home *** CD-ROM | disk | FTP | other *** search
/ ftp.pasteur.org/FAQ/ / ftp-pasteur-org-FAQ.zip / FAQ / computer-virus / alt-faq / part4 < prev   
Encoding:
Internet Message Format  |  2000-03-24  |  43.9 KB

  1. Path: senator-bedfellow.mit.edu!dreaderd!not-for-mail
  2. Message-ID: <computer-virus/alt-faq/part4_953842042@rtfm.mit.edu>
  3. Supersedes: <computer-virus/alt-faq/part4_952514862@rtfm.mit.edu>
  4. Expires: 21 Apr 2000 20:07:22 GMT
  5. References: <computer-virus/alt-faq/part1_953842042@rtfm.mit.edu>
  6. X-Last-Updated: 2000/02/29
  7. Organization: none
  8. From: George Wenzel <gwenzel@telusplanet.net>
  9. Newsgroups: alt.comp.virus,comp.virus,alt.answers,comp.answers,news.answers
  10. Followup-To: alt.comp.virus
  11. Subject: [alt.comp.virus] FAQ Part 4/4
  12. Approved: news-answers-request@MIT.EDU
  13. X-no-archive: yes
  14. Originator: faqserv@penguin-lust.MIT.EDU
  15. Date: 23 Mar 2000 20:09:08 GMT
  16. Lines: 1003
  17. NNTP-Posting-Host: penguin-lust.mit.edu
  18. X-Trace: dreaderd 953842148 2960 18.181.0.29
  19. Xref: senator-bedfellow.mit.edu alt.comp.virus:101521 comp.virus:30979 alt.answers:47999 comp.answers:40198 news.answers:180077
  20.  
  21. Archive-name: computer-virus/alt-faq/part4
  22. Posting-Frequency: Fortnightly
  23. URL: http://www.sherpasoft.org.uk/acvFAQ/
  24. Maintainer: Co-maintained by David Harley, Bruce Burrell, and George Wenzel 
  25.  
  26. -----BEGIN PGP SIGNED MESSAGE-----
  27.  
  28.                alt.comp.virus (Frequently Asked Questions)
  29.                *******************************************
  30.  
  31.                        Version 1.1 : Part 4 of 4
  32.                       Last modified 19th August 1999
  33.  
  34.  
  35.                     ("`-''-/").___..--''"`-._
  36.                      `6_ 6  )   `-.  (     ).`-.__.`)
  37.                      (_Y_.)'  ._   )  `._ `. ``-..-'
  38.                    _..`--'_..-_/  /--'_.' ,'
  39.                   (il),-''  (li),'  ((!.-'
  40.  
  41.  
  42.  
  43. ADMINISTRIVIA
  44. =============
  45.  
  46. Disclaimer
  47. - ----------
  48.  
  49. This document is an honest attempt to help individuals with computer
  50. virus-related problems and queries. It can *not* be regarded as being
  51. in any sense authoritative, and has no legal standing. The authors
  52. accept no responsibility for errors or omissions, or for any ill effects
  53. resulting from the use of any information contained in this document.
  54.  
  55. You should not assume that all or any information in this document
  56. is up-to-date.
  57.  
  58. Not all the views expressed in this document are those of the maintainers,
  59. and those views which *are* those of the maintainers are not necessarily 
  60. shared by their respective employers.
  61.  
  62. Copyright Notice
  63. - ----------------
  64.  
  65. Copyright on all contributions to this FAQ remains with the authors
  66. and all rights are reserved. It may, however, be freely distributed
  67. and quoted - accurately, and with due credit. 
  68.  
  69. It may not be reproduced for profit or distributed in part or as a whole
  70. with any product or service for which a charge is made, except with
  71. the prior permission of the copyright holders. To obtain such permission,
  72. please contact one of the co-maintainers of the FAQ.
  73.  
  74.        David Harley  <D.Harley@icrf.icnet.uk>
  75.         George Wenzel <gwenzel@telusplanet.net>
  76.         Bruce Burrell <bpb@umich.edu>
  77.  
  78. [Please check out the more detailed copyright notice at the beginning
  79. of part 1 of the FAQ]
  80.  
  81. - --------------------------------------------------------------------------
  82.  
  83. TABLE OF CONTENTS
  84. *****************
  85.  
  86. See Part 1 of this FAQ for the full Table of Contents
  87.  
  88.   Part 4
  89.  ------
  90.  
  91.  (14)    Miscellaneous
  92.  
  93.  Are there anti-virus packages which check zipped/archived files?
  94.  What's the genb/genp virus?
  95.  Where do I get VCL and an assembler, & what's the password?
  96.  Send me a virus.
  97.  It said in a review.....
  98.  Is it viruses, virii or what?
  99.  Where is alt.comp.virus archived?
  100.  What about firewalls?
  101.  Viruses on CD-ROM.
  102.  Removing viruses.
  103.  Can't viruses sometimes be useful?
  104.  Do I have a virus, and how do I know?
  105.  What should be on a (clean) boot disk?
  106.  How do I know I have a clean boot disk?
  107.  What other tools might I need?
  108.  What are rescue disks?
  109.  Are there CMOS viruses?
  110.  How do I know I'm FTP-ing 'good' software?
  111.  What is 386SPART.PAR?
  112.  Can I get a virus to test my antivirus package with?
  113.  When I do DIR | MORE I see a couple of files with funny names...
  114.  Reasons NOT to use FDISK /MBR
  115.  Why do people write/distribute viruses?
  116.  Where can I get an Anti-Virus policy?
  117.  Are there virus damage statistics?
  118.  What is ICSA approval?
  119.  What language should I write a virus in?
  120.  No, seriously, what language are they written in?    
  121.  [DRD], Doren Rosenthal, the Universe and Everything
  122.  What are CARO and EICAR?
  123.  
  124. - -------------------------------------------------------------------
  125.  
  126.  
  127. (14) Miscellaneous
  128. ==================
  129.  
  130. Are there anti-virus packages which check zipped/archived files?
  131. - -------------------------------------------------------
  132.  
  133. More and more anti-virus programs are scanning within zipped, 
  134. packed, or archived files.  The specific archive formats supported
  135. will vary from product to product - check with the makers of the
  136. product for details.  Some products will check recursively within
  137. archives, meaning they will scan (for example) a zip file within an
  138. arj file within another zip file, and so on.  Scanning within zipped
  139. files is beneficial when scanning newly-downloaded files, but it 
  140. is simply a convenience - a product that supports more archive formats
  141. may not be better suited to your needs, especially if you never use
  142. files archived with those formats.  Products that scan lots of archive
  143. types are generally most useful for people who run software archives or
  144. other large collections of zipped/archived files.
  145.  
  146. What's the genb/genp virus?
  147. - ---------------------------
  148.  
  149. This is McAfee-ese for "You may have an unrecognised ('generic')
  150. boot-sector (genb) or partition-sector (genp) virus". Re-check
  151. with a more recent version or the latest version of another
  152. reputable package.
  153.  
  154. Where do I get VCL and an assembler, & what's the password?
  155. - -----------------------------------------------------------
  156.  
  157. Wrong FAQ. You don't learn anything about viruses, programming
  158. or anything else from virus toolkits. You want rec.knitting. B-)
  159.  
  160. I can't believe there's anyone left on the Internet who doesn't
  161. know the VCL password, but I'm not going to tell you anyway.
  162.  
  163. OK, maybe you want an assembler to learn assembly-language, not
  164. just to rehash prefabricated code. Where do you get TASM?
  165. You buy it from Borland or one of their agents, either stand-alone
  166. or with one of their high-level languages. If you want freeware
  167. or shareware, I guess you can still get the likes of CHASM and
  168. A86 (SimTel mirror sites in SimTel/asm).
  169.  
  170. Send me a virus
  171. - ---------------
  172.  
  173. Anti-virus researchers don't usually share viruses with people
  174. they can't trust. Pro-virus types are often unresponsive to
  175. freeloaders. And why would you *trust* someone who's prepared
  176. to mail you a virus, bona-fide or otherwise? [A high percentage
  177. of the 'viruses' available over the internet are non-replicating
  178. junk.]
  179.  
  180. Requests for viruses by people 'writing a new anti-virus utility'
  181. are usually not taken too seriously.
  182.  
  183. * We get rather a lot of such requests, which leads to a certain amount
  184.   of cynicism.
  185. * Writing a utility to detect a single virus is one thing: writing a
  186.   usable, stable, reasonably fast scanner which detects all known
  187.   viruses is a considerable undertaking. There are highly experienced
  188.   and qualified people working more or less full time on adding routines
  189.   to do this to antivirus packages which are already mature, and unless
  190.   you have a distinctly novel approach, you don't have much chance of
  191.   keeping up with them.
  192. * It may be that the research you're interested in has already been done.
  193.   Say what sort of information you're looking for, and someone may be able
  194.   to help.
  195. * You can't afford to use junk 'viruses' for research, and the best
  196.   collections are largely in the hands of people who won't allow
  197.   access to them to anyone without cast-iron credentials.
  198.  
  199. If you want to test anti-virus software with live viruses, this
  200. is *not* the way to get good virus samples.
  201.  
  202. Valid testing of antivirus software requires a lot of time, care
  203. and thought and a valid virus test-set. Virus simulators are
  204. unhelpful in this context: a scanner which reports a virus when it
  205. finds one of these is actually false-alarming, which isn't
  206. necessarily what you want from a scanner.
  207.  
  208. Read Vesselin Bontchev's paper on maintaining a virus library:
  209.  
  210.   ftp://ftp.informatik.uni-hamburg.de/pub/virus/texts/viruses/virlib.zip
  211.  
  212. There have been one or two requests for source code. Assuming you have
  213. the necessary knowledge of programming (especially x86 assembler) and the
  214. PC, this is probably the wrong approach, unless you're a serious
  215. antivirus researcher (in which case you need to sell yourself to the
  216. antivirus research community, and asking for viruses here isn't the
  217. way to earn their trust).
  218.  
  219. * How can you trust any source code you're sent? Antivirus researchers won't
  220.   send it to you, so you have to rely on the goodwill of a virus writer
  221.   or distributor: not always a good idea. Many so-called viruses picked up
  222.   from CDs, VX websites etc. aren't viruses at all.
  223.  
  224. * Are you going to examine all known viruses? Or all those listed in
  225.   the current WildList? If not, what are your selection criteria going to
  226.   be? How will you tell an insignificant variant from a completely different
  227.   virus type?
  228.  
  229. Your first task is to understand the general principles, and you won't get
  230. those from snippets of code. If you still need low-level analysis
  231. afterwards,
  232. you might like to try
  233.         http://www.virusbtn.com/VirusInformation/
  234. where you can find analyses (without source code) of a number of common
  235. viruses, analysed by experts.
  236.  
  237. It said in a review....
  238. - -----------------------
  239.  
  240. Reviews in the general computing press are rarely useful. Most
  241. journalists don't have the resources or the knowledge to match
  242. the quality of the reviews available in specialist periodicals like
  243. Virus Bulletin or Secure Computing. Of course, it's possible to
  244. produce a useful, if limited assessment of a package without
  245. using live viruses based on good knowledge of the issues involved
  246. (whether the package is ICSA-certified, for instance): unfortunately,
  247. most journalists are unaware of how little they know and have a vested
  248. interest in giving the impression that they know much more than they
  249. do. Even more knowledgeable writers may not make clear the criteria
  250. applied in their review. 
  251.  
  252.  
  253. Is it viruses, virii or what?
  254. - -----------------------------
  255.  
  256. The Latin root of virus has no commonly used plural form. Since the 
  257. use of the word virus is borrowed from biology, you might like to conform 
  258. to the usage normally favoured by biologists, doctors etc., which is
  259. viruses. However, a number of people favour the terms virii/viri,
  260. either to avoid confusion with the biological phenomenon (but what's
  261. the point of distinguishing in the plural but not in the singular?),
  262. or to avoid being mistaken for anti-virus researchers.....
  263.  
  264. Bottom line, 'viruses' is the correct English plural for the singular 
  265. 'virus'.  Viri, virii, and so on are all slang.
  266.  
  267. Where is alt.comp.virus archived?
  268. - ---------------------------------
  269.  
  270. It isn't, as far as anyone seems to know. No-one currently working on
  271. the FAQ is likely to offer archiving, since a full archive would
  272. include uploaded viruses. 
  273.  
  274. Tom Simondi points that there is an archive of sorts at Dejanews. You
  275. can search for several months of messages by subject at:
  276.  
  277.      http://www.deja.com/
  278.  
  279. What about firewalls?
  280. - ---------------------
  281.  
  282. Firewalls don't generally screen computer viruses, though some firewall
  283. products may allow for virus-scanning plug-ins. There are also
  284. "viruswalls" that scan for viruses at the Internet gateway. 
  285. Some such products can scan incoming and outgoing E-mail
  286. attachments, ftp'd or http'd files etc. for viruses.  MIMESweeper, 
  287. uses yout favourite scanner for scanning the viruses after it has 
  288. opened up the E-Mail attachments in a secure area on the hard drive 
  289. of the NT machine.  Obviously, the on-demand scanner is an additional 
  290. cost. 
  291.  
  292. MIMESweeper has advanced content filtering abilities which go beyond
  293. its capabilities (with assistance from other software) for detection
  294. of file viruses and trojans.
  295.  
  296. These products do real scanning before the mail hits the workstation
  297. hard drive but make sure your mail attachments, WWW downloads etc. can't 
  298. be automatically executed and use a good TSR/VXD in combination with a 
  299. good on-demand scanner.  
  300.  
  301. Note that realtime virus scanning at the gateway can add a heavy network 
  302. overhead and probably won't catch as many viruses as checking *all* 
  303. files from *all* sources with a desktop scanner.
  304.  
  305. Current informed thinking tends to be that detection of viruses at
  306. the firewall is acceptable (1) if you can afford the additional
  307. hardware, software and latency (processing overhead), not to mention
  308. the hidden administrative overheads of configuration and policy for
  309. dealing with boundary conditions such as unusual 7-bit encoding formats,
  310. encrypted files etc. (2) as long as you appreciate that it can only be 
  311. supplementary to checking at the desktop, not a replacement. Mail
  312. attachments, FTP and HTTP are more significant vectors for virus
  313. transmission than formerly, especially with the near-exponential
  314. boom in macro viruses, but other vectors (especially floppy disks)
  315. are still of vital concern. System administrators are attracted by
  316. the fact that it's easier to update server software than control
  317. the use of scanning on individual workstations, but the fact remains
  318. that in most environments, until the desktop is adequately protected
  319. with good, up-to-date realtime (on-access) scanning and/or scheduled
  320. on-demand scanning, virus scanning at the perimeter is a 
  321. semi-irrelevance.
  322.  
  323. For firewall-related information see the newsgroups
  324.  
  325.     comp.security
  326.     comp.security.firewalls
  327.  
  328. or, if you don't mind your mail by the ton, the firewalls mailing-lists.
  329.  
  330. mailto: info@lists.gnac.net
  331. http://lists.gnac.net/
  332.  
  333. Marcus Ranum's firewalls FAQ:
  334.  
  335.       http://www.clark.net/pub/mjr/pubs/fwfaq/
  336.       http://www.interhack.net/pubs/fwfaq/      
  337.  
  338. Books:
  339.  
  340.    Firewalls and Internet Security - Repelling the Wily Hacker
  341.    (Cheswick, Bellovin) - Addison-Wesley
  342.  
  343.    Building Internet Firewalls (Chapman, Zwicky) - O'Reilly
  344.  
  345. Viruses on CD-ROM
  346. - -----------------
  347.  
  348. Viruses have been distributed on CD ROM (for instance, Microsoft
  349. shipped Concept, the first (in the wild) macro virus, on a CD ROM called
  350. "Windows 95 Software Compatability Test" in 1995).  It is wise to scan CD
  351. ROMs on arrival for viruses, just like floppies.  If the CD ROM has
  352. compressed or archived files it is wise to scan it with an anti-virus
  353. package which can cope with large amounts of compressed and archived
  354. files.
  355.  
  356. If you scan all drives at every boot, though, you may find that this
  357. gives you a good incentive to remove CDs from your CD drive before
  358. you power down, especially if your scanner isn't set to allow you
  359. to break out of a scan. B-)
  360.  
  361. Removing viruses
  362. - ----------------
  363.  
  364. It is always better from a security point of view to replace infected
  365. files with clean, uninfected copies.  However, in some circumstances this
  366. is not convenient.  For example, if an entire network were infected with
  367. a fast-infecting file virus then it may be a lot quicker to run a quick
  368. repair with a reliable anti-virus product than to find clean, backup copies
  369. of the files.  It should also be realised that clean backups are not
  370. always available.  If a site has been hit by Nomenklatura, for example, 
  371. it may take a long time before it is realised that you have been infected.  
  372. By that time the data in backups has been seriously compromised.
  373.  
  374. There are virtually no circumstances under which you should need to reformat
  375. a hard disk, however: in general, this is an attempt to treat the symptom
  376. instead of the cause. Likewise, re-partitioning with FDISK is unnecessary.
  377.  
  378. If you use a generic low-level format program, i.e. one which isn't
  379. specifically for the make and model of drive you actually own, you
  380. stand a good chance of trashing the drive more thoroughly than any
  381. virus yet discovered.
  382.  
  383. Can't viruses sometimes be useful?
  384. - ----------------------------------
  385.  
  386. Vesselin Bontchev wrote a respected paper on this subject:
  387.   ftp://ftp.informatik.uni-hamburg.de/pub/virus/texts/viruses/goodvir.zip
  388. Fred Cohen has done some heavy-duty writing in the other direction.
  389. Start with "A Short Course on Computer Viruses", "It's Alive!"(Wiley).
  390.  
  391. In general, it's hard to imagine a situation where (e.g.) a
  392. maintenance virus is the *only* option. I have yet to see a convincing
  393. example of a potentially useful virus which *needs* to be a virus.
  394. Such a program would have to be *much* better written and error-trapped
  395. than viruses usually are.
  396.  
  397. Do I have a virus, and how do I know?
  398. - -------------------------------------
  399.  
  400. Almost anything odd a computer may do can (and has been)
  401. blamed on a computer "virus," especially if no other
  402. explanation can readily be found.  In most cases, when an
  403. anti-virus program is then run, no virus is found.
  404.  
  405. A computer virus can cause unusual screen displays, or
  406. messages - but most don't do that.  A virus may slow the
  407. operation of the computer - but many times that doesn't
  408. happen.   Even longer disk activity, or strange hardware
  409. behaviour can be caused by legitimate software, harmless
  410. "prank" programs, or by hardware faults.  A virus may cause
  411. a drive to be accessed unexpectedly (and the drive light to
  412. go on) - but legitimate programs can do that also.
  413.  
  414. One usually reliable indicator of a virus infection is
  415. a change in the length of executable (*.com/*.exe) files, a
  416. change in their content, or a change in their file date/time
  417. in the Directory listing.  But some viruses don't infect
  418. files, and some of those which do can avoid showing changes
  419. they've made to files, especially if they're active in RAM.
  420.  
  421. Another common indication of a virus infection is a
  422. change to interrupt vectors or the reassignment of system
  423. resources.  Unaccounted use of memory or a reduction in the
  424. amount normally shown for the system may be significant.
  425.  
  426. In short, observing "something funny" and blaming it on
  427. a computer virus is less productive than scanning regularly
  428. for potential viruses, and not scanning, because "everything
  429. is running OK" is equally inadvisable.
  430.  
  431. What should be on a (clean) boot disk?
  432. - --------------------------------------
  433.  
  434. A boot floppy is one which contains the basic operating system, so that
  435. if the hard disk becomes inaccessible, you can still boot the machine
  436. to attempt some repairs.  All formatted floppies contain a boot sector,
  437. but only floppies which contain the necessary system files can be used
  438. as boot floppies. A clean boot disk is one which is known not to be
  439. virus-infected. It's best to use a clean boot disk before routine
  440. scans of your hard disk(s). Some antivirus packages will refuse to run
  441. if there is a virus in memory. It is usually better and sometimes
  442. mandatory to disinfect a system without the virus in memory, and an
  443. undetected file virus may actually spread faster during a scan, since
  444. scanners normally open all executable files in all directories.
  445.  
  446. To make an emergency bootable floppy disk, put a disk in drive A and type
  447.         FORMAT A: /S
  448. Be careful to avoid 'cross-formatting', i.e. formatting a double-density
  449. disk as high-density or vice versa, if you system allows this. (You should
  450. avoid this all the time, not just when creating a boot disk. I'd also
  451. recommend avoiding single-density and quad-density disks, and there may
  452. be problems writing to double-density 5.25" disks on a different machine
  453. to the one on which they were formatted, if one machine is an XT and the
  454. other an AT or better.)
  455.  
  456. You can also make a pre-formatted floppy into a boot disk by typing
  457.         SYS A:
  458. I'd suggest you also COPY these commands from C:\DOS to it: ATTRIB,
  459. CHKDSK (or SCANDISK if you have DOS6), FDISK, FORMAT, SYS, and BACKUP and
  460. RESTORE (or whatever backup program you use, if it will fit).  They may
  461. come in handy if you can't access the hard disk, or it won't boot up.
  462.  
  463. You may be aware that if there is a problem with your boot sequence, you
  464. can boot from the hard disk on a DOS 6/7/Win95 system while bypassing
  465. AUTOEXEC.BAT and CONFIG.SYS. This is not as good as a clean floppy boot:
  466. it won't help at all if you have a boot sector/partition sector infector,
  467. or if any or all of the basic operating system files have been infected
  468. by a file virus.
  469.  
  470. The boot disk should have been created with the same version of DOS as
  471. you have on your hard disk.  It should also include any drivers necessary
  472. to access your hard disk and other devices (such as a CD-ROM).  If, for 
  473. some reason, you can't obtain a clean boot disk with the same version 
  474. of DOS, you can often get away with booting from a (clean) disk using 
  475. a different version, though: indeed, there are viruses which exploit a 
  476. bug in recent versions of MS-DOS which will prevent a clean boot from 
  477. DOS vs. 4-6. If you *do* use a different version, remember that you 
  478. won't be able to use many of the standard DOS system utilities on the 
  479. hard disk, which will simply return a message like 'Wrong DOS version' 
  480. when you try to run them, and avoid the use of FORMAT or FDISK.
  481.  
  482. If you become virus-infected it can be very helpful to have backup of your
  483. hard disk's boot sector and partition sector (also known as MBR). Some
  484. anti-virus and disk utilities can do this. Other useful tools to include are
  485. a small DOS-based text editor (for editing AUTOEXEC.BAT, CONFIG.SYS and so
  486. forth), a copy of the DOS commands COMP or FC (for comparing files),
  487. FDISK and SYS (make sure they are from the same version of DOS as you are
  488. booting).  There is a school of thought that your boot disk should also
  489. include your anti-virus software.  The problem with this is that
  490. anti-virus software should be updated frequently, and you may forget to
  491. update (and re-write-protect) your boot disk each time.  Ideally you will
  492. have been sent a clean, write-protected copy of the latest version of your
  493. anti-virus software by your vendor/supplier.
  494.  
  495. If you want to use the DOS program EDIT, remember that you need both
  496. EDIT.* and QBASIC.* on the same disk.
  497.  
  498. When you have everything you need on your boot floppy and any supplementary
  499. floppies (see below), make sure they're all *write-protected*!
  500.  
  501. How do I know I have a clean boot disk?
  502. - ---------------------------------------
  503.  
  504. You can't usually make up a clean boot disk on a system which has been
  505. booted from an infected floppy or hard disk. So how do you know you're
  506. booting clean? Actually, you can never be 100% sure. If you buy a PC
  507. with the system already installed, you can't be sure the supplier
  508. didn't format it with an infected disk. If you get a set of system
  509. disks, can you assume that Microsoft or the disk duplicator
  510. didn't somehow release a contaminated disk image? (Yes, something rather
  511. like this has indeed happened...) However, you can be better than 99%
  512. sure.
  513. * If you have (and use) a reputable, up-to-date virus scanner, it will
  514.   almost invariably detect a known virus in memory (scanners can't be
  515.   relied on to detect an unknown virus, in memory or not). If a good
  516.   scanner doesn't ring an alarm bell, you've *almost* certainly booted
  517.   clean. What constitutes a good scanner is another question, however.
  518. * If you have a set of original system disks which you received
  519.   shrinkwrapped *and* which you've never used *or* which have only been
  520.   used write-protected, you can probably use Disk 1 as a boot disk and
  521.   it *probably* isn't infected - after all, Microsoft doesn't use MSAV
  522.   for jobs like this..... It has been reported, though, that DOS
  523.   systems disks have been distributed infected, and the fact that
  524.   they're often distributed write-enabled doesn't inspire confidence.
  525. * You could always contact the supplier of your most-trusted anti-virus
  526.   utility and ask whether you can send them a boot floppy to check. Of
  527.   course, even anti-virus gurus sometimes make mistakes, but a boot
  528.   disk verified in this way would still be worth paying for,
  529.   especially for organizations with mission-critical systems.
  530.  
  531.  
  532. What other tools might I need?
  533. - ------------------------------
  534.  
  535. Other suggestions have included a sector editor, and Norton Utilities
  536. components such as Disk Doctor (NDD). These are not suitable for use by
  537. the technically-challenged - any tool which can manipulate disks at a
  538. low-level is potentially dangerous. If you do use tools like this, make
  539. sure they're good quality and up-to-date. If you attack a 1Gb disk with
  540. a package that thinks 32Mb is the maximum for a partition and MFM disk
  541. controllers are leading edge, you're in for trouble....
  542.  
  543. A copy of PKZIP/PKUNZIP or similar compression/decompression utility may
  544. be useful both for retrieving data and for cleaning (some) stealth viruses.
  545. The MSD diagnostic tool supplied with recent versions of DOS and Windows
  546. is a useful addition. Heavy duty diagnostic packages like CheckIt! may 
  547. be of use. There are some useful shareware/freeware diagnostic packages, 
  548. too.
  549.  
  550. Obviously, these are not all going to go on one bootdisk. When you
  551. prepare a toolkit like this, make sure *all* the disks are
  552. write-protected!
  553.  
  554. Tech support types are likely to find that an assortment of bootable
  555. disks including various versions of DOS comes in useful on occasion.
  556. If you have one or two non-Microsoft DOS versions (DR-DOS/Novell DOS
  557. or PC-DOS), they can be a useful addition. DoubleSpaced or similar
  558. drives will need DOS 6.x; Stacked drives will need appropriate
  559. drivers loaded.
  560.  
  561. My understanding of the copyright position is that Microsoft does
  562. not encourage you to *distribute* bootable disks (even if they contain
  563. only enough files to minimally boot the system) *unless* the target
  564. system is loaded with the same version of MS-DOS as the boot floppy.
  565. Support engineers will need to ensure that they are legally entitled
  566. to all DOS versions for which they have bootable disks.
  567.  
  568. What are rescue disks?
  569. - ----------------------
  570.  
  571. Many antivirus and disk repair utilities can make up a (usually
  572. bootable) rescue disk for a specific system. This needs a certain
  573. amount of care and maintenance, especially if you make up more than
  574. one of these for a single PC with more than one utility. Make sure
  575. you update *all* your rescue disks when you make a significant
  576. change, and that you understand what a rescue disk does and how it
  577. does it before you try to use it. Don't try to use a rescue disk
  578. made up on one PC on another PC, unless you're very sure of what
  579. you're doing: you may lose data.
  580.  
  581. Are there CMOS viruses?
  582. - -----------------------
  583.  
  584. Although a virus CAN write to (and corrupt) a PC's CMOS memory, 
  585. it can NOT "hide" there.  The CMOS memory used for system 
  586. information (and backed up by battery power) is not "addressable," 
  587. and requires Input/Output ("I/O") instructions to be usable.
  588.  
  589. Data stored there are not loaded from there and executed, so virus
  590. code written to CMOS memory would still need to infect an
  591. executable program in order to load and execute whatever it wrote.
  592.  
  593. A virus could use CMOS memory to store part of its code,
  594. and some tamper with the CMOS Setup's values.  However,
  595. executable code stored there must first be first moved to
  596. DOS memory in order to be executed.  Therefore, a virus
  597. can NOT spread from, or be hidden in CMOS memory.  No known
  598. viruses store code in CMOS memory.
  599.  
  600. There are also reports of a trojanized AMI BIOS - this is
  601. not a virus, but a 'joke' program which does not replicate.
  602. The malicious program is not on the disk, nor in CMOS, but
  603. was directly coded into the BIOS ROM chip on the system board.
  604. by a rogue programmer at American Megatrends Inc., the 
  605. manufacturers.
  606.  
  607. If the date is 13th of November, it stops the bootup process
  608. and plays 'Happy Birthday' through the PC speaker. In this
  609. case, the only cure is a new BIOS (or motherboard) - contact 
  610. your dealer. The trojanized chip run was BIOS version M82C498
  611. Evaluation BIOS vs. 1.55 of 04-04-93, according to Jimmy
  612. Kuo's "What is NOT a virus" paper.
  613.  
  614. - From time to time there are reports from Mac users that the
  615. message 'welcome datacomp' appears in their documents without
  616. having been typed. This appears to be the result of using a
  617. trojanised 3rd-party Mac-compatible keyboard with this 'joke'
  618. hard-coded into the keyboard ROM. It's not a virus - it can't
  619. infect anything - and the only cure is to replace the keyboard.
  620.  
  621. How do I know I'm FTP-ing 'good' software?
  622. - ------------------------------------------
  623.  
  624. Reputable sites like SimTel and Garbo check uploaded utilities for
  625. viruses before making them publicly available. However, it makes
  626. sense not to take anything for granted. I'm aware of at least one
  627. instance of a virus-infected file being found on a SimTel mirror:
  628. you can't scan a newly-uploaded file for a virus your scanner
  629. doesn't know about. Good A/V packages include self-checking code,
  630. though it's unsafe to depend even on this 100%. Be paranoid: you
  631. know it makes sense....
  632.  
  633. In general, don't run *anything* downloaded from the Internet,
  634. BBSs etc. until it's been checked with at least one reputable
  635. and up-to-date antivirus scanner.
  636.  
  637. What is 386SPART.PAR?
  638. - ---------------------
  639.  
  640. People are sometimes alarmed at finding they have a hidden file
  641. with this name. It is, in fact, created by Windows 3.x when you
  642. configure it to use a permanent swap file (a way of allowing Windows
  643. to work as if you had more memory than you really do. On no account
  644. should you delete it, as it will upset your configuration. If you wish
  645. to remove it or adjust the size, do so via the 386 Enhanced
  646. setting in Control Panel. However, a permanent swap file usually
  647. improves performance on a machine with relatively little memory.
  648. The file is not executable as such, and reports of virus infection
  649. are usually false positives.
  650.  
  651. Can I get a virus to test my antivirus package with?
  652. - ----------------------------------------------------
  653.  
  654. Well, I won't send you one... Most packages have some means of allowing
  655. you to trigger a test alert. There is a standard EICAR test file which
  656. is recognized by some packages.
  657.  
  658. Most reputable, current anti-virus products will now alert on the EICAR
  659. anti-virus test file.  See the following site for background on this file:
  660.  
  661.    http://www.eicar.org/
  662.  
  663. To make use of the EICAR test string, type or copy/paste the 
  664. following text into a file called EICAR.COM, or TEST.COM or whatever.
  665.  
  666. X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
  667.  
  668. Running the file displays the text "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!".
  669.  
  670. The EICAR file isn't an indication of a scanner's -efficiency- at 
  671. detecting viruses, since  (1) it isn't a virus and (2) detecting 
  672. a single virus or non-virus isn't a useful test of the number of
  673. viruses detected. It's a (limited) check on whether the program 
  674. is installed, but I'm not sure it's a measure of whether it's installed 
  675. correctly. For instance, the fact that a scanner reports correctly that a 
  676. file called EICAR.COM contains the EICAR string, doesn't tell you 
  677. whether it will detect macro viruses, for example. In fact, if I wanted 
  678. to be really picky, I'd have to say that it doesn't actually tell you 
  679. anything except that the scanner detects the EICAR string in files with 
  680. a particular extension. 
  681.  
  682. The string is supposed to trigger an alarm only when detected at
  683. the beginning of the file. Some products are known to 'false alarm'
  684. by triggering on files which contain the string elsewhere.
  685.  
  686. [I have Chengi Jimmy Kuo's permission to reproduce the following, a
  687. propos of the last-but-one paragraph]:
  688.  
  689. "The purpose of the EICAR test file is for the user to test all the
  690. bells and whistles associated with detecting a virus.  And, if given
  691. that one platform detects it, is everything else working?  It is to
  692. enable such things as:
  693.  
  694.         Is the alert system working correctly?
  695.         Does the beeper work?
  696.         Does the network alert work?
  697.         Does it log correctly?
  698.         What does it say?
  699.         Is the NLM working?  For inbound?  For outbound?
  700.         Is compressed file scanning working?
  701.  
  702. Surprise MIS testing of AV security placements.
  703.  
  704. The file serves no purpose in testing whether one product is better
  705. than another.  Previously, every product had to supply its own test
  706. methods.  This allows for an independent standard.'
  707.  
  708.  
  709. When I do DIR | MORE I see a couple of files with funny names...
  710. - ----------------------------------------------------------------
  711.  
  712. Actually, this is in the Virus-L FAQ. Read that and post the question
  713. to comp.virus or alt.comp.virus if you're still worried. Basically,
  714. the answer is that MORE creates a couple of temporary files, being
  715. considerably less efficient than the Unix utility it attempts to
  716. emulate. Most versions of DOS since the Middle Ages support the
  717. syntax DIR /P, which does the same job less messily. In fact,
  718. if you have a version of DOS later than 5, you might consider
  719. incorporating it into the environment variable DIRCMD, so that it
  720. becomes your default on directory listings which exceed 1 screenful.
  721.  
  722. Of course, other utilities such as ATTRIB can also be filtered through
  723. MORE like this, which may result in similar symptoms.
  724.  
  725. - ------------------------------------------------------------
  726.  
  727. Reasons NOT to use FDISK /MBR
  728. - -----------------------------
  729.  
  730. See Section 12 in part 2 of this FAQ for further information about FDISK
  731. with the undocumented /MBR switch. However, people with virus problems
  732. are frequently advised, out of ignorance or maliciousness, to use this
  733. switch in circumstances where it can lead to an inability to access your
  734. disk drive and possible loss of data (not to mention hair and sanity).
  735.  
  736. Essentially, you should avoid using FDISK /MBR unless you have it on good
  737. authority that it's safe and necessary to do so. In most circumstances, it's
  738. safer to clean a partition sector with a good anti-virus program.
  739.  
  740. You should avoid FDISK /MBR at all costs under the following circumstances:
  741.  
  742. 1. Under an infection of viruses that don't preserve the Partition Table
  743.    e.g., Monkey, reported at 7.2% of the infections reported to _Virus
  744.    Bulletin_ for December '95, the last report for which I have data
  745. 2. Under an infection that encrypts data on the hard drive and keeps
  746.    the key in the MBR, e.g, One_half  -- reported at 0.8% worldwide
  747. 3. When security software, e.g., PC-DACS is in use
  748. 4. When a driver like Disk Manager or EZDrive is installed
  749. 5. When a controller that stores data in (0,0,1) is in use
  750. 6. When more than one BSI virus is active, in some conditions
  751. 7. When a data diddler is active, e.g. Ripper, accountable for 3.8% of
  752.    the infections reported in the study cited above  (N.B.: while this
  753.    case won't be fixed by AV utilities, at least one will know why
  754.    there are problems with the drive)
  755.  
  756. - ------------------------------------------------------------
  757.  
  758. Why do people write/spread viruses?
  759. - -----------------------------------
  760.  
  761. - From postings which have appeared in alt.comp.virus in the past:
  762.  
  763. * they don't understand or prefer not to think about the consequences
  764.   for other people
  765. * they simply don't care
  766. * they don't consider it to be their problem if someone else is
  767.   inconvenienced
  768. * they draw a false distinction between creating/publishing viruses
  769.   and distributing them
  770. * they consider it to be the responsibility of someone else to protect
  771.   systems from their creations
  772. * they get a buzz, acknowledged or otherwise, from vandalism
  773. * they consider they're fighting authority
  774. * they like 'matching wits' with antivirus vendors
  775. * it's a way of getting attention, getting recognition from their peers
  776.   and their names (or at least that of their virus) in the papers and
  777.   the Wild List
  778. * they're keeping the antivirus vendors in a job
  779.  
  780.  
  781. - ------------------------------------------------------------
  782.  
  783. Where can I get an anti-virus policy?
  784. - -------------------------------------
  785.  
  786. There is some relevant material in the Virus-L FAQ document, but you'll
  787. need to do most of the work specific to your own environment. It's worth
  788. doing some general reading on security policies generally and getting
  789. the distinctions straight between policies, strategies, standards,
  790. procedures and protocols. I'm working on this in other contexts: some of
  791. that material may eventually seep back into here.
  792.  
  793. The ICSA have a Corporate Virus Prevention Policy disk/document which can
  794. be ordered via their web page (www.icsa.net) for around $20, or downloaded
  795. from Compuserve.
  796.  
  797. In the UK, the British Standards Institution have a Code of Practice for
  798. Information Security Management which includes virus-management (BS7799).
  799. [It's not necessarily well-regarded by practitioners, though.]
  800.  
  801.         BSI
  802.         389 Chiswick High Road
  803.         London W4 4AL
  804.  
  805.         DTI (Dept. of Trade & Industry)
  806.         IT Security Policy Unit
  807.         151 Buckingham Palace Road
  808.         London SW1W 9SS
  809.  
  810. The Dr. Solomon's web page (www.drsolomon.com) has a paper on Guidelines 
  811. for an Anti-Virus Policy by David Emm which is a reasonable starting 
  812. point, though a comprehensive virus management policy is no small 
  813. undertaking.  The Dr. Solomon's page may be moved to the www.nai.com
  814. site in the near future, as Dr. Solomon's has been purchased by NAI.
  815.  
  816. - ------------------------------------------------------------
  817.  
  818. Are there virus damage statistics?
  819. - ----------------------------------
  820.  
  821. Some, possibly even less reliable than the average survey on general
  822. security breaches. Why?
  823.  
  824. * Many reported virus incidents aren't, in fact, virus incidents, as
  825.   many a PC support specialist will confirm. There is a tendency to
  826.   attribute any PC anomaly to a virus, among those who are not well
  827.   acquainted with the virus arena. Unfortunately, this includes
  828.   virtually the entire press corps and many security consultants. Also,
  829.   some widely-used packages are noticeably prone to false alarms.
  830. * Many actual virus incidents and other security breaches are not
  831.   reported, due to the intervention of top management or Public
  832.   Relations, out of fear of losing competitive advantage because of
  833.   being perceived as badly-managed and insecure.
  834. * Many other virus incidents and security breaches aren't reported
  835.   because they're simply not recognised as such, or at all.
  836. * There are no standards for reporting and assessing damage from
  837.   viruses and other security breaches. Take the case of Christopher
  838.   Pile (the Black Baron), who was convicted in the UK under the
  839.   Computer Misuse Act: I have seen estimates in the UK press of
  840.   the damage sustained by the company most affected by the viruses
  841.   Pile spread ranging from #40,000 to #500,000, and this is an
  842.   unusually well-documented incident. How can the average survey
  843.   respondent be expected to make an accurate assessment?
  844.  
  845. The trouble is, there's a lot more to 'damage' than the figures
  846. estimated for a particular outbreak.
  847.  
  848.         Cost of maintaining virus protection
  849.         Training and maintaining a response team
  850.         Management costs
  851.         Cost of software licences
  852.         Cost in time/productivity/money of maintaining upgrades etc.
  853.         Formulating and enforcing policy
  854.         Educating users in the issues and good hygienic practice
  855.         Cost in time of routine anti-virus measures
  856.         Cost in money and time of servicing false alarms
  857.         Cost of sheepdip systems
  858.         Cost of having part-time A/V people taking time off
  859.         from their 'real' jobs
  860.         Alternatively, the cost of having full-time A/V personnel
  861.         Cost of tracking the product market, technological changes
  862.         Formulating and enforcing a backup policy
  863.         Development of protective systems
  864.         Resource utilisation by undetected viruses
  865.  
  866.      Cost of specific outbreaks
  867.         Loss of productivity
  868.         Workstation/Server downtime
  869.         Damage to reputation of the organization
  870.         Damage to involved personnel
  871.         Psychological damage - witch hunts
  872.         Damage limitation
  873.         Time spent cleaning up, examining floppies etc.
  874.         Restoration of backups/reinstallation
  875.         Replacing unrecoverable data
  876.         Time and money spent increasing virus protection.....
  877.  
  878. However, the Poor Bloody Infantry often have to spend time and effort
  879. persuading the Generals of the need to expend money on ammunition.
  880. You might care to check out:
  881.  
  882. * The Information Security Breaches Survey 1996 [UK]
  883.  
  884.   [National Computing Centre, ICL, ITSEC, Dept. of Trade & Industry]
  885.  
  886.   NCC
  887.   Oxford House
  888.   Oxford Road
  889.   Manchester
  890.   M1 7ED
  891.  
  892.   (voice) +44(0) 161 228 6333
  893.   (fax)   +44(0) 161 242 2171
  894.   enquiries@ncc.co.uk
  895.   http://www.ncc.co.uk/
  896.  
  897. This came up with the highly suspect but much quoted average of about 
  898. #4000 per virus incident.
  899.  
  900. * Computer Virus & Security Survey 1995 [Ireland]
  901.  
  902.   [Price Waterhouse, Priority Data Systems]
  903.  
  904.   Price Waterhouse
  905.   Wilton Place
  906.   Dublin 2
  907.   (353 1) 6606700
  908.  
  909. ++Added August 18th.
  910.  
  911. * ICSA have published surveys for some years. The 1999 survey is the
  912.   best to date. 
  913.  
  914.   <http://www.icsa.net/>
  915.  
  916. - ------------------------------------------------------------
  917.  
  918. What is ICSA Approval?
  919. - ----------------------
  920.  
  921.   The ICSA has a certification program for PC virus scanners which offers
  922.   a measure of the detection capabilities of specific versions.
  923.   In the past, ICSA's modus operandi was the subject of much
  924.   scepticism within the antivirus community, but the current
  925.   procedures are much improved (but not perfect, but nothing is).  
  926.   The specific criteria are available at:
  927.  
  928.   http://www.icsa.net/services/consortia/anti-virus/certification.shtml
  929.  
  930.   A list of the certified products is available at: 
  931.  
  932.   http://www.icsa.net/services/consortia/anti-virus/certified_products.shtml
  933.  
  934. The ICSA sponsors an Anti-Virus Product Developers consortium. The ICSA
  935. and consortium members have created standards for anti-virus products
  936. and the ICSA Anti-virus lab in Carlisle tests new versions of scanners
  937. that are submitted to it and issues an "NCSA Approved" seal for those
  938. products which past the test. 
  939.  
  940. For more information about the NCSA or for links to the members of the
  941. AVPD consortium:
  942.  
  943.   http://www.icsa.net/
  944.  
  945. - ------------------------------------------------------------
  946.  
  947. What language should I write a virus in?
  948. - ----------------------------------------
  949.  
  950. Choose your own squelch:
  951.  
  952.     * ANSI COBOL
  953.     * LOGO
  954.     * Karel the Robot
  955.     * PL/I
  956.     * dBase II
  957.     * Get a life
  958.     * Or my personal favourite (thanks, Bruce!)
  959.          "Hey, man; where can I get a copy of
  960.          Visual English to write some hot new virii?!?"
  961.  
  962. If you need to ask this question, you'd be better off collecting
  963. tazos than trying to write viruses. 
  964.  
  965. No, seriously, what language are they written in?
  966. - -------------------------------------------------
  967.  
  968. The simple answer is "Assembler, mostly (on the PC)". High-level
  969. languages such as C and Pascal are sometimes used, as are various
  970. flavours of command shells on various systems (Unix shell scripts,
  971. DCL scripts etc.). Macro viruses are written in macro languages, 
  972. surprisingly....... B-)
  973.  
  974. [DRD], Doren Rosenthal, the Universe and Everything
  975. - ---------------------------------------------------
  976.  
  977. Doren Rosenthal offers a shareware utilities suite including a
  978. virus simulator. Many of the AV pros in this group have a low
  979. opinion of the Rosenthal utilities, and regard their author as
  980. more of a virus writer than an anti-virus researcher, and are
  981. annoyed by his habit of offering his utilities as a solution
  982. for problems to which their relevance is not always obvious. As
  983. discussions on Rosenthal-related topics sometimes generate 
  984. much heat and bandwidth, some people have taken to adding [DRD]
  985. to the subject header when posting to these threads, to make it
  986. easier to avoid them.
  987.  
  988. What are CARO and EICAR?
  989. - ------------------------
  990.  
  991. CARO - Computer Anti-Virus Research Organisation. Invitation-only
  992. group of techie researchers, mostly representing AV vendors. CARO
  993. approves 'standard' names for viruses. Some people tend to mistrust
  994. the fact that CARO members often share virus samples: however, CARO
  995. membership is a convenient yardstick by which other members can
  996. judge whether an individual can be trusted with samples. In general,
  997. users at large benefit: this way, AV vendors with CARO members can
  998. include most known viruses in their definitions databases.
  999.  
  1000. EICAR - European Institute for Computer AntiVirus Research. Membership
  1001. comprises academic, commercial, media, governmental organisations etc, 
  1002. with experts in security, law etc., combining in the pursuit of the 
  1003. control of the spread of malicious software and computer misuse. 
  1004. Membership is more open, but members are expected to subscribe to a
  1005. code of conduct. And yes, this is the origin of the EICAR test file.
  1006.  
  1007. EICAR has a web page at http://www.eicar.org/
  1008.  
  1009. - ------------------------------------------------------------------
  1010.  
  1011. End of a.c.v. FAQ Part 4 of 4
  1012.  
  1013. -----BEGIN PGP SIGNATURE-----
  1014. Version: PGPfreeware 6.5.1 for non-commercial use <http://www.pgp.com>
  1015. Comment: PGP Key ID 0xDCC35C75 available on Keyservers
  1016.  
  1017. iQCVAwUBN7xqtLcpzG7cw1x1AQHFoAQAiHNzI9neRiEFc/Q6sgU/iWGDiXaLCsD3
  1018. 516p05bQNX8vSQfCZGPbLteKjwXpFyttbnYjJF/WBZzpmkkyD35BU14m2ZcAJsPL
  1019. G5Gk17mQ6NDKcpNiV7LVD1SxmtIZfXtXOjmdB+wKFrk9GspzltWDGoGVnT6c5lOR
  1020. W/iCyi+DrFU=
  1021. =FpZ4
  1022. -----END PGP SIGNATURE-----
  1023.  
  1024.