home *** CD-ROM | disk | FTP | other *** search
/ ftp.pasteur.org/FAQ/ / ftp-pasteur-org-FAQ.zip / FAQ / computer-virus / alt-faq / part2 < prev    next >
Encoding:
Internet Message Format  |  2000-03-24  |  37.1 KB

  1. Path: senator-bedfellow.mit.edu!dreaderd!not-for-mail
  2. Message-ID: <computer-virus/alt-faq/part2_953842042@rtfm.mit.edu>
  3. Supersedes: <computer-virus/alt-faq/part2_952514862@rtfm.mit.edu>
  4. Expires: 21 Apr 2000 20:07:22 GMT
  5. References: <computer-virus/alt-faq/part1_953842042@rtfm.mit.edu>
  6. X-Last-Updated: 2000/02/29
  7. Organization: none
  8. From: George Wenzel <gwenzel@telusplanet.net>
  9. Newsgroups: alt.comp.virus,comp.virus,alt.answers,comp.answers,news.answers
  10. Followup-To: alt.comp.virus
  11. Subject: [alt.comp.virus] FAQ Part 2/4
  12. Approved: news-answers-request@MIT.EDU
  13. X-no-archive: yes
  14. Originator: faqserv@penguin-lust.MIT.EDU
  15. Date: 23 Mar 2000 20:09:05 GMT
  16. Lines: 957
  17. NNTP-Posting-Host: penguin-lust.mit.edu
  18. X-Trace: dreaderd 953842145 2960 18.181.0.29
  19. Xref: senator-bedfellow.mit.edu alt.comp.virus:101519 comp.virus:30977 alt.answers:47997 comp.answers:40196 news.answers:180075
  20.  
  21. Archive-name: computer-virus/alt-faq/part2
  22. Posting-Frequency: Fortnightly
  23. URL: http://www.sherpasoft.org.uk/acvFAQ/
  24. Maintainer: Co-maintained by David Harley, Bruce Burrell, and George Wenzel 
  25.  
  26. -----BEGIN PGP SIGNED MESSAGE-----
  27.  
  28.                alt.comp.virus (Frequently Asked Questions)
  29.                *******************************************
  30.  
  31.                        Version 1.1 : Part 2 of 4
  32.                       Last modified 19th August 1999
  33.  
  34.  
  35.                     ("`-''-/").___..--''"`-._
  36.                      `6_ 6  )   `-.  (     ).`-.__.`)
  37.                      (_Y_.)'  ._   )  `._ `. ``-..-'
  38.                    _..`--'_..-_/  /--'_.' ,'
  39.                   (il),-''  (li),'  ((!.-'
  40.  
  41.  
  42.  
  43. ADMINISTRIVIA
  44. =============
  45.  
  46. Disclaimer
  47. - - ----------
  48.  
  49. This document is an honest attempt to help individuals with computer
  50. virus-related problems and queries. It can *not* be regarded as being
  51. in any sense authoritative, and has no legal standing. The authors
  52. accept no responsibility for errors or omissions, or for any ill effects 
  53. resulting from the use of any information contained in this document.
  54.  
  55. NB It is not claimed that this document is up-to-date in all respects.
  56.  
  57. Not all the views expressed in this document are those of the maintainers,
  58. and those views which *are* those of the maintainers are not necessarily 
  59. shared by their respective employers.
  60.  
  61. Copyright Notice
  62. - - ----------------
  63.  
  64. Copyright on all contributions to this FAQ remains with the authors
  65. and all rights are reserved. It may, however, be freely distributed
  66. and quoted - accurately, and with due credit. B-)
  67.  
  68. It may not be reproduced for profit or distributed in part or as
  69. a whole with any product or service for which a charge is made, except 
  70. with the prior permission of the copyright holders. To obtain such 
  71. permission, please contact one of the co-maintainers of the FAQ.
  72.  
  73.      David Harley  <D.Harley@icrf.icnet.uk>
  74.         George Wenzel <gwenzel@telusplanet.net>
  75.         Bruce Burrell <bpb@umich.edu>
  76.  
  77. [Please check out the more detailed copyright notice at the beginning
  78. of Part 1 of the FAQ]
  79.  
  80. - - --------------------------------------------------------------------
  81.  
  82. TABLE OF CONTENTS
  83. =================
  84.  
  85. See Part 1 of this FAQ for the full Table of Contents
  86.  
  87.   Part 2
  88.   ------
  89.  
  90.   (8)     What's the best anti-virus software
  91.                       (and where do I get it)?
  92.   (9)     Where can I get further information?
  93.   (10)    Does anyone know about
  94.             * Mac viruses?
  95.             * UNIX viruses?
  96.             * macro viruses?
  97.             * the AOLGold virus?
  98.             * the PKZip300 trojan virus?
  99.             * the xyz PC virus?
  100.             * the Psychic Neon Buddha Jesus virus?
  101.             * the blem wit virus
  102.         * the Irina virus
  103.         * Ghost
  104.         * General Info on Hoaxes/Erroneous Alerts
  105.   (11)    Is it true that...?
  106.   (12)    Favourite myths
  107.             * DOS file attributes protect executable files from
  108.               infection
  109.             * I'm safe from viruses because I don't use bulletin
  110.               boards/shareware/Public Domain software
  111.             * FDISK /MBR fixes boot sector viruses
  112.             * Write-protecting suspect floppies stops infection
  113.             * The write-protect tab always stops a disk write
  114.             * I can infect my system by running DIR on an infected
  115.               disk
  116. =================
  117.  
  118. (8)     What's the best anti-virus software
  119.         (and where do I get it)?
  120.  
  121. In case it's not absolutely clear from the following, it simply isn't
  122. possible to answer the first part of this question.  There are, however,
  123. some suggestions for sources of software and of information on particular
  124. packages, comparative reviews etc.  The danger of this approach is that
  125. sites, servers, and packages come and go, and it isn't possible to 
  126. keep track of all of them.  If URL's in this section have changed, 
  127. please inform the maintainers so that they may be updated.
  128.  
  129. Most of the people who post here have their favourites: if you just
  130. ask which is the best, you'll generally get either a subjective
  131. "I like such and such", recommendation of a particular product by
  132. someone who works for that company, or a request to be more specific
  133. about your needs. Some of us who are heavily involved with virus
  134. control favour using more than one package and keeping track of the
  135. market. Don't trust anything you read in the non-technical press.
  136. Don't accept uncritically reviews in the computing press, either:
  137. even highly-regarded IT specialists often have little understanding
  138. of virus issues, and many journalists are specialists only in
  139. skimming and misinterpreting. Magazines like Virus Bulletin and
  140. Secure Computing are much better informed and do frequent comparative
  141. reviews, and are also informative about their testing criteria,
  142. procedures and virus suites. Recently, a number of articles have been
  143. posted here by people who've run their own tests on various packages.
  144. These are often of interest, but should not be accepted uncritically.
  145. (No-one's opinion should be accepted uncritically!)
  146.  
  147. Valid testing of antivirus software requires a lot of care and
  148. thought, and not all those who undertake it have the resources,
  149. knowledge or experience to do it properly.
  150.  
  151. You may get a more informed response if you specify what sort of system
  152. you have - DOS, Windows, Win95, WinNT, Mac? XT, AT, 386 or better? 
  153. Is the system networked, and are you asking about protecting the 
  154. whole network? (What sort of network?) Are you running NT, OS/2 
  155. or Win95, any of which involve special considerations?  Be aware 
  156. that there is more than one way of judging the effectiveness of a 
  157. package - the sheer number of viruses detected; speed; tendency 
  158. to false alarms; size (can you run it from a single floppy when 
  159. necessary?); types of virus detection & prevention (not at all the 
  160. same thing) offered (command-line scanning, TSR scanning, behaviour 
  161. blocking, checksumming, access-control, integrity shell etc.);
  162. technical support etc.
  163.  
  164. One possible (but imperfect) measure of a package's efficiency in terms 
  165. of virus detection is ICSA approval. Under the current testing protocol, 
  166. a scanner must detect all viruses on the Wild List plus 90% of NCSA's
  167. full test suite. See http://www.icsa.net/services/product_cert/ for 
  168. details.
  169.  
  170. Comprehensive product reviews can sometimes be found at the following
  171. sites, but are not necessarily the latest available.
  172.    
  173.    http://www.virusbtn.com/                        _Virus Bulletin_
  174.    http://www.westcoast.com/                       _Secure Computing_
  175.    http://www.uta.fi/laitokset/virus/              University of Tampere
  176.    ftp://ftp.informatik.uni-hamburg.de/pub/virus/  Virus Test Center
  177.     and  http://agn-www.informatik.uni-hamburg.de/vtc/naveng.htm
  178.    http://victoria.tc.ca/int-grps/books/techrev/mnvr.html
  179.  
  180. and a number of reputable vendors include comparative reviews,
  181. papers on testing etc. on their WWW/FTP servers.
  182.  
  183. Many anti-virus packages are available from the SimTel mirrors:
  184.   http://www.simtel.net/simtel.net/msdos/virus.html
  185.   ftp://ftp.simtel.net/pub/simtelnet/msdos/virus/
  186.  
  187. For information on mirror sites, a regularly-updated listing can
  188. be found at
  189.  
  190.   http://www.simtel.net/simtel.net/mirrors.html
  191.  
  192. Of course, such products can often be obtained direct from the
  193. publisher's WWW site, too.  The following information is not intended
  194. to be a totally comprehensive list; it is merely a reference to where
  195. major anti-virus packages can be downloaded.
  196.  
  197. Please note that the maintainers have not tested or even seen all the 
  198. packages listed here, and listing here does not imply recommendation 
  199. (though we won't list anything we *know* is rubbish....).
  200.  
  201. - - ------------
  202. AntiViral Toolkit Pro (commercial with evaluation versions)
  203. Platform(s): DOS, Win3.x, Win95/98, NT, OS/2, NetWare. 
  204. URL: http://www.avp.com
  205.      http://www.avp.ch
  206.      http://www.avp.tm
  207.      http://www.avp.ru
  208.  
  209. - - ------------
  210. AVAST!, AVAST32 (Commercial with evaluation versions)
  211. Platform(s): DOS, Win3.x, Win95/98, NT.
  212. URL: http://www.anet.cz/alwil/
  213.  
  214. - - ------------
  215. Calluna Hardwall (Hardware-based virus protection)
  216. Platform(s): Win3.x, Win95, NT.
  217. URL: http://www.hardwall.com/
  218.  
  219. - - ------------
  220. ChekMate (Integrity Checker; commercial w/ evaluation versions)
  221. Platform(s): DOS, Win3.x, Win95/98, OS/2.
  222. URL: http://chekware.simplenet.com/cmindex.htm
  223.  
  224. - - ------------
  225. ESafe Protect
  226. Platform(s): Win95/98, NT.
  227. URL: http://www.esafe.com/
  228.  
  229. - - ------------
  230. F-Prot (Free for personal, non-commercial use)
  231. Platform(s): DOS with limited Windows support
  232. URL: http://www.complex.is
  233.  
  234. - - ------------
  235. F-Prot Professional (Commercial; distributed by both Command Software 
  236.                      and DataFellows)
  237. Platform(s): DOS, Win3.x, Win95/98, WinNT, NetWare
  238. URL: http://www.commandcom.com/
  239.      http://www.DataFellows.com/
  240. More details inc. in PRO.DOC, supplied with the shareware version.
  241.  
  242. - - ------------
  243. InoculateIT (formerly InocuLan) - Commercial with freeware version)
  244. Platform(s): Win95/98, NT, Netware.
  245. URL: http://www.cai.com/products/inoculateit.htm
  246.  
  247. - - ------------
  248. Integrity Master (Commercial with evaluation versions)
  249. Platform(s): DOS, Win3.x, Win95/98, NT, OS/2.
  250. URL: http://www.stiller.com
  251.  
  252. - - ------------
  253. Invircible (commercial with evaluation versions)  
  254. Platform(s): DOS, Win3.x, Win95/98, NT.
  255. URL: http://www.invircible.com/
  256. Note: The creators of InVircible have marketed it as the be-all and
  257.       end-all of anti-virus products.  As with any product, the buyer
  258.       should beware such outlandish claims. 
  259.  
  260. - - ------------
  261. McAfee VirusScan (also Dr. Solomon's products) - eval versions available
  262. Platform(s): DOS, Windows, Win95, NetWare, Mac, NT, Lotus Notes, 
  263.              Groupware, Exchange, SunOS, Solaris, FreeBSD, SCO, Linux.
  264. URL: http://www.nai.com
  265.  
  266. - - ------------
  267. Microsoft (Macro Virus fixes) 
  268. URL: http://www.microsoft.com
  269. Note: Microsoft anti-virus (MSAV) is no longer supported.  If you're using
  270.       it, get something else (anything else).  MSAV is not adequate 
  271.       protection as it does not protect against current viruses.
  272. There is a paper by Yisrael Radai which documents many of the other
  273. problems with MSAV and CPAV.
  274.  
  275.    ftp://ftp.informatik.uni-hamburg.de/pub/virus/texts/viruses/msaveval.zip
  276.  
  277. - - ------------
  278. MIMESweeper (Mail scanning 'firewall')
  279. Platform(s): Domino, SMTP, Exchange, Raptor
  280. URL: http://www.mimesweeper.com
  281.  
  282. - - ------------
  283. NH&A (Distributors of various anti-virus products; see URL for details)
  284. Platform(s): Various, depends on the product
  285. URL: http://www.nha.com
  286.  
  287. - - ------------
  288. Norman Virus Control
  289. Platform(s): DOS, Win3.x, Win95, NT, OS/2, NetWare, Lotus Domino, Exchange.
  290. URL: http://www.norman.com/
  291.  
  292. - - ------------
  293. Norton Anti-virus, Symantec Anti-virus for Mac
  294. Platform(s): DOS, Win3.x, Win95/98, Mac (SAM), NT, NetWare, OS/2,
  295.              Lotus Notes, Exchange.
  296. URL: http://www.symantec.com/ 
  297.  
  298. - - ------------
  299. Panda Anti-Virus
  300. Platform(s): DOS, Win3.x, Win95/98, NT, OS/2.
  301. URL: http://www.pandasoftware.com
  302.  
  303. - - ------------
  304. PC-Cillin, InterScan, Scanmail, Serverprotect
  305. Platform(s): Win95/98, NT, Lotus Notes, Exchange, Outlook, cc:mail.
  306. URL: http://www.antivirus.com/
  307.  
  308. - - ------------
  309. Reflex Magnetics Ltd - DiskNet, Macro Interceptor, and Data Vault
  310. Platform(s): Win95/98, NT.
  311. URL: http://www.reflex-magnetics.co.uk/
  312.  
  313. - - ------------
  314. ScanMaster for Novell/Vines (Uses McAfee VirusScan engine)
  315. URL: http://www.netpro.com
  316.  
  317. - - ------------
  318. Sophos Sweep (commercial with evaluation versions)
  319. Platform(s): DOS, Win3.x, Win95/98, NT, Mac, OS/2, Netware, AIX, Linux, 
  320.              FreeBSD, HP-UX/HP-PA, SCO, Solaris, OpenVMS, Banyan VINES.
  321. URL: http://www.sophos.com/ 
  322.  
  323. - - ------------
  324. VirusBUSTER, MacroVirusBUSTER, CyberBUSTER
  325. Platform(s): DOS, Win3.x, Win95/98, NT 
  326. URL: http://www.leprechaun.com.au/
  327.  
  328. - - ------------
  329. VirusNet
  330. Platform(s): DOS, Win3.x, Win95/98, NT 
  331. URL: http://www.safetynet.com
  332.  
  333. - - ------------
  334.  
  335. In the event of a *real* tragedy, there are a number of firms which
  336. specialise in data recovery. Examples include:
  337.  
  338. Ontrack Data Recovery, Inc.
  339. URL: http://www.ontrack.com
  340.  
  341. DataRescue:
  342. URL: http://www.datarescue.com/
  343.  
  344.  
  345. (9) Where can I get further information?
  346. ========================================
  347.  
  348. The following sites are not regularly checked. Please advise of
  349. any changes which aren't reflected in this document.
  350.  
  351.  ftp://ftp.informatik.uni-hamburg.de/pub/virus/texts/
  352.   [mirror sites]
  353.  ftp://ftp.uu.net/pub/security/virus/
  354.  ftp://sunsite.unc.edu/pub/docs/security/hamburg-mirror/virus/
  355.  http://www.SevenLocks.com/
  356.  
  357.  http://www.hitchhikers.net/av.shtml
  358.  http://csrc.ncsl.nist.gov/virus
  359.  http://www.nc5.infi.net/~wtnewton/vinfo/master.html
  360.  
  361. Virus Bulletin Home Page - vendor contact info, comparative reviews,
  362. review protocol info etc.
  363.  
  364.         http://www.virusbtn.com
  365.  
  366. Henri Delger's home page has much useful info and useful links
  367.  
  368.         http://pages.prodigy.net/henri_delger/index.htm
  369.  
  370. Tom Simondi has written a freeware virus tutorial (VTUTOR11.ZIP).
  371.  
  372.     http://www.cknow.com/
  373.  
  374. Some information is available from The Scanner, an on-line anti-virus
  375. newsletter.  It may not be entirely current, however. 
  376.  
  377.     http://diversicomm.com/scanner
  378.  
  379. Doug Muth has not only AV links but geek code as well....
  380.  
  381.     http://www.claws-and-paws.com/
  382.  
  383. Bob Rosenberger's Computer Virus Myths Page 
  384.  
  385.     http://www.kumite.com/myths/
  386.  
  387. A few Amiga links:
  388.  
  389.     http://ftp.uni-paderborn.de/aminet/dirs/util_virus.html
  390. [Antivirus info and programs]
  391.     ftp://ftp.uni-paderborn.de/aminet/util/virus/
  392. According to Dennis Boon, trsivw65.lha has info about 100 or so viruses;
  393. VT_docfiles.lha has info on nearly all amiga viruses (in German);
  394. VIB9508.lha file contains info on all viruses up to August 1995 
  395. (in English).
  396.  
  397. The WildList (List of viruses currently 'in the wild' - doesn't 
  398. include much description)
  399.       http://www.wildlist.org
  400.  
  401. Virus Descriptions
  402. - - ------------------
  403.  
  404. http://www.avpve.com                              AVP Virus Encyclopedia
  405. http://www.datafellows.com/vir-info/              Data Fellows Virus
  406. Database
  407. http://www.symantec.com/avcenter/vinfodb.html     Symantec Virus Database
  408. http://www.avertlabs.com                          McAfee Virus Database
  409.  
  410. Virus demonstrations
  411. - - --------------------
  412.  
  413. AVP includes some virus demonstrations, and other publishers have 
  414. demos available.  
  415.  
  416. There are also virus simulators, which are not quite the same thing.
  417. These are sometimes advocated as a means of testing antivirus packages,
  418. but there are dangers to this approach: after all, a package which
  419. detects one of these simulators as the virus it detects is, technically,
  420. false-alarming.
  421.  
  422. See section F6 of the Mark 2 Virus-L FAQ, which is rather good on
  423. types and uses of virus simulation.
  424.  
  425. Books which may be of use:
  426.  
  427.         Robert Slade's Guide to Computer Viruses - Springer-Verlag
  428.                 Pretty good introduction & general resource. Currently
  429.          in its second edition.
  430.         Computers Under Attack (ed. Denning) - Addison-Wesley
  431.                 Aging, but some classic texts
  432.         Survivors' Guide to Computer Viruses (ed. Lammer) - Virus Bulletin
  433.                 Uneven, but includes useful stuff from Virus Bulletin
  434.         Dr. Solomon's Virus Encyclopedia
  435.                 You may from time to time find copies of an older edition
  436.                 of this in bookshops, though it's better known as part of
  437.                 Dr. Solomon's AntiVirus ToolKit. It's a pretty good guide
  438.                 to some of the older viruses.
  439.         A Short Course on Computer Viruses (F. Cohen) - Wiley
  440.                 By the man who 'invented' the concept of computer viruses.
  441.                 Some aspects are controversial, but a good introduction to
  442.                 his work.
  443.  
  444. The comp.virus FAQ includes pointers to some books.
  445.  
  446. Useful (and expensive) periodicals:
  447.  
  448.         Virus Bulletin
  449.           http://www.virusbtn.com
  450.  
  451.         Secure Computing
  452.           http://www.westcoast.com
  453.  
  454.         Computers and Security
  455.           Elsevier Advanced Technology
  456.           PO Box 150
  457.           Kidlington
  458.           Oxford
  459.           OX5 1AS
  460.           44 (0) 1865-843666
  461.           a.verhoeven@elsevier.co.uk
  462.  
  463.         The Disaster Recovery Journal (more info & on-line articles)
  464.           http://www.drj.com
  465.  
  466.  
  467. (10) Does anyone know about...
  468. ==============================
  469.  
  470. ...Mac viruses?
  471. - - ---------------
  472.  
  473. David Harley co-maintains (with Susan Lesch) a FAQ on Mac/virus 
  474. issues, which can be found at:
  475.  
  476.     http://www.macvirus.com/
  477.     http://www.sherpasoft.com/MacSupporters/
  478.  
  479. Mac-specific virus information:
  480.  
  481.     http://www.symantec.com
  482.     http://www.nai.com
  483.     http://www.sherpasoft.com/MacSupporters/
  484.     http://www.hyperactivesw.com
  485.     http://ciac.llnl.gov/ciac/CIACVirusDatabase.html/
  486.  
  487. ...UNIX viruses? 
  488. - - ----------------
  489.  
  490. In general, there are virtually no non-experimental UNIX viruses.
  491. There have been a few Worm incidents, most notably the Morris Worm
  492. (a.k.a. the Internet Worm) of 1988, and a couple of minor Linux
  493. viruses. Some Linux viruses exist, but are not widespread.
  494.  
  495. There are products which scan some Unix systems for PC viruses,
  496. though any machine used as a file server (Novell, Unix etc.) can be
  497. scanned for PC viruses by a DOS scanner if it can be mounted as a
  498. logical drive on a PC running appropriate network client software
  499. such as PC-NFS.
  500.  
  501. Unix servers running as webserver, ftp servers, intranet servers
  502. etc. should be considered as a potential source of files infected
  503. with viruses specific to other platforms, even if they are not
  504. directly infectable themselves. This problem is sometimes referred
  505. to as the 'latent virus problem', or 'heterogeneous virus 
  506. transmission'.
  507.  
  508. Intel-based PCs running Unix (e.g. Linux, 386BSD, SCO Unix etc.)
  509. can also be infected by a DOS boot-sector virus if booted from an
  510. infected disk. The same goes for other PC-hosted operating systems
  511. such as NetWare.
  512.  
  513. While viruses are not a major risk on Unix platforms, integrity
  514. checkers and audit packages are frequently used by system administrators
  515. to detect file changes made by other kinds of attack. However, Unix
  516. security is outside the scope of this FAQ (see comp.security.unix).
  517.  
  518. In fact, such packages generally target PC viruses more than the 
  519. handful of Unix viruses.
  520.  
  521. See also the Unix section in the Virus-L/comp.virus FAQ.
  522.  
  523. A useful book:
  524.  
  525.         Practical Unix Security & Internet Security 
  526.              (Garfinkel, Spafford) - O'Reilly
  527.  
  528. ...macro viruses?
  529. - - -----------------
  530.  
  531. Macro viruses and trojans are specific to certain 
  532. applications which use sophisticated macro languages,
  533. rather than being specific to a particular operating
  534. system. Macro viruses comprise a high percentage of 
  535. the viruses now in the wild.
  536.  
  537. Most current macro viruses and trojans are specific to 
  538. Microsoft Word and Excel: however, many applications, 
  539. not all of them Windows applications, have potentially 
  540. damaging and/or infective macro capabilities too.
  541.  
  542. Macro languages such as WordBasic and Visual Basic for 
  543. Applications (VBA) are powerful programming languages in
  544. their own right. Word and Excel are particularly vulnerable
  545. to this threat, due to the way in which the macro language
  546. is bound to the command/menu structure in vulnerable versions
  547. of Word, the way in which macros and data can exist in the
  548. same file, and the eccentricities of OLE-2.
  549.  
  550. For further info on macro viruses, you might like to try
  551. the main antivirus vendor sites.
  552.  
  553. ...The AOLgold virus
  554. - - --------------------
  555.  
  556. This was actually a trojan. Information is available on the
  557. CIAC archive:
  558.  
  559. You can get this and other CIAC notices from the CIAC Computer Security
  560. Archive.
  561.  
  562.    World Wide Web:      http://ciac.llnl.gov/
  563.  
  564. ...the PKZip trojan virus? 
  565. - - --------------------------
  566.  
  567. Most of us prefer to distinguish between trojans and viruses (see Part
  568. 1). The threat described in recent warnings is definitely not a virus,
  569. since it doesn't replicate by infection.
  570.  
  571. There have been at least two attempts to pass off Trojans as an upgrade
  572. to PKZip, the widely used file compression utility. A recent example was
  573. of the files PKZ300.EXE and PKZ300B.ZIP made available for downloading
  574. on the Internet.  An earlier Trojan passed itself off as version 2.0.
  575. For this reason, PKWare have never released a version 2.0 of PKZip:
  576. presumably, if they ever do release another DOS version (unlikely, at
  577. this date, in my opinion), it will not be numbered version 3.0(0).
  578. In fact, there are hardly any known cases of someone downloading and
  579. being hit by this Trojan, which few people have seen (though most
  580. reputable virus scanners will detect it). As far as I know, this Trojan
  581. was only ever seen on warez servers (specialising in pirated software).
  582.  
  583. There are recorded instances of a fake PKZIP vs. 3 found infected with
  584. a real live in-the-wild file virus, but this too is very rare.
  585. To the best of my knowledge, the latest version of PKZip is 2.04g,
  586. or 2.50 for Windows.
  587.  
  588. There was a version 2.06 put together specifically for IBM internal
  589. use only (confirmed by PKWare). If you find it in circulation, avoid
  590. it. It's either illicit or a potentially damaging fake.
  591.  
  592. The recent rash of resuscitated warnings about this is at least in part
  593. a hoax. It's not a virus, it's a trojan. It doesn't (and couldn't)
  594. damage modems, V32 or otherwise, though I suppose a virus or trojan might
  595. alter the settings of a modem - if it happened to be on and connected....
  596. I don't want to get into hypothetical arguments about programmable 
  597. modems right now. It appears to delete files, not destroy disks irrevocably.
  598.  
  599. It's certainly a good idea to avoid files claiming to be PKZip vs. 3,
  600. but the real risk hardly justifies the bandwidth this alert has occupied.
  601.  
  602. ...xyz PC virus?
  603. - - ----------------
  604.  
  605. There are several thousand known PC viruses, and the number 'in the
  606. wild' is in the hundreds. It is not practical to include information
  607. about all of these in this FAQ. 
  608.  
  609. There are rarely enquiries about viruses on other computing platforms
  610. raised in alt.comp.virus, but there is some information concerning
  611. viruses on most platforms available at the Virus Test Center in Hamburg.
  612.  
  613. See the section above on Virus Descriptions for sites where information
  614. is available.
  615.  
  616. ...the Psychic Neon Buddha Jesus virus?
  617. - - ---------------------------------------
  618.  
  619. This is an allegedly humorous bit of javascript programming that found
  620. its way onto a website. On clicking on a particular button, you may be
  621. told that this virus has been detected.Javascript has many interesting
  622. properties, but virus detection is not one of them. It was a joke,
  623. and it's long gone, though others like it pop up from time to time.
  624.  
  625. ...the blem wit virus?
  626. - - ----------------------
  627.  
  628. See the Virus-L FAQ. Basically, it's a mangled message that may come
  629. up with older Novell drivers "[pro]blem wit[h]....."
  630.  
  631. The Irina Virus?
  632. - - ----------------
  633.  
  634. Publicity stunt generated by Penguin Books to promote their 
  635. 'interactive novel'. More info in the 'Viruses and the Mac'
  636. FAQ, a CIAC bulletin on hoax and semi-hoax viruses, the
  637. Computer Virus Myths website (http://www.kumite.com/myths/) 
  638. and many other sources.
  639.  
  640. GHOST
  641. - - -----
  642.  
  643. Just a screensaver...... More info in the CIAC bulletin 
  644. mentioned above and/or the Computer Virus myths website.
  645.  
  646. General Info on Hoaxes/Erroneous Alerts
  647. - - ---------------------------------------
  648.  
  649. The CIAC updated bulletion mentioned several times above is
  650. at:
  651.  
  652.       http://ciac.llnl.gov/ciac/bulletins/h-05.shtml
  653.  
  654. It includes info on the alerts mentioned below, some historical
  655. background, and suggestions on validating hoaxes rather than
  656. passing them on uncritically.
  657.  
  658. CIAC have now set up a hoaxes web page at:
  659.  
  660.     http://ciac.llnl.gov/ciac/CIACHoaxes.html
  661.  
  662. There's also a page on chain letters which includes relevant
  663. material. 
  664.  
  665. There are lots of useful links at:
  666.  
  667.     http://www.kumite.com/myths
  668.  
  669.  
  670. - - -----------------extract-------------------------------
  671.  
  672. INFORMATION BULLETIN
  673. H-05 Internet Hoaxes: PKZ300, Irina,
  674. Good Times, Deeyenda, Ghost
  675.  
  676. November 20, 1996 16:00 GMT
  677.  
  678.  
  679. PROBLEM:       This bulletin addresses the following hoaxes and erroneous
  680.                warnings: PKZ300 Warning, Irina, Good Times, Deeyenda, and
  681.                Ghost.exe
  682. PLATFORM:      All, via e-mail
  683. DAMAGE:        Time lost reading and responding to the messages
  684. SOLUTION:      Pass unvalidated warnings only to your computer security
  685.                department or incident response team. See below on how to
  686.                recognize validated and unvalidated warnings and hoaxes.
  687.  
  688. VULNERABILITY   New hoaxes and warnings have appeared on the Internet and
  689. old
  690. ASSESSMENT:     hoaxes are still being cirulated.
  691.  
  692. - - ---------------------end extract--------------------------------
  693.  
  694. (11) Is it true that....?
  695. =========================
  696.  
  697.   (*or* some favourite hoaxes...)
  698.  
  699. (1) There is *no* Good Times virus that trashes your hard disk
  700.     and launches your CPU into an nth-complexity binary loop when
  701.     you read mail with "Good Times" in the Subject: field.
  702.  
  703.  You can get a copy of Les Jones' FAQ on the Good Times Hoax from:
  704.  
  705.   http://www.public.usit.net/lesjones/goodtimes.html
  706.  
  707.     There *is* at least one file virus christened Good Times
  708.     by the individual who posted it in an attempt to cause
  709.     confusion. It is more commonly referred to as GT-spoof.
  710.  
  711. (2) There is no modem virus that spreads via an undocumented
  712.     subcarrier - whatever that means....
  713.  
  714. (3) Any file virus can be transmitted as an E-mail attachment.
  715.     However, the virus code has to be executed before it actually
  716.     infects. Sensibly configured mailers don't usually allow this
  717.     by default and without prompting, but certainly some mailers
  718.     can support this: for instance, cc:mail can, it seems, launch
  719.     attachments straight into AmiPro.
  720.  
  721.     There's room for a lot of discussion here. The jury is still
  722.     out on web browsers: Netscape can certainly be set up to do
  723.     things I don't approve of, such as opening a Word document in
  724.     Word without asking.
  725.  
  726.     Microsoft have made available a Word viewer which reads Word
  727.     files, but doesn't run attached macros. If possible, use this
  728.     instead.  If you have both Word and the Word Viewer, it is a good
  729.     idea to set the Word Viewer as the default association instead
  730.     of Word itself.  This protects you from macro viruses to a certain
  731.     extent, while not preventing you from using Word to edit documents
  732.     (just use file/open instead of double-clicking on the file).
  733.  
  734.     The term 'ANSI bomb' usually refers to a mail message or other
  735.     text file that takes advantage of an 'enhancement' to the MS-DOS
  736.     ANSI.SYS driver which allows keys to be redefined with an
  737.     escape sequence, in this case to echo some potentially
  738.     destructive command to the console. In fact, few systems
  739.     nowadays run programs which need ANSI terminal emulation to run,
  740.     and there's no guarantee that the program reading the file would
  741.     pass such an escape sequence unfiltered to the console anyway.
  742.     There are plenty of PD or shareware alternatives to ANSI.SYS that
  743.     don't support keyboard redefinition, or allow it to be turned off.
  744.  
  745.     The term mail bomb is usually applied to the intentional
  746.     bombardment of an e-mail address with multiple copies of a
  747.     (frequently abusive) message, rather than to the above.
  748.  
  749. (4) There is no known way in which a virus could sensibly be spread
  750.     by a graphics file such as a JPEG or .GIF file, which does not
  751.     contain executable code. Macro viruses work because the files to
  752.     which they are attached are not 'pure' data files.
  753.  
  754. (5) In general, software cannot physically damage hardware - this
  755.     includes viruses. There is a possibility that specific hardware
  756.     may be damaged by specific code: however, a virus which drops
  757.     a particular payload on the offchance that it's running on a
  758.     system with a particular type of obsolete video card seems more
  759.     than usually futile.  
  760.  
  761.     At least one virus (named CIH, AKA Chernobyl) contains code that 
  762.     can overwrite BIOS code on some machines.  This does not constitute 
  763.     hardware damage, since the chip involved is still intact.  Problem 
  764.     is, without the appropriate software on that chip, the system won't 
  765.     boot.  Repair from this payload generally involves reprogramming the 
  766.     BIOS chip, which can be more expensive than just buying a new 
  767.     motherboard.  
  768.  
  769.  
  770. (12) Favourite myths
  771. ====================
  772.  
  773. * DOS file attributes protect executable files from infection
  774.  
  775.   File attributes are set by software, and can therefore be
  776.   changed by software, including viruses. Many viruses reset a
  777.   ReadOnly/System/Hidden file to Read/Write, infect it, and
  778.   often reset it to the original attributes afterwards.
  779.  
  780.   This also applies to other software mechanisms such as
  781.   simulating hardware write-protection on a hard disk.
  782.  
  783.   However, file protection rights in NetWare *can* help to
  784.   contain virus infections, if set up properly, as can
  785.   trustee rights. [Trustee assignments govern whether an
  786.   individual user has right of access to a subdirectory: the
  787.   Inherited Rights Mask governs the protection rights of
  788.   individual files and (sub)directories.]
  789.  
  790.   Basically, a file virus has the same rights of access as the
  791.   user who happens to inadvertantly activate it.
  792.  
  793.   Setting up these levels of security is really a function
  794.   of the network Administrator, but you might like to check
  795.   (politely) that yours is not only reassuringly paranoid but
  796.   also knowledgeable about viruses as well as networks, since a
  797.   LAN which is not, in this respect, securely configured, can
  798.   result in very rapid infection and reinfection of files
  799.   across the whole LAN. In particular, accounts with supervisor
  800.   equivalence can, potentially, be the unwitting cause of very
  801.   rapid dissemination of viruses.
  802.  
  803.   [See also the comp.virus FAQ (version 2) section D]
  804.  
  805. * I'm safe from viruses because I don't use bulletin boards/shareware/
  806.   Public Domain software.
  807.  
  808.   Many of the most widely-spread viruses are Boot Sector Infectors,
  809.   which can't normally infect over a serial or network connection.
  810.   Writers of shareware, freeware etc. are no more prone to accidental
  811.   infection than commercial publishers, and possibly less. The only
  812.   'safe' PC is still in it's original wrapping (which doesn't mean
  813.   it isn't already infected...) And don't forget that shrinkwrapped
  814.   software may have been rewrapped.
  815.  
  816.   As well, the most common viruses today are macro viruses, which depend
  817.   on you running a commercial application (usually MS Word or Excel). 
  818.   They spread via documents exchanged between computers, which is a common
  819.   occurrance on many systems, regardless of how 'connected' they are.
  820.  
  821. * FDISK /MBR fixes boot sector viruses.
  822.  
  823.   The mark II comp.virus FAQ is worth reading on this (see Part 1
  824.   of this FAQ as well as Part 4, section 14).
  825.  
  826.   In brief, don't use FDISK /MBR *unless* you're *very* sure of what
  827.   you're doing, as you may lose data. Note also that if you set up the
  828.   drive with a disk manager such as EZDrive, you won't be able to access
  829.   the drive until and unless you can reinstall it.
  830.  
  831. ******************************************************************
  832.  
  833. (i) What does FDISK /MBR do?
  834.     ------------------------
  835.  
  836.   It places "clean" partition code onto the partition of your hard disk.
  837.   It does not necessarily change the partition information, however.  
  838.   [It does sometimes, and when it does it us usually fatal (for the
  839.   common user, anyway). FDISK /MBR will wipe the partition table data if
  840.   the last two bytes of the MBR are not 55 AA.]
  841.  
  842.   The /MBR command-line switch is not officially documented in all
  843.   DOS versions and was introduced in DOS 5.0
  844.  
  845. (ii) What is the partition?
  846.      ----------------------
  847.  
  848.   The partition sector is the first sector on a hard disk.  It contains
  849.   information about the disk such as the number of sectors in each
  850.   partition, where the DOS partition starts, plus a small program. The
  851.   partition sector is also called the "Master Boot Record" (MBR).
  852.  
  853.   When a PC starts up it reads the partition sector and executes the
  854.   code it finds there.  Viruses that use the partition sector modify
  855.   this code.
  856.  
  857.   Since the partition sector is not part of the normal data storage
  858.   part of a disk, utilities such as DEBUG will not allow access to it.
  859.   [Unless one assembles into memory]
  860.  
  861.   Floppy disks do not have a partition sector.
  862.  
  863.   FDISK /MBR will change the code in a hard disk partition sector.
  864.  
  865.  
  866. (iii) What is a boot sector?
  867.       ----------------------
  868.  
  869.   The boot sector is the first sector on a floppy disk.  On a hard disk
  870.   it is the first sector of a partition. It contains information about
  871.   the disk or partition, such as the number of sectors, plus a small
  872.   program.
  873.  
  874.   When the PC starts up it attempts to read the boot sector of a disk in
  875.   drive A:.  If this fails because there is no disk it reads the boot
  876.   sector of drive C:.  A boot sector virus replaces this sector with its
  877.   own code and usually moves the original elsewhere on the disk.
  878.  
  879.   Even a non-bootable floppy disk has executable code in its boot sector.
  880.   This displays the "not bootable" message when the computer attempts to
  881.   boot from the disk.  Therefore, non-bootable floppies can still contain
  882.   a virus and infect a PC if it is inserted in drive A: when the PC
  883.   starts up.
  884.  
  885.   FDISK /MBR will not change the code in a hard disk boot sector (as
  886.   opposed to the partition sector).  Most boot sector viruses infect the 
  887.   partition sector of hard disks and floppy disk boot sectors: most do 
  888.   not infect the boot sector of a hard disk - the Form virus is an 
  889.   exception.
  890.  
  891. (iv) How can I remove a virus from my hard disk's partition sector?
  892.      --------------------------------------------------------------
  893.  
  894.   There are two main alternatives: run an anti-virus product, or use
  895.   FDISK /MBR.
  896.  
  897.   Most effective anti-virus products will be able to remove a virus from
  898.   a partition sector, but some have difficulties under certain
  899.   circumstances.  In these cases the user may decide to use FDISK /MBR.
  900.  
  901.   Unless you know precisely what you are doing this is unwise.  You may
  902.   lose access to the data on your hard disk if the infection was done by
  903.   a virus such as Monkey or OneHalf.  Part 4, section 14 of this FAQ 
  904.   contains details as to how losing data might happen.
  905.  
  906. (v) Won't formatting the hard disk help?
  907.     ------------------------------------
  908.  
  909.   Not necessarily.  Formatting the hard disk can result in everything 
  910.   being wiped from the drive *apart* from the virus.  Format alters the
  911.   DOS partition, but leaves the partition sector (AKA the MBR) untouched.  
  912.   There is usually a better way of removing a virus infection than 
  913.   formatting the hard disk.
  914.  
  915. ******************************************************************
  916.  
  917. * Write protecting suspect floppies stops infection.
  918.  
  919. This sounds so silly I hesitate to include it. I've never seen it said
  920. on a.c.v., but I've heard it so often in other contexts, I've included
  921. it anyway. Write-protecting a suspect floppy will only protect that
  922. diskette from *re-infection*, if it's already infected. It won't stop
  923. an infected floppy from infecting other (write-enabled) drives.
  924.  
  925. If you boot with a disk in drive A which is infected with a boot-sector
  926. virus, the fact that the diskette is write-protected will make no
  927. difference at all.
  928.  
  929. Write-protecting a *clean* floppy will indeed prevent it from being
  930. infected (but see below!).
  931.  
  932. * The write protect tab always stops a disk write
  933.  
  934. Briefly, write protection is built into the hardware on the Mac and
  935. on the PC (and most other systems, of course, but we can't cover
  936. everything), and can't be circumvented in software.
  937.  
  938. However, it is possible for the hardware to fail: it's not common,
  939. but it happens. Thus when I do a cleanup, I try to create a file on a
  940. sacrificial floppy before risking my R/O boot disk. Sometimes, I
  941. even remember....
  942.  
  943. Other caveats: a disk which you receive write-protected could have
  944. been de-protected, infected, and re-protected. Even a 3.5" disk with
  945. the write-enable tab removed can be written to by covering the hole
  946. with (e.g.) masking tape. And, of course, shrink-wrapped software
  947. could have been infected before the duplication process.
  948.  
  949. * I can infect my system by running DIR on an infected disk
  950.  
  951. If you have a clean PC system, you can't contract a boot sector virus
  952. *or* a file virus just by listing the files on an infected floppy.
  953. Of course, if your PC is infected, you may well infect a *clean* floppy
  954. by using
  955.  
  956.         DIR A:
  957.  
  958. It *is* possible to have a scanner report a virus in memory after a
  959. DIR of a floppy with an infected boot sector. The distinction here is
  960. that the virus is not actually loaded into memory, so the PC has
  961. *not* been infected.
  962.  
  963. - - -----------------------------------------------------------------------
  964.  
  965. End of a.c.v. FAQ part 2
  966.  
  967. -----BEGIN PGP SIGNATURE-----
  968. Version: PGPfreeware 6.5.1 for non-commercial use <http://www.pgp.com>
  969. Comment: PGP Key ID 0xDCC35C75 available on Keyservers
  970.  
  971. iQCVAwUBOD6h4bcpzG7cw1x1AQEQRwP+LJoYLFvcBlzMVGJdrxJRPLh1z6YPdPst
  972. mx1uEM0x3VEq4frRqhN9O4zVaaeJ+XaK3KwI3z5TsT/se2ccwiWWQZ0P+Svy9U4J
  973. UO/vgVh6P+oHxA/SnymmgWuggvY1+tM12y/kADVMSg24yzRNWpOg3XmwjMj8sUNK
  974. 9Z0JkvkPeWs=
  975. =vek1
  976. -----END PGP SIGNATURE-----
  977.  
  978.