home *** CD-ROM | disk | FTP | other *** search
/ Frostbyte's 1980s DOS Shareware Collection / floppyshareware.zip / floppyshareware / GLEN / CHKUP11.ZIP / CHECKUP.DOC next >
Text File  |  1988-04-02  |  8KB  |  184 lines
  1. Checkup (tm) v.1.1
  2. Copyright (c) 1988 Richard B. Levin
  3. All Rights Reserved
  4.  
  5.  Program:  Checkup
  6.  Version:  1.1
  7. Released:  April 2, 1988
  8. Function:  Detects file size and incremental checksum changes
  9.   Editor:  Norton Editor v.1.3C
  10. Compiler:  Microsoft QuickBASIC v.4.0
  11.   Author:  Richard B. Levin
  12.  Contact:  BBSoft
  13.  Address:  P.O. Box 14546, Phila., PA, 19115
  14.      Lab:  215-677-9782
  15.      BBS:  215-969-8379 (300/1200/2400)
  16.  
  17. Important note:
  18.  
  19.     Please read this document in it's entirety before using CHECKUP.
  20.  
  21. This archive contains three files:
  22.  
  23.      CHECKUP.DOC - This file
  24.      CHECKUP.EXE - Checkup standalone executable
  25.     CHECKUPS.EXE - CheckupS(mall) - Requires BRUN40.EXE
  26.  
  27.     Owners of Microsoft QuickBASIC v.4.0 may use CHECKUPS.EXE instead of
  28. the larger CHECKUP.EXE.  To do so, BRUN40.EXE must be accessable to
  29. CHECKUPS.EXE.
  30.  
  31.     BRUN40.EXE is not provided in this archive.
  32.  
  33. The problem defined:
  34.  
  35.     Computer programs which appear to be normal applications but, after
  36. one or more uses, destroy data stored on the host system are popularly called
  37. "trojan horse" programs.
  38.  
  39.     Trojan horse programs are usually distributed by unsuspecting bulletin
  40. board system operators (BBS SysOps) and attack users who do not know or care
  41. to follow the proper precautions for evaluating BBS downloads.
  42.  
  43.     Once a trojan horse program completes it's deadly mission, it has
  44. obliterated itself as well as the host system's data.  The affected user can
  45. and generally will warn other users to beware of the suspect program.  Thus,
  46. the useful life of a trojan horse program is limited.
  47.  
  48.     The latest form of computer terrorism to surface is the "computer
  49. virus".  A computer virus differs from a trojan horse program in that it is
  50. capable of secretly spreading and infecting other computer systems in order to
  51. extend it's useful life.
  52.  
  53.     The well written computer virus is difficult to detect using current
  54. file management and anti-trojan techniques.  This ingenious bit of code
  55. infects programs by inserting itself into a benign program's executable file.
  56. An expertly crafted virus will not change the host file's date or time stamps
  57. nor will it alter the host file's size.
  58.  
  59.     Converting the attributes of potential virus targets (such as
  60. COMMAND.COM, IBMBIO.COM, or IBMDOS.COM) to "read only" might prevent some
  61. virus infections.  However, the intelligently designed virus will first check
  62. the host file's attribute, reset it if neccessary, infect, then return the
  63. attribute to it's original state.
  64.  
  65.      When an infected program is innocently copied and distributed, a
  66. hidden virus has another opportunity to spread to another system.  A computer
  67. virus may remain dormant for months and then suddenly emerge to do it's
  68. dastardly deed.  By the time a virus has revealed itself, numerous offspring
  69. may have been spawned.
  70.  
  71. How CHECKUP works:
  72.  
  73.     CHECKUP detects potential viral infections by first comparing a target
  74. file's size and then comparing it's checksum on an incremental basis.
  75.  
  76.     CHECKUP consumes significantly less disk space than using DOS's or
  77. other file comparison utility(s) or vaccines which require a mirror-image
  78. duplicate of every compared file.
  79.  
  80.     Using a randomly generated block size with each pass, CHECKUP scans
  81. and compares every byte of the target filespec.  If any one of the block
  82. checksum comparisons do not match, or if the recorded file sizes do not match,
  83. CHECKUP alerts the user that the target file is suspect.
  84.  
  85.     CHECKUP uses a random block size and compare to defeat any future
  86. virus which may be intelligent enough to maintain a file's total checksum
  87. integrity.  It is, in our opinion, impossible for a virus to maintain a
  88. correct file checksum when the checked block size may vary from 1 byte to near
  89. total file size.
  90.  
  91. Program invocation:
  92.  
  93.     Install CHECKUP in your AUTOEXEC.BAT file.  This insures that
  94. important files are checked once per system boot.
  95.  
  96.     Launch CHECKUP for each file you wish to check.  CHECKUP may be
  97. launched as many times as neccessary.  
  98.  
  99.     Launch syntax is CHECKUP [ TARGET_FILE_NAME.EXT ].  For example, to
  100. check COMMAND.COM, the launch syntax would be [ CHECKUP COMMAND.COM ].
  101.  
  102.     The first time a file is checked, CHECKUP will create a .XUP file in
  103. the same directory as the target file.  DO NOT DELETE .XUP FILES.  CHECKUP
  104. requires access to each .XUP file with each future file check.
  105.  
  106.     CHECKUP will also create and maintain a CHECKUP.LOG file on the root
  107. directory of the disk it is mounted on.  You may view the CHECKUP.LOG file
  108. with any ASCII editor.  You may delete the CHECKUP.LOG file at any time.
  109.  
  110.     It is suggested that COMMAND.COM, IBMBIO.COM, and IBMDOS.COM be
  111. checked on a daily basis.  These files are the most likely targets of an
  112. active virus.
  113.  
  114. Precautions:
  115.  
  116.     IBMBIO.COM and IBMDOS.COM are hidden system files.  Before CHECKUP can
  117. access them, they must be converted to non-hidden, non-system files.  After
  118. CHECKUP has checked IBMBIO.COM and IBMDOS.COM, they must be converted back to
  119. hidden system files.
  120.  
  121.     FAILURE TO CONVERT IBMBIO.COM AND IBMDOS.COM BACK TO HIDDEN SYSTEM
  122. FILES MAY EVENTUALLY RESULT IN SYSTEM FAILURE.  THIS IS ESPECIALLY TRUE WITH
  123. SYSTEMS USING A HARD DISK OPTIMIZER WHILE THE FILES ARE SET TO NON-HIDDEN,
  124. NON-SYSTEM.
  125.  
  126.     DO NOT ATTEMPT TO ALTER FILE ATTRIBUTES IF YOU ARE UNFAMILIAR WITH
  127. SETTING AND RESETTING SAME.
  128.  
  129.     There are many public domain utilities which can be used to set and
  130. reset a file's attributes.  Popular utilities include ALTER.COM, a public
  131. domain tool available for downloading from the BBSoft BBS (215-969-8379),
  132. ATTR.COM, also available via the BBSoft BBS (see 1COM.ARC) and from the
  133. PC-Magazine IRS (212-696-0360 or 415-598-9100).  If you own the Norton
  134. Utilities, you may use Norton's FA.EXE to change a file's attributes.
  135.  
  136.     CHECKUP creates one .XUP for each checked file.  The .XUP file is only
  137. created once; the first time a target file is checked.
  138.  
  139.     If your .XUP file(s) are ever mysteriously deleted or altered, it is a
  140. good indication that a "CHECKUP-aware" virus has landed on your system.
  141.  
  142.     To prevent a CHECKUP-aware virus from gaining control of .XUP files,
  143. keep a back up copy of .XUP files as they are created.  The suggested back up
  144. method is to have a batch file copy .XUP files from another directory to the
  145. root and then run CHECKUP.  This assures the integrity of all .XUP files.
  146.  
  147. Example of suggested CHECKUP portion of AUTOEXEC.BAT file:
  148.  
  149.     rem make sure we're on the root directory
  150.         cd \
  151.     rem log the current attributes to a disk file to check for changes
  152.         fa >> fa.log
  153.     rem clear hidden and system attributes
  154.         fa ibmbio.com /h- /sys-
  155.         fa ibmdos.com /h- /sys-
  156.     rem copy .xup files from another directory to root directory
  157.         copy \dirname1\dirname2\*.xup \
  158.     rem run checkup
  159.         checkup ibmbio.com
  160.         checkup ibmdos.com
  161.         checkup command.com
  162.     rem reset file attributes to hidden/system
  163.         fa ibmbio.com /h+ /sys+
  164.         fa ibmdos.com /h+ /sys+
  165.  
  166.     As an additional precaution, you should change all files to read only.
  167. This does not have to be done in a batch file.  Once should be sufficient:
  168.  
  169.         fa ibmbio.com /r+
  170.         fa ibmdos.com /r+
  171.         fa command.com /r+
  172.  
  173. ==============================================================================
  174. Notice:
  175.  
  176. This program must be distributed AS IS without alterations of any kind.
  177.  
  178. This DOC file must be included with CHECKUP(S).EXE in the CHKUP10.ARC file.
  179.  
  180. Released And Distributed Through BBS's All Across America.
  181. ==============================================================================
  182.  
  183. - End of CHECKUP.DOC -
  184. a