home *** CD-ROM | disk | FTP | other *** search
/ Freelog 33 / Freelog033.iso / Extra / Antivir / NavScan / VIRSPEC.TXT < prev   
Text File  |  1996-01-31  |  8KB  |  170 lines

  1. ===============================================================================
  2. VIRSPEC.TXT - Special Information Regarding Unique Computer Viruses
  3. Symantec AntiVirus Research Center
  4. February 1, 1996
  5. ===============================================================================
  6.  
  7. *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*
  8. *                 IMPORTANT NOTICE - Norton Antivirus v3.0                    *
  9. *                                                                             *
  10. *   If your version of Norton AntiVirus 3.0 for Windows and DOS is dated      *
  11. *   before December 1, 1995, you will need to update it using the NAV Macro   *
  12. *   Engine Update in order to protect against Word Macro Viruses. If you      *
  13. *   have not updated your version, download the NAV Macro Engine Update from  *
  14. *   the Symantec BBS, Symantec's FTP and Web site, CompuServe, America        *
  15. *   Online, or Microsoft Network. The file is called UPDATEME.EXE and is      *
  16. *   located where the monthly update files are normally found. Alternately,   *
  17. *   you may call Customer Service at (800) 441-7234 to order a disk set.      *
  18. *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*
  19.  
  20.  
  21. ====================
  22. MS Word Macro Family
  23. ====================
  24.  
  25. The Word Macro family of viruses uses the WordBasic macro language to
  26. infect and, in some cases, implant binary viruses into host programs.
  27. Currently, there are 5 known Macro viruses; Concept, Colors, DMV,
  28. FormatC, and Nuclear.  These macros reside within Word document
  29. templates and the documents themselves. Most notably, this family of
  30. viruses is platform independant - they will infect documents and
  31. templates on DOS, Windows, Mac and Windows NT operating systems.
  32.  
  33. In order for NAV to detect these viruses, you must ensure that your
  34. scanning options include .DOC and .DOT extensions.  For more information
  35. on setting this option, see Chapter 8 "Customizing Virus Checking" of your
  36. User's Guide. With that in place, scan your system as usual.
  37.  
  38.  
  39. ========================
  40. Disappearing Hard Drives
  41. ========================
  42. There are several viruses that appear to cause the hard drive to 
  43. "disappear" when booting from a clean floppy disk. This occurs when the 
  44. virus encrypts or moves the partition table (a vital part of the system 
  45. area). Everything appears to be fine as long as the virus is in memory 
  46. because the virus tells DOS where the partition table is, or acts as the 
  47. partition table itself. When you boot clean, DOS can't find the partition 
  48. table as the virus isn't around to give it directions. As a result, you 
  49. might receive an "Invalid drive specification" or similar error when
  50. trying to access the drive.
  51.  
  52. When you boot clean to have NAV repair such an infection, the hard drive 
  53. will not appear in the drive list. Not to worry! NAV, with the default 
  54. options enabled, will bypass DOS and look directly at the hard drive and 
  55. check the system area for infection no matter what you scan. In effect, 
  56. scanning your floppy will scan memory, the floppy AND the system area of 
  57. the hard drive. If an infection is discovered, you will be alerted 
  58. appropriately.
  59.  
  60. NOTE: If you have an IDE hard drive that is larger than 1024 cylinders,
  61. you may need to include additional files on your rescue disk in order to
  62. correctly repair it.  Make sure that any overlay files or drivers for
  63. your hard drive that are part of your normal system configuration are
  64. included on your rescue disk.
  65.  
  66. Examples of viruses that work in this manner are Crazy Boot, Frankenstein,
  67. Neuroquila and Stoned.Empire.Monkey.
  68.  
  69.  
  70. ==========
  71. Crazy Boot
  72. ==========
  73. The Crazy Boot virus is a MBR infector that behaves much like the
  74. Stoned.Empire.Monkey virus.  Due to the nature of this virus, once you 
  75. have started your computer from an uninfected diskette, you will no 
  76. longer see your fixed disk. Booting with the virus in memory will allow 
  77. you to see and access your hard disk, but Crazy Boot will continue to 
  78. spread at every opportunity.
  79.  
  80. If Norton AntiVirus finds the Crazy Boot virus on your computer, please 
  81. contact Technical Support department for instructions on how to remove the
  82. virus.  Please do not attempt to repair the virus without talking to 
  83. Technical Support first.
  84.  
  85. **************************************************************************
  86. WARNING: Because of the unusual behavior of this virus, DO NOT reinoculate 
  87. the master boot record or use inoculation technology to repair the virus 
  88. and DO NOT attempt to repair your hard disk using Norton Disk Doctor or 
  89. any other disk repair utility.
  90. **************************************************************************
  91.  
  92.  
  93. ==========
  94. Neuroquila
  95. ==========
  96. Neuroquila is a multipartite virus that behaves in some ways like the 
  97. Stoned.Empire.Monkey virus or Crazy Boot. In addition to infecting files,
  98. it will infect and encrypt both the master boot record and boot sector. 
  99. Due to this encryption, once you have started your computer from an 
  100. uninfected diskette, you will no longer see your fixed disk. Booting with 
  101. the virus in memory will allow you to see and access your hard disk, but 
  102. Neuroquila will continue to spread at every opportunity.
  103.  
  104. If Norton AntiVirus detects the Neuroquila virus on your computer, please
  105. contact Technical Support department for instructions on how to remove
  106. the virus. Please do not attempt to repair the virus without talking to
  107. Technical Support first.
  108.  
  109. **************************************************************************
  110. WARNING: Because of the unusual behavior of this virus, DO NOT reinoculate 
  111. the master boot record or use inoculation technology to repair the virus 
  112. and DO NOT attempt to repair your hard disk using Norton Disk Doctor or 
  113. any other disk repair utility.
  114. **************************************************************************
  115.  
  116.  
  117. ==============
  118. One Half Virus
  119. ==============
  120. The One Half virus is a multipartite virus that exhibits both stealth and
  121. polymorphic behavior.  In addition to infecting files and master boot 
  122. records, the One Half virus will encrypt data on your hard disk. 
  123.  
  124. Starting November 1, 1994 the virus definitions file includes a definition
  125. for detecting this virus.
  126.  
  127. If Norton AntiVirus finds the One Half virus on your computer, please 
  128. contact Technical Support department for instructions on how to remove the 
  129. virus. Please do not attempt to repair the virus without talking to 
  130. Technical Support first.
  131.  
  132. **************************************************************************
  133. WARNING: Because of the unusual behavior of this virus, DO NOT reinoculate 
  134. the master boot record or use inoculation technology to repair the virus 
  135. and DO NOT attempt to repair your hard disk using Norton Disk Doctor or 
  136. any other disk repair utility.
  137. **************************************************************************
  138.  
  139.  
  140. ===========
  141. Viking.Dec3
  142. ===========
  143. The Viking.Dec3 virus alters EXE files in such a way that NAV is not able 
  144. to completely repair them.  However, we felt it was important to give you 
  145. as much of the repair as possible rather than none.  NAV will repair the 
  146. COM files flawlessly, but the EXE repair requires some input from you.
  147.  
  148. In order to complete the EXE repair, we need your involvement.  As a 
  149. result, we recommend that you replace files from backups where you can. 
  150. And where you can't, apply the following procedure.  If you need help with
  151. this repair, we encourage you to call our Technical Support.
  152.  
  153. After an EXE file is repaired by NAV, one must take the following 
  154. additional steps.  Lines prefixed by the "greater than" sign represent 
  155. lines to be typed at the DOS prompt.  Lines prefixed by a dash are typed 
  156. while running debug.
  157.  
  158.         >rename filename.exe filename.bad
  159.         >debug filename.bad
  160.         -d 100 l 4
  161.  
  162.         Verify that the first byte is E9 and the fourth byte is C0.
  163.         If yes, proceed.  If no, quit (q) from debug.
  164.  
  165.         -e 100 4d 5a ff 1
  166.         -w
  167.         -q
  168.         >rename filename.bad filename.exe
  169.  
  170.