home *** CD-ROM | disk | FTP | other *** search
/ Internet Surfer 2.0 / Internet Surfer 2.0 (Wayzata Technology) (1996).iso / pc / text / mac / faqs.018 < prev    next >
Encoding:
Text File  |  1996-02-12  |  27.8 KB  |  571 lines
  1. Frequently Asked Questions (FAQS);faqs.018
  2.  
  3.  
  4.  
  5. A third source of information is the monthly Virus Bulletin, published
  6. in the UK.  Among other things, it gives detailed technical
  7. information on viruses (see also A9 below).  Unfortunately, it is very
  8. expensive (the subscription price is $395 per year).  US subscriptions
  9. can be obtained by calling 203-431-8720 or writing to 590 Danbury
  10. Road, Ridgefield, CT 06877; for European subscriptions, the number is
  11. +44-235-555139 and the address is: The Quadrant, Abingdon, OX14 3YS,
  12. England.
  13.  
  14. A fourth good source of information on DOS viruses is the "Computer
  15. Viruses" report of the National/International Computer Security
  16. Association.  This is updated regularly, and is fairly complete.
  17. Copies cost approximately $75, and can be ordered by calling +1-
  18. 202-244-7875.  ICSA/NCSA also publishes the monthly "Virus News and
  19. Reviews" and other publications.
  20.  
  21. Another source of information is the documentation of Dr. Solomon's
  22. Anti-Virus ToolKit.  It is more complete than the CVC list, just as
  23. accurate (if not more), but lists only DOS viruses.  However, it is
  24. not available electronically; you must buy his anti-virus package and
  25. the virus information is part of the documentation.
  26.  
  27. Yet another source of information is "Virus News International",
  28. published by S & S International.  And, while not entirely virus-
  29. related, "Computers & Security" provides information on many
  30. aspects of computer security, including viruses.
  31.  
  32. The best source of information available on Apple Macintosh viruses is
  33. the on-line documentation provided with the freeware Disinfectant
  34. program by John Norstad.  This is available at most Mac archive sites.
  35.  
  36.  
  37. A8) Where can I get free or shareware anti-virus programs?
  38.  
  39. The VIRUS-L/comp.virus archive sites carry publicly distributable
  40. anti-virus software products.  See a recent listing of the archive
  41. sites (or ask the moderator for a recent listing) for more information
  42. on these sites.
  43.  
  44. Many freeware/shareware anti-virus programs for DOS are available via
  45. anonymous FTP on WSMR-SIMTEL20.ARMY.MIL (192.88.110.20), in the
  46. directory PD1:<MSDOS.TROJAN-PRO>.  Note that the SIMTEL20 archives
  47. are also "mirrored" at many other anonymous FTP sites, including
  48. oak.oakland.edu (141.210.10.117, pub/msdos/trojan-pro),
  49. wuarchive.wustl.edu (128.252.135.4, /mirrors/msdos/trojan-pro),
  50. and nic.funet.fi (128.214.6.100, /pub/msdos/utilities/trojan-pro).
  51. They can also be obtained via e-mail in uuencoded form from various
  52. TRICKLE sites, especially in Europe.
  53.  
  54. Likewise, Macintosh anti-virus programs can be found on SIMTEL20 in
  55. the PD3:<MACINTOSH.VIRUS> directory.
  56.  
  57. A list of many anti-viral programs, incl. commercial products and one
  58. person's rating of them, can be obtained by anonymous ftp from
  59. cert.org (192.88.209.5) in pub/virus-l/docs/reviews as file
  60. slade.quickref.rvw.
  61.  
  62.  
  63. A9)  Where can I get more information on viruses, etc.?
  64.  
  65. There are four excellent books on computer viruses available that
  66. should cover most of the introductory and technical questions you
  67. might have:
  68.  
  69.     * "Computers Under Attack: Intruders, Worms and Viruses," edited by
  70.    Peter J. Denning, ACM Press/Addison-Wesley, 1990.  This is a book of
  71.    collected readings that discuss computer viruses, computer worms,
  72.    break-ins, legal and social aspects, and many other items related to
  73.    computer security and malicious software.  A very solid, readable
  74.    collection that doesn't require a highly-technical background.
  75.    Price: $20.50.
  76.  
  77.      * "Rogue Programs: Viruses, Worms and Trojan Horses," edited by
  78.    Lance J. Hoffman, Van Nostrand Reinhold, 1990.  This is a book of
  79.    collected readings describing in detail how viruses work, where they
  80.    come from, what they do, etc.  It also has material on worms, trojan
  81.    horse programs, and other malicious software programs.  This book
  82.    focuses more on mechanism and relatively less on social aspects than
  83.    does the Denning book; however, there is an excellent piece by Anne
  84.    Branscomb that covers the legal aspects.  Price: $32.95.
  85.  
  86.      * "A Pathology of Computer Viruses," by David Ferbrache,
  87.    Springer-Verlag, 1992.  This is a recent, in-depth book on the
  88.    history, operation, and effects of computer viruses.  It is one of the
  89.    most complete books on the subject, with an extensive history section,
  90.    a section on Macintosh viruses, network worms, and Unix viruses (if
  91.    they were to exist).
  92.  
  93.      * "A Short Course on Computer Viruses", by Dr. Fred B. Cohen, ASP
  94.    Press, 1990.  This book is by a well-known pioneer in virus research,
  95.    who has also written dozens of technical papers on the subject.  The
  96.    book can be obtained by writing to ASP Press, P.O. Box 81270,
  97.    Pittsburgh, PA 15217.  Price: $24.00.
  98.  
  99. A somewhat dated, but still useful, high-level description of viruses,
  100. suitable for a complete novice without extensive computer background
  101. is in "Computer Viruses: Dealing with Electronic Vandalism and
  102. Programmed Threats," by Eugene H. Spafford, Kathleen A. Heaphy, and
  103. David J. Ferbrache, ADAPSO (Arlington VA), 1989.  ADAPSO is a
  104. computer industry service organization and not a publisher, so the
  105. book cannot be found in bookstores; copies can be obtained directly
  106. from ADAPSO @ +1 703-522-5055).  There is a discount for ADAPSO
  107. members, educators, and law enforcement personnel.  Many people have
  108. indicated they find this a very understandable reference; portions of
  109. it have been reprinted many other places, including Denning &
  110. Hoffman's books (above).
  111.  
  112. It is also worth consulting various publications such as _Computers &
  113. Security_ (which, while not restricted to viruses, contains many of
  114. Cohen's papers) and the _Virus Bulletin_ (published in the UK; its
  115. technical articles are considered good, although there has been much
  116. criticism in VIRUS-L of some of its product evaluations).
  117.  
  118.  
  119. ======================================================
  120. = Section B.   Definitions and General Information   =
  121. ======================================================
  122.  
  123. B1) What are computer viruses (and why should I worry about them)?
  124.  
  125. According to Fred Cohen's well-known definition, a COMPUTER VIRUS is a
  126. computer program that can infect other computer programs by modifying
  127. them in such a way as to include a (possibly evolved) copy of itself.
  128. Note that a program does not have to perform outright damage (such as
  129. deleting or corrupting files) in order to to be called a "virus".
  130. However, Cohen uses the terms within his definition (e.g. "program"
  131. and "modify") a bit differently from the way most anti-virus
  132. researchers use them, and classifies as viruses some things which most
  133. of us would not consider viruses.
  134.  
  135. Many people use the term loosely to cover any sort of program that
  136. tries to hide its (malicious) function and tries to spread onto as
  137. many computers as possible.  (See the definition of "Trojan".)  Be
  138. aware that what constitutes a "program" for a virus to infect may
  139. include a lot more than is at first obvious - don't assume too much
  140. about what a virus can or can't do!
  141.  
  142. These software "pranks" are very serious; they are spreading faster
  143. than they are being stopped, and even the least harmful of viruses
  144. could be fatal.  For example, a virus that stops your computer and
  145. displays a message, in the context of a hospital life-support
  146. computer, could be fatal.  Even those who created the viruses could
  147. not stop them if they wanted to; it requires a concerted effort from
  148. computer users to be "virus-aware", rather than the ignorance and
  149. ambivalence that have allowed them to grow to such a problem.
  150.  
  151.  
  152. B2) What is a Trojan Horse?
  153.  
  154. A TROJAN HORSE is a program that does something undocumented which the
  155. programmer intended, but that the user would not approve of if he knew
  156. about it.  According to some people, a virus is a particular case of a
  157. Trojan Horse, namely one which is able to spread to other programs
  158. (i.e., it turns them into Trojans too).  According to others, a virus
  159. that does not do any deliberate damage (other than merely replicating)
  160. is not a Trojan.  Finally, despite the definitions, many people use
  161. the term "Trojan" to refer only to a *non-replicating* malicious
  162. program, so that the set of Trojans and the set of viruses are
  163. disjoint.
  164.  
  165.  
  166. B3) What are the main types of PC viruses?
  167.  
  168. Generally, there are two main classes of viruses.  The first class
  169. consists of the FILE INFECTORS which attach themselves to ordinary
  170. program files.  These usually infect arbitrary .COM and/or .EXE
  171. programs, though some can infect any program for which execution is
  172. requested, such as .SYS, .OVL, .PRG, & .MNU files.
  173.  
  174. File infectors can be either DIRECT ACTION or RESIDENT.  A direct-
  175. action virus selects one or more other programs to infect each time
  176. the program which contains it is executed.  A resident virus hides
  177. itself somewhere in memory the first time an infected program is
  178. executed, and thereafter infects other programs when *they* are
  179. executed (as in the case of the Jerusalem) or when certain other
  180. conditions are fulfilled.  The Vienna is an example of a direct-action
  181. virus.  Most other viruses are resident.
  182.  
  183. The second category is SYSTEM or BOOT-RECORD INFECTORS: those viruses
  184. which infect executable code found in certain system areas on a disk
  185. which are not ordinary files.   On DOS systems, there are ordinary
  186. boot-sector viruses, which infect only the DOS boot sector, and MBR
  187. viruses which infect the Master Boot Record on fixed disks and the DOS
  188. boot sector on diskettes.  Examples include Brain, Stoned, Empire,
  189. Azusa, and Michelangelo.  Such viruses are always resident viruses.
  190.  
  191. Finally, a few viruses are able to infect both (the Tequila virus is
  192. one example).  These are often called "MULTI-PARTITE" viruses, though
  193. there has been criticism of this name; another name is "BOOT-AND-FILE"
  194. virus.
  195.  
  196. FILE SYSTEM or CLUSTER viruses (e.g. Dir-II) are those which modify
  197. directory table entries so that the virus is loaded and executed
  198. before the desired program is.  Note that the program itself is not
  199. physically altered, only the directory entry is.  Some consider these
  200. infectors to be a third category of viruses, while others consider
  201. them to be a sub-category of the file infectors.
  202.  
  203.  
  204. B4) What is a stealth virus?
  205.  
  206. A STEALTH virus is one which hides the modifications it has made in
  207. the file or boot record, usually by monitoring the system functions
  208. used by programs to read files or physical blocks from storage media,
  209. and forging the results of such system functions so that programs
  210. which try to read these areas see the original uninfected form of the
  211. file instead of the actual infected form. Thus the viral modifications
  212. go undetected by anti-viral programs.  However, in order to do this,
  213. the virus must be resident in memory when the anti-viral program is
  214. executed.
  215.  
  216. Example: The very first DOS virus, Brain, a boot-sector infector,
  217. monitors physical disk I/O and re-directs any attempt to read a
  218. Brain-infected boot sector to the disk area where the original boot
  219. sector is stored.  The next viruses to use this technique were the
  220. file infectors Number of the Beast and Frodo (= 4096 = 4K).
  221.  
  222. Countermeasures: A "clean" system is needed so that no virus is
  223. present to distort the results.  Thus the system should be built from
  224. a trusted, clean master copy before any virus-checking is attempted;
  225. this is "The Golden Rule of the Trade."  With DOS, (1) boot from
  226. original DOS diskettes (i.e. DOS Startup/Program diskettes from a
  227. major vendor that have been write-protected since their creation);
  228. (2) use only tools from original diskettes until virus-checking has
  229. completed.
  230.  
  231.  
  232. B5) What is a polymorphic virus?
  233.  
  234. A POLYMORPHIC virus is one which produces varied (yet fully
  235. operational) copies of itself, in the hope that virus scanners (see
  236. D1) will not be able to detect all instances of the virus.
  237.  
  238. One method to evade signature-driven virus scanners is self-encryption
  239. with a variable key; however these viruses (e.g. Cascade) are not
  240. termed "polymorphic," as their decryption code is always the same and
  241. thus can be used as a virus signature even by the simplest, signature-
  242. driven virus scanners (unless another virus or program uses the
  243. identical decryption routine).
  244.  
  245. One method to make a polymorphic virus is to choose among a variety of
  246. different encryption schemes requiring different decryption routines:
  247. only one of these routines would be plainly visible in any instance of
  248. the virus (e.g. the Whale virus).  A signature-driven virus scanner
  249. would have to exploit several signatures (one for each possible
  250. encryption method) to reliably identify a virus of this kind.
  251.  
  252. A more sophisticated polymorphic virus (e.g. V2P6) will vary the
  253. sequence of instructions in its copies by interspersing it with
  254. "noise" instructions (e.g. a No Operation instruction, or an
  255. instruction to load a currently unused register with an arbitrary
  256. value), by interchanging mutually independent instructions, or even by
  257. using various instruction sequences with identical net effects (e.g.
  258. Subtract A from A, and Move 0 to A).  A simple-minded, signature-based
  259. virus scanner would not be able to reliably identify this sort of
  260. virus; rather, a sophisticated "scanning engine" has to be constructed
  261. after thorough research into the particular virus.
  262.  
  263. The most sophisticated form of polymorphism discovered so far is the
  264. MtE "Mutation Engine" written by the Bulgarian virus writer who calls
  265. himself the "Dark Avenger".  It comes in the form of an object module.
  266. Any virus can be made polymorphic by adding certain calls to the
  267. assembler source code and linking to the mutation-engine and
  268. random-number-generator modules.
  269.  
  270. The advent of polymorphic viruses has rendered virus-scanning an ever
  271. more difficult and expensive endeavor; adding more and more search
  272. strings to simple scanners will not adequately deal with these
  273. viruses.
  274.  
  275.  
  276. B6) What are fast and slow infectors?
  277.  
  278. A typical file infector (such as the Jerusalem) copies itself to
  279. memory when a program infected by it is executed, and then infects
  280. other programs when they are executed.
  281.  
  282. A FAST infector is a virus which, when it is active in memory, infects
  283. not only programs which are executed, but even those which are merely
  284. opened.  The result is that if such a virus is in memory, running a
  285. scanner or integrity checker can result in all (or at least many)
  286. programs becoming infected all at once.  Examples are the Dark Avenger
  287. and the Frodo viruses.
  288.  
  289. The term "SLOW infector" is sometimes used for a virus which, if it is
  290. active in memory, infects only files as they are modified (or
  291. created).  The purpose is to fool people who use integrity checkers
  292. into thinking that the modification reported by the integrity checker
  293. is due solely to legitimate reasons.  An example is the Darth Vader
  294. virus.
  295.  
  296.  
  297. B7) What is a sparse infector?
  298.  
  299. The term "SPARSE infector" is sometimes given to a virus which
  300. infects only occasionally, e.g. every 10th executed file, or only
  301. files whose lengths fall within a narrow range, etc.  By infecting
  302. less often, such viruses try to minimize the probability of being
  303. discovered by the user.
  304.  
  305.  
  306. B8) What is a companion virus?
  307.  
  308. A COMPANION virus is one which, instead of modifying an existing file,
  309. creates a new program which (unknown to the user) gets executed by the
  310. command-line interpreter instead of the intended program.  (On exit,
  311. the new program executes the original program so that things will
  312. appear normal.)  The only way this has been done so far is by creating
  313. an infected .COM file with the same name as an existing .EXE file.
  314. Note that those integrity checkers which look only for *modifications*
  315. in *existing* files will fail to detect such viruses.
  316.  
  317. (Note that not all researchers consider this type of malicious code
  318. to be a virus, since it does not modify existing files.)
  319.  
  320.  
  321. B9) What is an armored virus?
  322.  
  323. An ARMORED virus is one which uses special tricks to make the tracing,
  324. disassembling and understanding of their code more difficult.  A good
  325. example is the Whale virus.
  326.  
  327.  
  328. B10) Miscellaneous Jargon and Abbreviations
  329.  
  330. BSI = Boot Sector Infector: a virus which takes control when the
  331.  computer attempts to boot (as opposed to a file infector).
  332.  
  333. CMOS = Complementary Metal Oxide Semiconductor: A memory area that is
  334.  used in AT and higher class PCs for storage of system information.
  335.  CMOS is battery backed RAM (see below), originally used to maintain
  336.  date and time information while the PC was turned off.  CMOS memory
  337.  is not in the normal CPU address space and cannot be executed.  While
  338.  a virus may place data in the CMOS or may corrupt it, a virus cannot
  339.  hide there.
  340.  
  341. DOS = Disk Operating System.  We use the term "DOS" to mean any of the
  342.  MS-DOS, PC-DOS, or DR DOS systems for PCs and compatibles, even
  343.  though there are operating systems called "DOS" on other (unrelated)
  344.  machines.
  345.  
  346. MBR = Master Boot Record: the first Absolute sector (track 0, head 0,
  347.  sector 1) on a PC hard disk, that usually contains the partition table
  348.  (but on some PCs may simply contain a boot sector).  This is not the
  349.  same as the first DOS sector (Logical sector 0).
  350.  
  351. RAM = Random Access Memory: the place programs are loaded into in
  352.  order to execute; the significance for viruses is that, to be active,
  353.  they must grab some of this for themselves.  However, some virus
  354.  scanners may declare that a virus is active simply when it is found
  355.  in RAM, even though it might be simply left over in a buffer area of
  356.  RAM rather than truly being active.
  357.  
  358. TOM = Top Of Memory: the end of conventional memory, an architectural
  359.  design limit at the 640K mark on most PCs.  Some early PCs may not
  360.  be fully populated, but the amount of memory is always a multiple of
  361.  64K.  A boot-record virus on a PC typically resides just below this
  362.  mark and changes the value which will be reported for the TOM to the
  363.  location of the beginning of the virus so that it won't get
  364.  overwritten.  Checking this value for changes can help detect a
  365.  virus, but there are also legitimate reasons why it may change (see
  366.  C11).  A very few PCs with unusual memory managers/settings may
  367.  report in excess of 640K.
  368.  
  369. TSR = Terminate but Stay Resident: these are PC programs that stay in
  370.  memory while you continue to use the computer for other purposes;
  371.  they include pop-up utilities, network software, and the great
  372.  majority of viruses.  These can often be seen using utilities such as
  373.  MEM, MAPMEM, PMAP, F-MMAP and INFOPLUS.
  374.  
  375.  
  376. =================================
  377. = Section C.    Virus Detection =
  378. =================================
  379.  
  380. C1)  What are the symptoms and indications of a virus infection?
  381.  
  382. Viruses try to spread as much as possible before they deliver their
  383. "payload", but there can be symptoms of virus infection before this,
  384. and it is important to use this opportunity to spot and eradicate the
  385. virus before any destruction.
  386.  
  387. There are various kinds of symptoms which some virus authors have
  388. written into their programs, such as messages, music and graphical
  389. displays.  However, the main indications are changes in file sizes and
  390. contents, changing of interrupt vectors or the reassignment of other
  391. system resources.  The unaccounted use of RAM or a reduction in the
  392. amount known to be in the machine are important indicators.  The
  393. examination of the code is valuable to the trained eye, but even the
  394. novice can often spot the gross differences between a valid boot
  395. sector and an infected one.  However, these symptoms, along with
  396. longer disk activity and strange behavior from the hardware, can also
  397. be caused by genuine software, by harmless "prank" programs, or by
  398. hardware faults.
  399.  
  400. The only foolproof way to determine that a virus is present is for an
  401. expert to analyze the assembly code contained in all programs and
  402. system areas, but this is usually impracticable.  Virus scanners go
  403. some way towards that by looking in that code for known viruses; some
  404. will even try to use heuristic means to spot viral code, but this is
  405. not always reliable.  It is wise to arm yourself with the latest
  406. anti-viral software, but also to pay close attention to your system;
  407. look particularly for any change in the memory map or configuration as
  408. soon as you start the computer.  For users of DOS 5.0, the MEM program
  409. with the /C switch is very handy for this.  If you have DRDOS, use MEM
  410. with the /A switch; if you have an earlier version, use CHKDSK or the
  411. commonly-available PMAP or MAPMEM utilities.  You don't have to know
  412. what all the numbers mean, only that they change.  Mac users have
  413. "info" options that give some indication of memory use, but may need
  414. ResEdit for more detail.
  415.  
  416.  
  417. C2)  What steps should be taken in diagnosing and identifying viruses?
  418.  
  419. Most of the time, a virus scanner program will take care of that for
  420. you.  (Remember, though, that scanning programs must be kept up to
  421. date.  Also remember that different scanner authors may call the same
  422. virus by different names.  If you want to identify a virus in order to
  423. ask for help, it is best to run at least two scanners on it and, when
  424. asking, say which scanners, and what versions, gave the names.)  To
  425. help identify problems early, run it on new programs and diskettes;
  426. when an integrity checker reports a mismatch, when a generic
  427. monitoring program sounds an alarm; or when you receive an updated
  428. version of a scanner (or a different scanner than the one you have
  429. been using).  However, because of the time required, it is not
  430. generally advisable to insert into your AUTOEXEC.BAT file a command to
  431. run a scanner on an entire hard disk on every boot.
  432.  
  433. If you run into an alarm that the scanner doesn't identify, or
  434. doesn't properly clean up for you, first verify that the version that
  435. you are using is the most recent, and then get in touch with one of
  436. the reputable antivirus researchers, who may ask you to send a copy
  437. of the infected file to him.  See also question C10.
  438.  
  439.  
  440. C3) What is the best way to remove a virus?
  441.  
  442. In order that downtime be short and losses low, do the minimum that
  443. you must to restore the system to a normal state, starting with
  444. booting the system from a clean diskette.  It is very unlikely that
  445. you need to low-level reformat the hard disk!
  446.  
  447. If backups of the infected files are available and appropriate care
  448. was taken when making the backups (see D10), this is the safest
  449. solution, even though it requires a lot of work if many files are
  450. involved.
  451.  
  452. More commonly, a disinfecting program is used.  If the virus is a boot
  453. sector infector, you can continue using the computer with relative
  454. safety if you boot it from a clean system diskette, but it is wise to
  455. go through all your diskettes removing infection, since sooner or
  456. later you may be careless and leave a diskette in the machine when it
  457. reboots.  Boot sector infections on PCs can be cured by a two-step
  458. approach of replacing the MBR (on the hard disk), either by using a
  459. backup or by the FDISK/MBR command (from DOS 5 and up), then using the
  460. SYS command to replace the DOS boot sector.
  461.  
  462.  
  463. C4) What does the <insert name here> virus do?
  464.  
  465. If an anti-virus program has detected a virus on your computer, don't
  466. rush to post a question to this list asking what it does.  First, it
  467. might be a false positive alert (especially if the virus is found only
  468. in one file), and second, some viruses are extremely common, so the
  469. question "What does the Stoned virus do?" or "What does the Jerusalem
  470. virus do?" is asked here repeatedly.  While this list is monitored by
  471. several anti-virus experts, they get tired of perpetually answering
  472. the same questions over and over again.  In any case, if you really
  473. need to know what a particular virus does (as opposed to knowing
  474. enough to get rid of it), you will need a longer treatise than could
  475. be given to you here.
  476.  
  477. For example, the Stoned virus replaces the disk's boot record with its
  478. own, relocating the original to a sector on the disk that may (or may
  479. not) occur in an unused portion of the root directory of a DOS
  480. diskette; when active, it sits in an area a few kilobytes below the
  481. top of memory.  All this description could apply to a number of common
  482. viruses; but the important points of where the original boot sector
  483. goes - and what effect that has on networking software, non-DOS
  484. partitions, and so on are all major questions in themselves.
  485.  
  486. Therefore, it is better if you first try to answer your question
  487. yourself.  There are several sources of information about the known
  488. computer viruses, so please consult one of them before requesting
  489. information publicly.  Chances are that your virus is rather well known
  490. and that it is already described in detail in at least one of these
  491. sources.  (See the answer to question A7, for instance.)
  492.  
  493.  
  494. C5) What are "false positives" and "false negatives"?
  495.  
  496. A FALSE POSITIVE (or Type-I) error is one in which the anti-viral
  497. software claims that a given file is infected by a virus when in
  498. reality the file is clean.  A FALSE NEGATIVE (or Type-II) error is one
  499. in which the software fails to indicate that an infected file is
  500. infected.  Clearly false negatives are more serious than false
  501. positives, although both are undesirable.
  502.  
  503. It has been proven by Dr. Fred Cohen that every virus detector must
  504. have either false positives or false negatives or both.  This is
  505. expressed by saying that detection of viruses is UNDECIDABLE.
  506. However his theorem does not preclude a program which has no false
  507. negatives and *very few* false positives (e.g. if the only false
  508. positives are those due to the file containing viral code which is
  509. never actually executed, so that technically we do not have a virus).
  510.  
  511. In the case of virus scanners, false positives are rare, but they can
  512. arise if the scan string chosen for a given virus is also present in
  513. some benign programs because the string was not well chosen.  False
  514. negatives are more common with virus scanners because scanners will
  515. miss a completely new or a heavily modified virus.
  516.  
  517. One other serious problem could occur: A positive that is misdiagnosed
  518. (e.g., a scanner that detects the Empire virus in a boot record but
  519. reports it as the Stoned).  In the case of a boot sector infector, use
  520. of a Stoned specific "cure" to recover from the Empire could result in
  521. an unreadable disk or loss of extended partitions.  Similarly,
  522. sometimes "generic" recovery can result in unusable files, unless a
  523. check is made (e.g. by comparing checksums) that the recovered file is
  524. identical to the original file.  Some more recent products store
  525. information about the original programs to allow verification of
  526. recovery processes.
  527.  
  528.  
  529. C6) Could an anti-viral program itself be infected?
  530.  
  531. Yes, so it is important to obtain this software from good sources, and
  532. to trust results only after running scanners from a "clean" system.
  533. But there are situations where a scanner appears to be infected when
  534. it isn't.
  535.  
  536. Most antiviral programs try very hard to identify only viral
  537. infections, but sometimes they give false alarms.  If two different
  538. antiviral programs are both of the "scanner" type, they will contain
  539. "signature strings" to identify viral infections.  If the strings are
  540. not "encrypted", then they will be identified as a virus by another
  541. scanner type program.  Also, if the scanner does not remove the
  542. strings from memory after they are run, then another scanner may
  543. detect the virus string "in memory".
  544.  
  545. Some "change detection" type antiviral programs add a bit of code or
  546. data to a program when "protecting" it.  This might be detected by
  547. another "change detector" as a change to a program, and therefore
  548. suspicious.
  549.  
  550. It is good practice to use more than one antiviral program.  Do be
  551. aware, however, that antiviral programs, by their nature, may confuse
  552. each other.
  553.  
  554.  
  555. C7) Where can I get a virus scanner for my Unix system?
  556.  
  557. Basically, you shouldn't bother scanning for Unix viruses at this
  558. point in time.  Although it is possible to write Unix-based viruses,
  559. we have yet to see any instance of a non-experimental virus in that
  560. environment.  Someone with sufficient knowledge and access to write an
  561. effective virus would be more likely to conduct other activities than
  562. virus-writing.  Furthermore, the typical form of software sharing in
  563. an Unix environment would not support virus spread.
  564.  
  565. This answer is not meant to imply that viruses are impossible, or that
  566. there aren't security problems in a typical Unix environment -- there
  567. are.  However, true viruses are highly unlikely and would corrupt file
  568. and/or memory integrity.  For more information on Unix security, see
  569. the book "Practical Unix Security" by Garfinkel and Spafford, O'Reilly
  570. & Associates, 1991 (it can be ordered via e-mail from nuts@ora.com).
  571.