home *** CD-ROM | disk | FTP | other *** search
/ The Original Shareware 1.1 / The Original Shareware (WeMake CDs)(Volume 1.1)(CDs, Inc)(1993).iso / 30 / fprot200.zip / ANALYSE.DOC next >
Text File  |  1991-08-27  |  3KB  |  73 lines
  1.                               Analyse 
  2.  
  3. Signature-based virus scanning is not the ultimate solution to the virus
  4. problem. If using an up-to-date scanner (or better yet, two scanners from
  5. different companies), one can be fairly certain that all known viruses
  6. will be detected.  The scanners may or may not detect new variants which
  7. have been created by modifying older viruses, but if a new virus is
  8. written entirely from scratch, it will probably not be detected by any
  9. existing virus signature.
  10.  
  11. The virus may be detected by a generic monitoring program when it
  12. activates - perhaps when trying to perform some suspicious action, such as
  13. reformatting the hard disk.  Nevertheless, it is preferable to try to
  14. detect the presence of the virus without actually running a virus-infected
  15. program.
  16.  
  17. The 'Analyse' option is still only in an experimental stage, but as the
  18. name implies it attempts to analyse programs, and reports any suspicious
  19. code which is found.  This is not flawless - some viruses cannot yet
  20. be detected in this way, and an occasional false alarm can be expected.
  21.  
  22. The 'Analyse' part of the program is still under development, but currently
  23. it appears to be able to detect the majority of viruses, while the number
  24. of false alarms is around 1%.
  25.  
  26. Several different messages may be produced when suspicious code is found
  27. in a program, some of which are nearly certain to indicate a virus
  28. infection, such as the following four messages:
  29.  
  30.     This program contains several features which
  31.     are normally only found in virus programs.
  32.     It is almost certainly virus-infected.
  33.  
  34.     This program contains a virus which stays resident
  35.     in memory when an infected program is run.
  36.  
  37.     This program contains a primitive virus,
  38.     which is located at the beginning of the file.
  39.  
  40.     This program modifies itself in a highly suspicious
  41.     way.  It is almost certainly virus-infected.
  42.  
  43. Other messages might indicate a virus infection, but occasionally they are
  44. just false alarms. The less serious messages include:
  45.  
  46.     This program moves itself to a different area
  47.     of memory using a method which is normally
  48.     only used by viruses.
  49.  
  50.     This is a self-modifying program, which may
  51.     indicate a self-encrypting virus or just
  52.     unusual code.
  53.  
  54. Finally there are a few messages which do not indicate a virus infection,
  55. only that something unusual has been found, such as:
  56.  
  57.     This file is packed using PKLITE, LZEXE or
  58.     a similar program.  It may have been infected
  59.     before it was packed, but this program is not
  60.     yet able to determine if this is the case.
  61.  
  62.     Some code has been added to the end of this
  63.     file, but it does not appear to be a virus.
  64.  
  65. On a colour display those messages will appear on a gray background, not
  66. red like the more serious ones.
  67.  
  68. As the 'Analysis' option is still under development, a false positive
  69. might be expected occasionally, and all reports of this would be
  70. appreciated.
  71.  
  72.  
  73.