evaluation: I tried it on two systems and it didn't work.  They both hung
  99. and I had to reboot. [T.S]
  100.  
  101. - - - -
  102.  
  103. SYSCHK1.ARC contains SYSCHK.EXE and SYSCHK.DOC.
  104.  
  105. From: Terratech, 19817 61st Ave. S.E., Snohomish, WA 98290
  106.  
  107. What it does: Performs checksums of the first and second files in the root
  108. directory and the COMSPEC file.  These are the three system files.  The
  109. first time the checksums are displayed.  If they are given as parameters,
  110. they are compared against the current values. Error levels are set so a
  111. batch file can test the results.
  112.  
  113. Evaluation: Works well.  This is shareware, with donation information only
  114. given if you request it with "SYSCHK /?". [T.S.]
  115.  
  116. - - - -
  117.  
  118. VACCINE.ARC, contains VACCINE.EXE, VACCINE.DOC.
  119.  
  120. From: BBS (616)361-7500
  121.  
  122. What it does: A compiled BASIC program that will give the size, time and
  123. date of a supllied file name. If these are given as parameters, it will
  124. compare the current values with the parameters and print a message that
  125. they agree or disagree.  It will not read files with the system attribute.
  126.  
  127. Evaluation: Probably not very useful. [T.S.]
  128.  
  129. - - - -
  130.  
  131. VIRUSCK.ARC contains: LICENSE, README, VIRUSCK.DOC, VIRUSCK.EXE.
  132.  
  133. From: Matt Cohen, PO Box 10589, State College, PA 16805-0589
  134. Written in Turbo or Microsoft C
  135.  
  136. Source code: 83 lines
  137.  
  138. What it does: It runs a program and reports any changes in its size or
  139. date after it is executed.
  140.  
  141. Evaluation: Not recommended. [T.S.]
  142.  
  143. ===============================================================
  144.  
  145. Class 2 programs terminate and stay resident and attempt to stop
  146. undesirable activity.
  147.  
  148. ===============================================================
  149.  
  150. C-4.COM, INSTALL.EXE
  151.  
  152. From: Interpath, 4423 Cheeney St., Santa Clara, CA 95054,
  153. (408) 988 3832.
  154.  
  155. What it does: This is a commercial product that costs $40.  It makes
  156. itself resident, hooking vectors 9, 13, 21, 22, 26 and 2F.  A message pops
  157. up if any forbidden disk activity tries to take place and gives you the
  158. option of allowing or aborting the action. It protects against any program
  159. that attemots an interrupt level write ti a disk, or any program that
  160. attempts to modify or rename an EXE or COM program or CONFIG.SYS.
  161.  
  162. Evaluation:  It does not warn of batch file modifications. The vendor has
  163. cooperative in modifying the program when indesirable interactions with
  164. other TSR programs were found. Useful in a situation where existing
  165. applications are being run.  Probably not suitable for use where
  166. programmers are busy developing new programs. (These people seem to
  167. operate the National BBS Society, too.) [T.S.]
  168.  
  169. - - - -
  170.  
  171. DPROTECT.ARC contains: DPROTECT.COM, DPROTECT.DOC, READ.ME.
  172.  
  173. From: Gee M. Wong for Public Domain use ONLY.
  174.  
  175. What it does: It installs itself as a resident program, and monitors the
  176. use of the BIOS level interupt 13H to protect one or more disks. If it
  177. detects a write request to a protected disk, it will warn you and then
  178. reboot your PC.
  179.  
  180. Evaluation: Not very practical. I need to be able to write to my hard
  181. disk. [T.S.]
  182.  
  183. - - - -
  184.  
  185. STOP1.ARC contains: NEWSTOP.ASM, NEWSTOP.COM, STOP.DOC.
  186.  
  187. From: Carey Nash, The Programmer's Forum, (818) 701-1021
  188.  
  189. What it does: TSR that hooks interrupt 13H used for ALL low level disk
  190. I/O.  If write or format is requested, it will not allow interrupt 13 to
  191. perform the command, but instead, it return a value to tell the calling
  192. program that the write, or format was successful. It also uses interrupts
  193. 9 and 1C. It can be turned on and off from the keyboard.
  194.  
  195. Evaluation: When I tested it with a program that modifies sector 0, it an
  196. error message saying A: was write protected. It might be useful in
  197. particular circumstances with unknown programs, but I would not recommend
  198. it for general use. [T.S.]
  199.  
  200. - - - -
  201.  
  202. HDSENTRY.ARC contains: HDSENTRY.ASC, HDSENTRY.ASM, HDSENTRY.COM, and
  203. README.1ST.
  204.  
  205. From: Andrew M. Fried, 895 Cynthia Drive, Titusville, Fla. 32780
  206. (305) 268-4500
  207.  
  208. What it does: It will enable you to run any program on a floppy drive
  209. undisturbed, but prevent most programs from accessing the hard disk for
  210. any type of destructive call.  Nondestructive calls such as reading or
  211. resetting the drive are permitted; formatting and writing to the disk are
  212. trapped and prevented from occuring.  Interrupt 26h, the absolute disk
  213. write interrupt, is also effectively removed from the system by this
  214. program.  Hooks interrupt vectors 13h and 26h.
  215.  
  216. Evaluation: Useful. It prevented a program from changing sector 0 on my
  217. hard disk, although the program ran to completion and thought that it did.
  218. [T.S]
  219.  
  220. - - - -
  221.  
  222. BOMBSQAD.ARC contains: BOMBSQAD.COM, BOMBSQAD.DOC. (Version 1.3)
  223.  
  224. From: Andy Hopkins, 526 Walnut Lane, Swarthmore, PA 19081.
  225. BBS: 302-764-7522
  226.  
  227. What it does: It hooks interrupt vectors 13 and 70, intercepts calls,
  228. displays what is going to happen, and asks if you want to continue
  229.  
  230. Evaluation: It did stop calls to write to a sector on my hard drive, but
  231. it also interfered with being able to read from A: when it should have
  232. allowed that operation. [T.S.]
  233.  
  234. =================================================================
  235.  
  236. Class 3 Combination programs.  These combine a check of system files with
  237. a TSR part that watches for dangerous disk activity.
  238.  
  239. =================================================================
  240.  
  241. FSP-12.ARC contains: $READ_ME.1ST, $TOC, FLUSHOT.DAT, FLU_POKE.COM,
  242. FLU_REG.FRM, FSP.COM, FSP.TXT, F_FEED, HARDWARE.TXT, MY_OWN.CPY,
  243. PRINT.BAT, RAMNET.TXT, REWARD.FRM, REWARD.LST, THE_COOP.TXT,
  244. UPDATES.TXT. [Flu_shot+]
  245.  
  246. From: Ross M. Greenberg, 594 Third Avenue, New York, N.Y. 10016
  247. BBS:(212)-889-6438.
  248.  
  249. What it does: After performing a check sum of the three system files, it
  250. installs itself as a TSR COMMAND.COM copy, hooking interrupt vectors 8, 9,
  251. 13, 20, 21, 26, 27 and 28.  It reads a data file that tells how you wish
  252. files to be protected, e.g. no read, read only, no EXE or COM or BAT
  253. files, etc.  When any program attempts to do something forbidden, a pop-up
  254. window tells you and lets you abort or allow the operation.
  255.  
  256. Evaluation: Although PC Magazine, June 88 recommended it, a number of
  257. people have reported serious bugs that have not yet been fixed by the
  258. author.  At this time, this version is *not* recommended.
  259.  
  260. =================================================================
  261.  
  262. Miscellaneous
  263.  
  264. =================================================================
  265.  
  266. CHK4BOMB.EXE ("Check for Bomb").
  267.  
  268. From: Andrew M. Fried, 895 Cynthia Drive, Titusville, Fla. 32780
  269. (305) 268-4500
  270.  
  271. What it does: It reads a .EXE of .COM program file from disk and attempts
  272. to spot dangerous code and suspicious messages.
  273.  
  274. Evaluation: Useful for displaying text strings in program files, but of
  275. almost no usefulness for virus protection. [T.S.]
  276.  
  277. - - - -
  278.  
  279. VIRU-SIM.TXT, VIRU-SIM.EXE.
  280.  
  281. From: National BBS Society/ICUG, 4423 Cheeney Street, Santa Clara, CA
  282. 95054.
  283. Voice - 408 727 4559,   BBS - 408 988 4004
  284.  
  285. What it does: VIRU-SIM is a program that simulates characteristic
  286. activities that .COM and .EXE infector viruses use for replication.  It
  287. also simulates some of the destructive activities used by viruses to
  288. destroy disk information.  It does not simulate the infection techniques
  289. of boot infector viruses (such as the Pakistani Brain Virus).
  290.  
  291. VIRU-SIM may be used as a tool to test the effectiveness of anti-viral
  292. measures and as demonstration tool for viral replication activities.
  293.  
  294. VIRU-SIM is available free of charge from the BBS Society's Homebase
  295. bulletin board, or is available on diskette for a $3.00 mailing and
  296. handling fee.
  297.  
  298. Evaluation: Useful for testing protection programs. [T.S.]
  299.  
  300. ------------------------------
  301.