home *** CD-ROM | disk | FTP | other *** search
/ ftp.pasteur.org/FAQ/ / ftp-pasteur-org-FAQ.zip / FAQ / computer-virus / alt-faq / part1 next >
Encoding:
Internet Message Format  |  2000-03-24  |  32.0 KB

  1. Path: senator-bedfellow.mit.edu!dreaderd!not-for-mail
  2. Message-ID: <computer-virus/alt-faq/part1_953842042@rtfm.mit.edu>
  3. Supersedes: <computer-virus/alt-faq/part1_952514862@rtfm.mit.edu>
  4. Expires: 21 Apr 2000 20:07:22 GMT
  5. X-Last-Updated: 2000/02/29
  6. Organization: none
  7. From: George Wenzel <gwenzel@telusplanet.net>
  8. Newsgroups: alt.comp.virus,comp.virus,alt.answers,comp.answers,news.answers
  9. Followup-To: alt.comp.virus
  10. Subject: [alt.comp.virus] FAQ Part 1/4
  11. Approved: news-answers-request@MIT.EDU
  12. X-no-archive: yes
  13. Originator: faqserv@penguin-lust.MIT.EDU
  14. Date: 23 Mar 2000 20:09:03 GMT
  15. Lines: 702
  16. NNTP-Posting-Host: penguin-lust.mit.edu
  17. X-Trace: dreaderd 953842143 2960 18.181.0.29
  18. Xref: senator-bedfellow.mit.edu alt.comp.virus:101518 comp.virus:30976 alt.answers:47996 comp.answers:40195 news.answers:180074
  19.  
  20. Archive-name: computer-virus/alt-faq/part1
  21. Posting-Frequency: Fortnightly
  22. URL: http://www.sherpasoft.org.uk/acvFAQ/
  23. Maintainer: Co-maintained by David Harley, Bruce Burrell, and George Wenzel 
  24.  
  25. -----BEGIN PGP SIGNED MESSAGE-----
  26.  
  27.                alt.comp.virus (Frequently Asked Questions)
  28.                *******************************************
  29.  
  30.                        Version 1.1 : Part 1 of 4
  31.                       Last modified 19th August 1999
  32.  
  33.  
  34.                       ("`-''-/").___..--''"`-._
  35.                        `6_ 6  )   `-.  (     ).`-.__.`)
  36.                        (_Y_.)'  ._   )  `._ `. ``-..-'
  37.                      _..`--'_..-_/  /--'_.' ,'
  38.                     (il),-''  (li),'  ((!.-'
  39.  
  40.  
  41.  
  42. ADMINISTRIVIA
  43. =============
  44. New or modified entries are flagged with two plus symbols at the
  45. beginning of the line or paragraph. 
  46.  
  47. Maintenance of this FAQ is now shared between the following:
  48.  
  49.     David Harley  <D.Harley@icrf.icnet.uk>
  50.     George Wenzel <gwenzel@telusplanet.net>
  51.     Bruce Burrell <bpb@umich.edu>
  52.  
  53. Suggestions, corrections, new material etc. may be sent to any of us,
  54. but will normally require the approval of all co-maintainers.
  55. Material which can be used with a minimum of editing is particularly 
  56. welcome. Sometimes we are told that something should be in here which 
  57. already is. Please check carefully. Suggestions for material which 
  58. - - -isn't- already in is welcomed, but we're there's no guarantee as
  59. to if and when we'll write new material. If you give us a draft, it
  60. makes things much easier (and obviously you'll be credited).
  61.  
  62. The <Viruses and the Macintosh> FAQ is now co-maintained by David Harley 
  63. and Susan Lesch, and the authoritative version is the one at 
  64. http://www.macvirus.com/.
  65.  
  66. Disclaimer
  67. - - ----------
  68.  
  69. This document is primarily concerned with defending the integrity of
  70. computing systems and preventing damage caused by viruses or other
  71. malicious and/or other unauthorized software. It attempts to address
  72. many of the issues which are frequently discussed on alt.comp.virus,
  73. but does not claim to represent all shades of opinion among the users of
  74. a.c.v. - in particular, it does not include information which, in our
  75. estimation, is likely to be of more help to those interested in the
  76. spreading of unauthorized and/or malicious software than to those
  77. who wish to be protected from it. Nor is it claimed to be up-to-date
  78. in all respects.
  79.  
  80. This document is an honest attempt to help individuals with computer
  81. virus-related problems and queries. It can *not* be regarded as being
  82. in any sense authoritative, and has no legal standing. The authors
  83. accept no responsibility for errors or omissions, or for any ill effects
  84. resulting from the use of any information contained in this document.
  85.  
  86. Not all the views expressed in this document are those of the maintainers,
  87. and those views which *are* those of the maintainers are not necessarily 
  88. shared by their respective employers.
  89.  
  90.  
  91. Copyright Notice
  92. - - ----------------
  93.  
  94. Copyright on all contributions to this FAQ remains with the authors
  95. and all rights are reserved. It may, however, be freely distributed
  96. and quoted - accurately, and with due credit.
  97.  
  98. It may not be reproduced for profit or distributed in part or as
  99. a whole with any product or service for which a charge is made, except 
  100. with the prior permission of the copyright holders. To obtain such 
  101. permission, please contact one of the co-maintainers of the FAQ.
  102.  
  103. Such permission will normally be forthcoming as long as 
  104. (1) reproduced text is quoted accurately
  105. (2) it is made clear that such text is derived from the FAQ
  106. (3) it is made clear that the latest version of the FAQ is available
  107.     from the newsgroup and from the official home of the FAQ on
  108.     the world-wide web, which is currently 
  109.       <http://www.sherpasoft.org.uk/acvFAQ/>
  110. (4) the e-mail addresses of all co-maintainers  of the FAQ are 
  111.     included as a contact point. 
  112.  
  113. The FAQ is also available at:
  114.  
  115.      http://www.faqs.org/faqs/computer-virus/alt-faq/
  116.  
  117.  
  118. - - ----------------------------------------------------------------------
  119.  
  120. PREFACE
  121. =======
  122.  
  123. (i) What is the FAQ, and whom is it for?
  124.     -----------------------------------
  125.  
  126. This FAQ is intended to make available answers to questions which
  127. are repeatedly asked on alt.comp.virus, and tries to gather the most
  128. useful information regarding this group and the issues discussed here
  129. into a relatively short document. The intention is to provide
  130. an easily-digested document for newcomers, as a means of saving those
  131. who regularly reply to posted questions having to re-invent the wheel
  132. each time.
  133.  
  134. We recommend that you read this FAQ in conjunction with the comp.virus
  135. (VIRUS-L)FAQ, which gives more detailed information regarding some
  136. issues which are, inevitably, covered in both FAQs.
  137.  
  138. The VIRUS-L/comp.virus FAQ is regularly posted to the comp.virus
  139. newsgroup. The latest version should be available at:
  140.  
  141.         http://www.faqs.org/faqs/computer-virus/faq/index.html
  142.         ftp://ftp.datafellows.com/pub/misc/anti-vir/vlfaq200.zip
  143.  
  144. A very terse mini-FAQ maintained by George Wenzel is posted regularly
  145. to alt.comp.virus weekly and also available at: 
  146.         http://www.faqs.org/faqs/computer-virus/mini-faq/
  147.  
  148. (ii) Credits/Acknowledgements
  149.      ------------------------
  150.  
  151. The following have contributed text and/or ideas and/or
  152. proofreading/corrections and/or URLs to the a.c.v. FAQ.
  153.  
  154. Vesselin Bontchev, Dennis Boon, Bruce Burrell, Graham Cluley,
  155. Henri Delger, Edward Fenton, Nicola Ferri, Sarah Gordon, David Harley,
  156. R. Wallace Hale, Norman Hirsch, Matthew Holtz, Jan Hruska,
  157. Mikko H. Hypponen, Douglas A. Kaufman, Tom Kelchner, Paul Kerrigan,
  158. Chengi (Jimmy) Kuo, Susan Lesch, Gerard Mannig, Martin Overton,
  159. Mike Ramey, Perry Rovers, Tom Simondi, Megan Skinner, Fridrik Skulason,
  160. Robert Slade, Alan Solomon, Ken Stieers, Hector Ugalde, George Wenzel,
  161. Caroline Wilson, and Tarkan Yetiser.
  162.  
  163. [Apologies to anyone who's fallen off the list.]
  164.  
  165. Acknowledgement is also due to the work of Ken Van Wyk, former
  166. moderator of VIRUS-L/comp.virus, and the contributors to the
  167. comp.virus FAQ.
  168.  
  169. Thanks also to ked@intac.com (aka Phreex), who mailed me a copy of the FAQ 
  170. he posted to a.c.v. some months before this one was begun, David J. Loundy
  171. for assistance regarding legal issues, and to Nick FitzGerald, the
  172. moderator of comp.virus and maintainer of the comp.virus FAQ.
  173.  
  174. (iii) Guide to posting etiquette
  175.      --------------------------
  176.  
  177. Messages asking for help posted to alt.comp.virus are more likely to
  178. receive a useful response if they conform to accepted standards of
  179. civility. The newsgroup news.announce.newusers includes information
  180. on good newsgroup etiquette, or try
  181.  
  182.         ftp://rtfm.mit.edu/pub/usenet/news.announce.newusers/
  183.         http://www.fau.edu/rinaldi/netiquette.html
  184.  
  185. However, adhering to the following guidelines would be particularly
  186. helpful:
  187.  
  188. * Keep your lines short (say 72 characters per line), so that anyone
  189.   who follows up doesn't have to reformat quoted text to keep it
  190.   readable).
  191. * Don't quote all or most of a message you're following up unless it's
  192.   either very short, or necessary in order to address each point made.
  193.   In the latter case, please put the point you're answering close to
  194.   your answer and try to format it so that it's readable. Remember that
  195.   some people have to pay for connection/download time.
  196. * On the other hand, a message which says something like 'I totally
  197.   agree' without including enough of the original for us to tell what
  198.   you're agreeing with is a waste of bandwidth.
  199. * Keep it polite. It's unlikely that anyone who replies to your
  200.   posting is being paid to do so, and it wouldn't excuse bad manners if
  201.   they were. Of course, the cut and thrust of debate may be a different
  202.   matter altogether....
  203. * Asking for a reply by direct e-mail may be reasonable if you need
  204.   an urgent solution or are using a borrowed account. It isn't
  205.   reasonable if you simply can't be bothered to check newsgroups.
  206.   At least try to think up a good excuse, and be prepared to offer a
  207.   summary to the group.
  208. * Check that there isn't already a thread on the subject you're
  209.   asking about before posting yet another 'Has anyone heard of the GOOD
  210.   TIMES virus?' message. If there is, check it first: the answer to
  211.   your question may already be there (if it isn't in this document!).
  212.   Please remember that many people have to pay for connect time, and
  213.   don't appreciate duplicate postings or uuencoded binaries.
  214. * If you want to follow up a message which doesn't seem particularly
  215.   relevant to alt.comp.virus, check the 'Newsgroups:' header: there
  216.   have been a lot of responses to spammings recently which have made
  217.   increased the bandwidth used, often quite unnecessarily.
  218. * Please don't post test messages here unless you really need to:
  219.   use one of the newsgroups intended for the purpose: there is probably
  220.   one local to your news server - ask your Systems Administrator,
  221.   provider or local helpdesk. If you must post to the entire Internet,
  222.   use misc.test - if you do, put the word IGNORE in your Subject: field,
  223.   or you'll get auto-responder messages in your mail for weeks
  224.   afterwards. Look through the postings in news.announce.newusers
  225.   for relevant guidelines before you post.
  226. * If you get into an exchange of E-mail, please remember that
  227.   not everyone can handle all forms of E-mail attachment (uuencoded,
  228.   MIME format etc. - if it's text, *send* it as text. NB also that
  229.   (uu)encoding text makes it longer as well as unreadable, so don't!
  230. * Don't assume that everyone uses or should use HTML-savvy mailers.
  231.   There are good reasons why some people don't. 
  232. * If you stick to what can be read easily on an 80 x 24 text window,
  233.   -everyone- can read it.
  234.   
  235.  
  236. (iv) How to ask on the alt.comp.virus newsgroup for help
  237.      ---------------------------------------------------
  238.  
  239.   The more relevant information you give us, the more we can help you.
  240.   It helps to tell us the following:
  241.  
  242. * What you think the problem is (you might think it's a virus, but
  243.   maybe it isn't)
  244. * What the symptoms are. If you ran some software that gave you a
  245.   message, tell us which package, version number, and the exact wording
  246.   of the message.
  247. * Please be as accurate as possible about the order in which events
  248.   happened.
  249. * If just one file is infected, give the filename.
  250. * If you're running more than one anti-virus product, please list
  251.   them (including version number), and say what each one said about
  252.   the possible virus.
  253. * Which version of which operating system you are running.
  254. * Any other configuration information which you think may have a bearing.
  255.  
  256.   Don't take action, then ask if that was the right action - if it
  257.   wasn't, it's too late.
  258.  
  259.   Don't just ask "I've got xyz virus, can anyone help me".
  260.  
  261. - - -------------------------------------------------------------------------
  262.  
  263. Table of Contents
  264. *****************
  265.  
  266.         Part 1
  267.         ------
  268.  
  269.         (1)     I have a virus - what do I do?
  270.         (2)     Minimal glossary
  271.         (3)     What is a virus (Trojan, Worm)?
  272.         (4)     How do viruses work?
  273.         (5)     How do viruses spread?
  274.         (6)     How can I avoid infection?
  275.         (7)     How does antivirus software work?
  276.  
  277.         Part 2
  278.         ------
  279.  
  280.         (8)     What's the best anti-virus software
  281.                       (and where do I get it)?
  282.         (9)     Where can I get further information?
  283.         (10)    Does anyone know about
  284.                 * Mac viruses?
  285.                 * UNIX viruses?
  286.                 * macro viruses?
  287.                 * the AOLGold virus?
  288.                 * the PKZip300 trojan virus?
  289.                 * the xyz PC virus?
  290.                 * the Psychic Neon Buddha Jesus virus?
  291.                 * the blem wit virus
  292.         * The Irina Virus
  293.         * Ghost
  294.         * General Info on Hoaxes/Erroneous Alerts
  295.         (11)    Is it true that...?
  296.         (12)    Favourite myths
  297.                 * DOS file attributes protect executable files from
  298.                   infection
  299.                 * I'm safe from viruses because I don't use bulletin
  300.                   boards/shareware/Public Domain software
  301.                 * FDISK /MBR fixes boot sector viruses
  302.                 * Write-protecting suspect floppies stops infection
  303.                 * The write-protect tab always stops a disk write
  304.                 * I can infect my system by running DIR on an infected
  305.                   disk
  306.         Part 3
  307.         ------
  308.  
  309.         (13) What are the legal implications of computer viruses?
  310.  
  311.         Part 4
  312.         ------
  313.  
  314.         (14)    Miscellaneous
  315.  
  316.         Are there anti-virus packages which check zipped/archived files?
  317.         What's the genb/genp virus?
  318.         Where do I get VCL and an assembler, & what's the password?
  319.         Send me a virus.
  320.         It said in a review......
  321.         Is it viruses, virii or what?
  322.         Where is alt.comp.virus archived?
  323.         What about firewalls?
  324.         Viruses on CD-ROM.
  325.         Removing viruses.
  326.         Can't viruses sometimes be useful?
  327.         Do I have a virus, and how do I know?
  328.         What should be on a (clean) boot disk?
  329.         How do I know I have a clean boot disk?
  330.         What other tools might I need?
  331.         What are rescue disks?
  332.         Are there CMOS viruses?
  333.         How do I know I'm FTP-ing 'good' software?
  334.         What is 386SPART.PAR?
  335.         Can I get a virus to test my antivirus package with?
  336.         When I do DIR | MORE I see a couple of files with funny names...
  337.         Reasons NOT to use FDISK /MBR
  338.         Why do people write/distribute viruses?
  339.         Where can I get an anti-virus policy?
  340.         Are there virus damage statistics?
  341.         What is ICSA approval?
  342.     What language should I write a virus in?
  343.     No, seriously, what language are they written in?
  344.     [DRD], Doren Rosenthal, the Universe and Everything
  345.     What are CARO and EICAR?
  346.  
  347. - - -------------------------------------------------------------------------
  348.  
  349. (1) I have a virus problem - what do I do?
  350. ==========================================
  351.  
  352. The following guidelines will, one hopes, be of assistance. However,
  353. you may get better use out of them if you read the rest of this
  354. document before acting rashly...
  355.  
  356. If you think you may have a virus infection, *stay calm*. Once
  357. detected, a virus will rarely cause (further) damage, but a
  358. panic action might. Bear in mind that not every one who thinks s/he
  359. has a virus actually does (and a well-documented, treatable virus
  360. might be preferable to some problems!). Reformatting your hard disk
  361. is almost certainly unnecessary and very probably won't kill the
  362. virus.
  363.  
  364. If you've been told you have something exotic, consider the
  365. possibility of a false alarm and check with a different package.
  366.  
  367. If you have a good antivirus package, use it. Better still, use more
  368. than one. If there's a problem with the package, use the publisher's
  369. tech support and/or try an alternative package. If you don't have a
  370. package, get one (see section on sources below). If you're using
  371. Microsoft's package (MSAV) get something less out-of-date.
  372.  
  373. Follow the guidelines below as far as is practicable and applicable
  374. to your situation.
  375.  
  376. Try to get expert help *before* you do anything else. If the problem
  377. is in your office rather than at home there may be someone whose job
  378. includes responsibility for dealing with virus incidents.
  379.  
  380. Follow the guidelines below as far as is practicable and applicable.
  381.  
  382. * Do not attempt to continue to work with an infected system, or let
  383.   other people do so.
  384. * Generally, it's considered preferable to switch an infected
  385.   system off until a competent person can deal with it: don't allow
  386.   other people to use it in the meantime. If possible, close down
  387.   applications, Windows etc. properly and allow any caches/buffers
  388.   to flush, rather than just hit the power switch.
  389. * If you have the means of checking other office machines for
  390.   infection, you should do so and take appropriate steps if an
  391.   infection is found.
  392. * If you are unable to check other machines, assume that all
  393.   machines are infected and take all possible steps to avoid
  394.   spreading infection any further.
  395. * If there are still uninfected systems in the locality, don't use
  396.   floppy disks on them [except known clean write-protected DOS boot
  397.   floppies]
  398. * users of infected machines should not *under any circumstances *
  399.   trade disks with others until their systems and disks are cleaned.
  400. * if the infected system is connected to a Novell network, Appleshare
  401.   etc., it should be logged off all remote machines unless someone
  402.   knowledgeable says different. If you're not sure how to do this,
  403.   contact whoever is responsible for the administration of the
  404.   network. You should in any case ensure that the network administrator
  405.   or other responsible and knowledgeable individual is fully aware of
  406.   the situation.
  407. * No files should be exchanged between machines by any other means
  408.   until it's established that this can be done safely.
  409. * Ensure that all people in your office and anyone else at risk are
  410.   aware of the situation.
  411. * Get *all* floppy disks together for checking and check every one.
  412.   This includes write-protected floppies and program master disks.
  413.   Check all backups too (on tape or file servers as well as on floppy).
  414.  
  415.  
  416. (2) Minimal Glossary
  417. ====================
  418.  
  419. [There is room for improvement and expansion here. Contributions
  420. will be gratefully accepted.]
  421.  
  422. * AV   - AntiVirus. Sometimes applied as a shorthand term for
  423.          anti-virus researchers/programmers/publishers - may include
  424.          those whose work is not AV research, but includes
  425.          virus-control. (See also Vx.)
  426. * BSI  - Boot Sector Infector (= BSV - Boot Sector Virus)
  427. * BIOS - Basic Input Output System
  428. * CMOS - Memory used to store hardware configuration information
  429. * DBR  - DOS Boot Record
  430. * DBS  - DOS Boot Sector
  431.  
  432. * False Positive - When an antivirus program incorrectly reports a
  433.                    virus in memory or infecting a file or system area.
  434.                    Heuristic scanners & integrity checkers are, by
  435.                    definition, somewhat more prone to these. Also known
  436.                    as false alarms, though this may have a wider
  437.                    application.
  438. * False Negative - Essentially, a virus undetected by an antivirus
  439.                    program.
  440. * In-the-wild    - describes viruses known to be spreading
  441.                    uncontrolled to real-life systems, as opposed to
  442.                    those which exist only in controlled situations
  443.                    such as anti-virus research labs. Virus code
  444.                    which has been published but not actually found
  445.                    spreading out of control is not usually regarded
  446.                    as being in-the-wild.
  447. * MBR  - Master Boot Record (Partition Sector)
  448. * TSR  - A memory-resident DOS program, i.e one which remains in
  449.          memory while other programs are running. A good TSR should
  450.          at least detect all known in-the-wild viruses and a good
  451.          percentage of other known viruses. Generally, TSRs are not
  452.          so good with polymorphic viruses, and should not be relied on
  453.          exclusively. Most TSR scanners don't detect macro viruses. 
  454. * vx   - Those who study, exchange and write viruses, not necessarily
  455.          with malicious intentions So we're frequently told here...
  456. * VxD  - A Windows program which can run in the background. A scanner
  457.          implemented as a VxD has nearly all the advantages of a DOS TSR, 
  458.          but can have additional advantages: for instance, a good VxD 
  459.          will scan continuously *and* for all the viruses detected by an
  460.          on-demand scanner. 
  461. * Zoo  - suite of viruses used for testing.
  462.  
  463. See the comp.virus FAQ for fuller definitions of some of these terms and
  464. others which aren't addressed here.
  465.  
  466. (3) What is a virus (and what are Trojans and Worms)?
  467. =====================================================
  468.  
  469. A (computer) virus is a program (a block of executable code) which
  470. attaches itself to, overwrites or otherwise replaces another program
  471. in order to reproduce itself without the knowledge of the PC user.
  472.  
  473. Most viruses are comparatively harmless, and may be present for
  474. years with no noticeable effect: some, however, may cause random
  475. damage to data files (sometimes insidiously, over a long period)
  476. or attempt to destroy files and disks. Others cause unintended
  477. damage. Even benign viruses (apparently non-destructive viruses)
  478. cause significant damage by occupying disk space and/or main
  479. memory, by using up CPU processing time, and by the time and expense
  480. wasted in detecting and removing them.
  481.  
  482. A Trojan Horse is a program intended to perform some covert
  483. and usually malicious act which the victim did not expect or want.
  484. It differs from a destructive virus in that it doesn't reproduce,
  485. (though this distinction is by no means universally accepted).
  486.  
  487. A dropper is a program which installs a virus or Trojan, often
  488. covertly.
  489.  
  490. A worm is a program which spreads (usually) over network
  491. connections. Unlike a virus, it does not attach itself to a
  492. host program. In practice, worms are not normally associated
  493. with personal computer systems. There is an excellent
  494. and considerably longer definition in the Mk. 2 version of the
  495. Virus-L FAQ.
  496.  
  497. (The following is a slightly academic diversion)
  498.  
  499. A lot of bandwidth is spent on precise definitions of some of
  500. the terms above. I have Fridrik Skulason's permission to include
  501. the following definition of a virus, which I like because it
  502. demonstrates most of the relevant issues.
  503.  
  504.      #1 A virus is a program that is able to replicate - that is, create
  505.         (possibly modified) copies of itself.
  506.  
  507.      #2 The replication is intentional, not just a side-effect.
  508.  
  509.      #3 At least some of the replicants are also viruses, by this
  510.         definition.
  511.  
  512.      #4 A virus has to attach itself to a host, in the sense that execution
  513.         of the host implies execution of the virus.
  514.   --
  515.   #1 is the main definition, which distinguishes between viruses and Trojans
  516.   and other non-replicating malware.
  517.  
  518.   #2 is necessary to exclude for example a disk-copying program copying a
  519.   disk, which contains a copy of itself.
  520.  
  521.   #3 is necessary to exclude "intended" not-quite-viruses.
  522.  
  523.   #4 is necessary to exclude "worms", but at the same time it has to be
  524. broad
  525.   enough to include companion viruses and .DOC viruses.
  526.  
  527. (4) How do viruses work?
  528. ========================
  529.  
  530. A file virus attaches itself to a file (but see the section below
  531. or the comp.virus FAQ on the subject of companion viruses), usually
  532. an executable application (e.g. a word processing program or a DOS
  533. program). In general, file viruses don't infect data files. However,
  534. data files can contain embedded executable code such as macros, which
  535. may be used by virus or trojan writers. Recent versions of Microsoft
  536. Word are particularly vulnerable to this kind of threat. Text files 
  537. such as batch files, postscript files, and source code which contain 
  538. commands that can be compiled or interpreted by another program are 
  539. potential targets for malware (malicious software), though such malware 
  540. is not at present common.
  541.  
  542. Boot sector viruses alter the program that is in the first sector
  543. (boot sector) of every DOS-formatted disk. Generally, a boot
  544. sector infector executes its own code (which usually infects the boot
  545. sector or partition sector of the hard disk), then continues the PC
  546. bootup (start-up) process. In most cases, all write-enabled floppies
  547. used on that PC from then on will become infected.
  548.  
  549. Multipartite viruses have some of the features of both the above
  550. types of virus. Typically, when an infected *file* is executed, it
  551. infects the hard disk boot sector or partition sector, and thus
  552. infects subsequent floppies used or formatted on the target system.
  553.  
  554. Macro viruses typically infect global settings files such as Word
  555. templates so that subsequently edited documents are contaminated
  556. with the infective macros.
  557.  
  558. The following virus types are more fully defined in the
  559. comp.virus FAQs (see preamble):
  560.  
  561. * STEALTH VIRUSES - viruses that go to some length to
  562.   conceal their presence from programs which might notice.
  563. * POLYMORPHIC VIRUSES - viruses that cannot be detected by
  564.   searching for a simple, single sequence of bytes in a
  565.   possibly-infected file, since they change with every
  566.   replication.
  567. * COMPANION VIRUSES - viruses that spread via a file which
  568.   runs instead of the file the user intended to run, and
  569.   then runs the original file. For instance, the file
  570.   MYAPP.EXE might be 'infected' by creating a file called
  571.   MYAPP.COM. Because of the way DOS works, when the user
  572.   types MYAPP at the C> prompt, MYAPP.COM is run instead of
  573.   MYAPP.EXE. MYAPP.COM runs its infective routine, then
  574.   quietly executes MYAPP.EXE. N.B. this is not the *only*
  575.   type of companion (or 'spawning') virus.
  576. * ARMOURED VIRUSES - viruses that are specifically written
  577.   to make it difficult for an antivirus researcher to find
  578.   out how they work and what they do.
  579.  
  580. (5) How do viruses spread?
  581. ==========================
  582.  
  583. A PC is infected with a boot sector virus (or partition sector
  584. virus) if it is (re-)booted (usually by accident) from an infected
  585. floppy disk in drive A. Boot Sector/MBR infectors are the most
  586. commonly found viruses, and cannot normally spread across a network.
  587. These (normally) spread by accident via floppy disks which may come
  588. from virtually any source: unsolicited demonstration disks,
  589. brand-new software (even from reputable sources), disks used on
  590. your PC by salesmen or engineers, new hardware, or repaired hardware.
  591.  
  592. A file virus infects other files when the program to which it is
  593. attached is run, and so *can* spread across a network (often very
  594. quickly). They may be spread from the same sources as boot sector
  595. viruses, but also from sources such as Internet FTP sites and
  596. bulletin boards. (This applies also to Trojan Horses.)
  597.  
  598. A multipartite virus infects boot sectors *and* files. Often,
  599. an infected file is used to infect the boot sector: thus, this is
  600. one case where a boot sector infector could spread across a network.
  601.  
  602.  
  603. (6) How can I avoid infection?
  604. ==============================
  605.  
  606. There is no way to guarantee that you will avoid infection. However,
  607. the potential damage can be minimized by taking the following
  608. precautions:
  609.  
  610. * make sure you have a clean boot disk - test with whatever (up-to-date!)
  611.   antivirus  software you can get hold of and make sure it is (and stays)
  612.   write-protected. Boot from it and make a couple of copies.
  613. * use reputable, up-to-date and properly-installed anti-virus
  614.   software regularly. (See below) If you use a shareware package
  615.   for which payment and/or registration is required, do it. Not only
  616.   does it encourage the writer and make you feel virtuous, it means
  617.   you can legitimately ask for technical support in a crisis.
  618. * do some reading (see below). If you're a home user, you may well
  619.   get an infection sooner or later. If you're a business user, it'll
  620.   be sooner. Either way you'll benefit from a little background.
  621.   If you're a business user you (or your enterprise) need a policy.
  622. * don't rely *solely* on newsgroups like this to get you out of
  623.   trouble: it may be a while before you get a response (especially
  624.   from a moderated group like comp.virus), and the first response
  625.   you act upon may not offer the most appropriate advice for your
  626.   particular problem.
  627. * if you use a shareware/freeware package, make sure you have hard
  628.   copy of the documentation *before* your system falls apart!
  629. * always run a memory-resident scanner to monitor disk access and
  630.   executable files before they're run.
  631. * if you run Windows, a reputable anti-virus package which includes
  632.   DOS *and* Windows components is likely to offer better protection
  633.   than a DOS only package. If you run Windows 95, you need a proper
  634.   Win95 32-bit package for full protection.
  635. * make sure your home system is protected, as well as your work PC.
  636. * check all new systems and all floppy disks when they're brought
  637.   in (from *any* source) with a good virus-scanning program.
  638. * acquire software from reputable sources: 2nd-hand software is
  639.   frequently unchecked and sometimes infected. Bear in mind that
  640.   shrinkwrapped software isn't necessarily unused. In any case,
  641.   reputable firms have shipped viruses unknowingly.
  642. * once formatted, keep floppies write-disabled except when you need
  643.   to write a file to them: then write-disable them again.
  644. * make sure your data is backed up regularly and that the procedures
  645.   for restoring archived data *work* properly.
  646. * scan pre-formatted diskettes before use.
  647. * Get to know all the components of the package you're using and
  648.   consider which bits to use and how best to use them. Different
  649.   packages have different strengths: diversifying and mixing and
  650.   matching can, if carefully and properly done, be a good antivirus
  651.   strategy, especially in a corporate environment
  652. * if your PC can be prevented with a CMOS setting from booting with a
  653.   disk in drive A, do it (and re-enable floppy booting temporarily when
  654.   you need to clean-boot).
  655.  
  656. CMOS settings
  657. - - -------------
  658.  
  659. Some CMOSes come with special anti-virus settings.  These are normally
  660. vague about what they do but typically they write-protect your hard
  661. disk's boot sector and partition sector (MBR).  This can be some use
  662. against boot sector viruses but may false alarm when you upgrade your
  663. operating system.
  664.  
  665. One sensible setting to make (if your CMOS allows) is to adjust the
  666. boot sequence of your PC.  Changing the default boot-up drive order
  667. from  A: C: to C: will mean that the PC will attempt to boot from drive
  668. C: even if a floppy disk has been left in drive A:.  This way boot
  669. sector virus infection can often be avoided.  Remember, however, to set
  670. your CMOS back temporarily if you ever *do* want to boot clean from
  671. floppy (for example, when running a cryptographical checksummer
  672. after a cold boot).
  673.  
  674. SCSI controllers have their own BIOS. On some systems, this will 
  675. override the boot sequence set in CMOS. It's always a good idea
  676. to check with a (known clean) bootable floppy after you've
  677. disabled floppy booting that it really is disabled. I don't think
  678. it's necessary to use the Rosenthal Simulator to do this, thank
  679. you, Doren.
  680.  
  681. (7) How does antivirus software work?
  682. - - -------------------------------------
  683.  
  684. * Scanner (conventional scanner, command-line scanner, on-demand
  685.   scanner) - a program that looks for known viruses by checking for
  686.   recognisable patterns ('scan strings', 'search strings',
  687.   'signatures' [a term best avoided for its ambiguity]).
  688. * TSR scanner - a TSR (memory-resident program) that checks for
  689.   viruses while other programs are running. It may have some of
  690.   the characteristics of a monitor and/or behaviour blocker.
  691. * VxD scanner - a scanner that works under Windows or perhaps under
  692.   Win 95, or both), which checks for viruses continuously while
  693.   you work.
  694. * Heuristic scanners - scanners that inspect executable files for
  695.   code using operations that might denote an unknown virus.
  696. * Monitor/Behaviour Blocker - a TSR that monitors programs while
  697.   they are running for behaviour which might denote a virus.
  698. * Change Detectors/Checksummers/Integrity Checkers - programs that
  699.   keep a database of the characteristics of all executable files on
  700.   a system and check for changes which might signify an attack by
  701.   an unknown virus.
  702. * Cryptographic Checksummers use an encryption algorithm to lessen
  703.   the risk of being fooled by a virus which targets that particular
  704.   checksummer.
  705.  
  706. - - ---------------------------------------------------------------------
  707.  
  708. End of a.c.v. FAQ Part 1 of 4
  709.  
  710.  
  711. -----BEGIN PGP SIGNATURE-----
  712. Version: PGPfreeware 6.5.2 for non-commercial use <http://www.pgp.com>
  713. Comment: PGP Key ID 0xDCC35C75 available on Keyservers
  714.  
  715. iQCVAwUBOLvlLLcpzG7cw1x1AQFOagQApMdBjccOExlbB42DTM5WCPeeK3SB1pqf
  716. KwbK3pok3c+8aolZpxr5TsIteVdMoJ2ATjOP13/SK02DPigUHzw7kn69C35ZDOh7
  717. 6n1F5RTzVLKXUB8wedU78ZAWS5hh/JY/EyM7718vAHT6kpgviaNK7MvxXxatPwDB
  718. LUiW7ziicS8=
  719. =WgMU
  720. -----END PGP SIGNATURE-----
  721.  
  722.