home *** CD-ROM | disk | FTP | other *** search

---

/ Simtel MSDOS - Coast to Coast / simteldosarchivecoasttocoast.iso / virus / ibmprot.doc

< prev

next >

Wrap

Text File  |  1994-03-07  |  11KB  |  218 lines

---

1. This file is IBMPROT.DOC.
2. Reviews of Virus Protection Programs
3. Please feel free to add to this list.
4. Version 1, 6/15/88, T. Shapin
5. ===============================================================
6. Class 1 are programs that warn of changes to system files after the fact.
7. These methods either compute some sort of CRC or hash sum, or compare a
8. file against a copy of the file.  While it is theoretically possible
9. for a particular CRC to be forged, each program seems to use a different
10. algorithm for the computation so that different values are obtained.
11. Furthermore, each version of DOS will give a different values, so I
12. doubt that the signature can be forged practically.
13. ===============================================================
14. CHKSUM.ARC, contains: CHKSUM.C, CHKSUM.DOC, CHKSUM.EXE, CRC16.C, STOI.C. 
15. From: Bob Taylor, compiled using Turbo C 1.5. 
16. What it does: Computes a redundancy check (CRC) for any file, (including 
17. system and hidden), and compares a computed CRC for a file with a specified 
18. one given as a parameter to the program. Wildcard file names and more than one 
19. filename can be supplied as parameters. Either gives a warning message or 
20. optionally sets a return code. On a vanilla 4.77 Mhz PC, it takes about 7 
21. seconds to check all three system files. 
22. Evaluation:  Fast and very useful. [T.S.]
23. - - - -
24. CHECK-OS.ARC, contains: CHECK-OS.DOC, CHECK-OS.EXE, CHECK-OS.PAS.
25. From: R.J. Bartlett & Erik Ch. Ohrnberger
26. Compiled with Turbo Pascal version 4.0.
27. What it does: It checks the Filesize, File Date/Time (last updated), and 
28. Checksum of COMMAND.COM, AUTOEXEC.BAT, and CONFIG.SYS. Will also check
29. system files.
30. Evaluation: On my system it would not handle the "FCBS=" parameter in
31. my CONFIG.SYS file. It needs some work. [T.S.]
32. - - - -
33. CHKUP14.ARC, contains: CHECKUP.DOC, CHECKUP.EXE, REGISTER.DOC.
34. From: Richard B. Levin. BBS's:  (215) 969-8379 or (215) 635-5226
35. Compiled Microsoft BASIC v.6.0
36. What it does: Compares a target file's size, its incremental checksum, and its 
37. total checksum. 
38. Evaluation: While the method of computing hash sums would be difficult to
39. forge, it prints lots of messages when it runs, and there is no provision for 
40. returning error codes that can be tested in a batch file. I find the 
41. the lack of source code a minus and the appeals for money obnoxious. [T.S] 
42. - - - -
43. CONDOM.ARC, contains: CONDOM.BAT, CONDOM.DOC, CPY.C, CPY.EXE,
44. DIF.C, DIF.EXE, READ-ME.NOW.
45. From:
46.  Charlie Ros5e [sic], Boulder, Colorado, BBS Fido Node 104/23, Account Name: 
47. Charlie Rose; and Gerry Williams, Albuquerque, New Mexico, BBS Fido Node 
48. 15/1001. 
49. DIF.C and CPY.C, were compiled with Aztec C86, Version 3.40b, Manx Software 
50. Systems.
51. What it does: 
52. CPY makes a reference copy of any file, including system, or hidden. DIF 
53. compares a current file to the reference copy and sets an error return code 
54. that can be tested in a batch file that indicates what happened. 
55. Evaluation: Very useful for checking system files for any changes. [T.S.] 
56. - - - -
57. FILECRC.ARC, contains: COMPARE.CHN, COMPARE.COM, COMPARE.PAS,
58. FILECRC.COM, FILECRC.DOC and FILECRC.PAS.
59. From: Ted H. Emigh, Department of Genetics, North Carolina State University
60. Box 7614, Raleigh, NC   27695-7614, emigh@ncsugn.uucp, NEMIGH@TUCC.BITNET.
61. Compiled with Turbo Pascal 3.0.
62. What it does: 
63. FILECRC creates a list of all the files on the default drive along with 
64. creation date, file size, and a CRC (cyclic redundancy check) for each file.  
65. When FILECRC is run again the new list is compared with the old list.  
66. Evaluation: I tried it on two systems and it didn't work.  They 
67. both hung and I had to reboot. [T.S]
68. - - -
69. SYSCHK1.ARC contains SYSCHK.EXE and SYSCHK.DOC.
70. From: Terratech, 19817 61st Ave. S.E., Snohomish, WA 98290 
71. What it does:
72. Performs checksums of the first and second files in the root directory
73. and the COMSPEC file.  These are the three system files.  The first time
74. the checksums are displayed.  If they are given as parameters, they are
75. compared against the current values. Error levels are set so a batch file
76. can test the results.
77. Evaluation: Works well.  This is shareware, with donation information only
78. given if you request it with "SYSCHK /?". [T.S.]
79. - - - -
80. VACCINE.ARC, contains VACCINE.EXE, VACCINE.DOC.
81. From: BBS (616)361-7500
82. What it does:
83. A compiled BASIC program that will give the size, time and date of a
84. supllied file name. If these are given as parameters, it will compare the
85. current values with the parameters and print a message that they
86. agree or disagree.  It will not read files with the system attribute.
87. Evaluation: Probably not very useful. [T.S.]
88. - - - -
89. VIRUSCK.ARC contains: LICENSE, README, VIRUSCK.DOC, VIRUSCK.EXE.
90. From: Matt Cohen, PO Box 10589, State College, PA 16805-0589
91. Written in Turbo or Microsoft C
92. Source code: 83 lines
93. What it does:
94. It runs a program and reports any changes in its size or date
95. after it is executed. 
96. Evaluation: Not recommended. [T.S.]
97.  
98. ===============================================================
99. Class 2 programs terminate and stay resident and attempt to stop
100. undesirable activity.
101. ===============================================================
102. C-4.COM, INSTALL.EXE
103. From: Interpath, 4423 Cheeney St., Santa Clara, CA 95054, 
104. (408) 988 3832.
105. What it does:
106. This is a commercial product that costs $40.  It makes itself
107. resident, hooking vectors 9, 13, 21, 22, 26 and 2F.
108. A message pops up if any forbidden disk activity tries to take
109. place and gives you the option of allowing or aborting the
110. action. It protects against any program that attemots an interrupt
111. level write ti a disk, or any program that attempts to modify or
112. rename an EXE or COM program or CONFIG.SYS.
113. Evaluation:  It does not warn of batch file modifications. The vendor 
114. has cooperative in modifying the program when indesirable interactions
115. with other TSR programs were found. Useful in a situation where
116. existing applications are being run.  Probably not suitable for use where 
117. programmers are busy developing new programs. (These people seem to operate
118. the National BBS Society, too.) [T.S.]
119. - - - -
120. DPROTECT.ARC contains: DPROTECT.COM, DPROTECT.DOC, READ.ME.
121. From: Gee M. Wong for Public Domain use ONLY.
122. What it does:
123. It installs itself as a resident program, and monitors the use of the BIOS 
124. level interupt 13H to protect one or more disks. If it detects a write 
125. request to a protected disk, it will warn you and then reboot your PC.
126. Evaluation: Not very practical. I need to be able to write to my
127. hard disk. [T.S.]
128. - - - -
129. STOP1.ARC contains: NEWSTOP.ASM, NEWSTOP.COM, STOP.DOC.
130. From: Carey Nash, The Programmer's Forum, (818) 701-1021
131. What it does:
132. TSR that hooks interrupt 13H used for ALL low level disk I/O. 
133. If write or format is requested, it will not allow interrupt 13 to 
134. perform the command, but instead, it return a value to tell the calling 
135. program that the write, or format was successful. It also uses interrupts 9 
136. and 1C. It can be turned on and off from the keyboard. 
137. Evaluation: When I tested it with a program that modifies sector 0,
138. it an error message saying A: was write protected. It might be 
139. useful in particular circumstances with unknown programs, but I would
140. not recommend it for general use. [T.S.]
141. - - - -
142. HDSENTRY.ARC contains: HDSENTRY.ASC, HDSENTRY.ASM, HDSENTRY.COM, and
143. README.1ST.
144. From: Andrew M. Fried, 895 Cynthia Drive, Titusville, Fla. 32780
145. (305) 268-4500
146. What it does: 
147. It will enable you to run any program on a floppy drive undisturbed, but
148. prevent most programs from accessing the hard disk for any type
149. of destructive call.  Nondestructive calls such as reading or resetting the
150. drive are permitted; formatting and writing to the disk are trapped and
151. prevented from occuring.  Interrupt 26h, the absolute disk write interrupt,
152. is also effectively removed from the system by this program.
153. Hooks interrupt vectors 13h and 26h.
154. Evaluation: Useful. It prevented a program from changing sector 0 on my hard 
155. disk, although the program ran to completion and thought that it did. [T.S] 
156. - - - -
157. BOMBSQAD.ARC contains: BOMBSQAD.COM, BOMBSQAD.DOC. (Version 1.3)
158. From: Andy Hopkins, 526 Walnut Lane, Swarthmore, PA 19081.
159. BBS: 302-764-7522
160. What it does: 
161. It hooks interrupt vectors 13 and 70, intercepts calls,
162. displays what is going to happen, and asks if you want to continue 
163. Evaluation:
164. It did stop calls to write to a sector on my hard drive, but it also
165. interfered with being able to read from A: when it should have allowed
166. that operation. [T.S.]
167. =================================================================
168. Class 3 Combination programs.  These combine a check of system files
169. with a TSR part that watches for dangerous disk activity.
170. =================================================================
171. FSP-12.ARC contains: $READ_ME.1ST, $TOC, FLUSHOT.DAT, FLU_POKE.COM,
172. FLU_REG.FRM, FSP.COM, FSP.TXT, F_FEED, HARDWARE.TXT, MY_OWN.CPY,
173. PRINT.BAT, RAMNET.TXT, REWARD.FRM, REWARD.LST, THE_COOP.TXT, 
174. UPDATES.TXT. [Flu_shot+]
175. From: Ross M. Greenberg, 594 Third Avenue, New York, N.Y. 10016
176. BBS:(212)-889-6438.
177. What it does:
178. After performing a check sum of the three system files, it installs
179. itself as a TSR COMMAND.COM copy, hooking interrupt vectors
180. 8, 9, 13, 20, 21, 26, 27 and 28.  It reads a data file that tells
181. how you wish files to be protected, e.g. no read, read only, no
182. EXE or COM or BAT files, etc.  When any program attempts to do something 
183. forbidden, a pop-up window tells you and lets you abort or allow the 
184. operation. 
185. Evaluation: Although PC Magazine, June 88 recommended it, a number
186. of people have reported serious bugs that have not yet been fixed
187. by the author.  At this time, this version is *not* recommended.
188. =================================================================
189. Miscellaneous
190. =================================================================
191. CHK4BOMB.EXE ("Check for Bomb").
192. From: Andrew M. Fried, 895 Cynthia Drive, Titusville, Fla. 32780
193. (305) 268-4500
194. What it does:
195. It reads a .EXE of .COM program file from disk and attempts to spot
196. dangerous code and suspicious messages.
197. Evaluation: Useful for displaying text strings in program files, but of
198. almost no usefulness for virus protection. [T.S.]
199. - - - -
200. VIRU-SIM.TXT, VIRU-SIM.EXE.
201. From: National BBS Society/ICUG, 4423 Cheeney Street, Santa Clara, CA 95054.
202. Voice - 408 727 4559,   BBS - 408 988 4004     
203. What it does:
204. VIRU-SIM is a program that simulates characteristic
205. activities that .COM and .EXE infector viruses use for
206. replication.  It also simulates some of the destructive
207. activities used by viruses to destroy disk information.  It does
208. not simulate the infection techniques of boot infector viruses
209. (such as the Pakistani Brain Virus).  
210. VIRU-SIM may be used as a tool to test the effectiveness of
211. anti-viral measures and as demonstration tool for viral
212. replication activities. 
213. VIRU-SIM is available free of charge from the BBS Society's
214. Homebase bulletin board, or is available on diskette for a $3.00
215. mailing and handling fee. 
216. Evaluation: Useful for testing protection programs. [T.S.]
217. ======== end =======
218.