home *** CD-ROM | disk | FTP | other *** search
/ Internet Surfer 2.0 / Internet Surfer 2.0 (Wayzata Technology) (1996).iso / pc / text / mac / faqs.019 < prev    next >
Encoding:
Text File  |  1996-02-12  |  27.8 KB  |  583 lines
  1. Frequently Asked Questions (FAQS);faqs.019
  2.  
  3.  
  4.  
  5. However, there are special cases for which scanning Unix systems for
  6. non-Unix viruses does make sense.  For example, a Unix system which is
  7. acting as a file server (e.g., PC-NFS) for PC systems is quite capable
  8. of containing PC file infecting viruses that are a danger to PC clients.
  9. Note that, in this example, the UNIX system would be scanned for PC
  10. viruses, not UNIX viruses.
  11.  
  12. Another example is in the case of a 386/486 PC system running Unix,
  13. since this system is still vulnerable to infection by MBR infectors
  14. such as Stoned and Michelangelo, which are operating system
  15. independent.  (Note that an infection on such a Unix PC system would
  16. probably result in disabling the Unix disk partition(s) from booting.)
  17.  
  18. In addition, a file integrity checker (to detect unauthorized changes
  19. in executable files) on Unix systems is a very good idea.  (One free
  20. program which can do this test, as well as other tests, is the COPS
  21. package, available by anonymous FTP on cert.org.)  Unauthorized
  22. file changes on Unix systems are very common, although they usually
  23. are not due to virus activity.
  24.  
  25.  
  26. C8) Why does my anti-viral scanner report an infection only sometimes?
  27.  
  28. There are circumstances where part of a virus exists in RAM without
  29. being active:  If your scanner reports a virus in memory only
  30. occasionally, it could be due to the operating system buffering disk
  31. reads, keeping disk contents that include a virus in memory
  32. (harmlessly), in which case it should also find it on disk.  Or after
  33. running another scanner, there may be scan strings left (again
  34. harmlessly) in memory.  This is sometimes called a "ghost positive"
  35. alert.
  36.  
  37.  
  38. C9) Is my disk infected with the Stoned virus?
  39.  
  40. Of course the answer to this, and many similar questions, is to obtain
  41. a good virus detector.  There are many to choose from, including ones
  42. that will scan diskettes automatically as you use them.  Remember to
  43. check all diskettes, even non-system ("data") diskettes.
  44.  
  45. It is possible, if you have an urgent need to check a system when
  46. you don't have any anti-viral tools, to boot from a clean system
  47. diskette, and use the CHKDSK method (mentioned in C1) to see if it is
  48. in memory, then look at the boot sector with a disk editor.  Usually
  49. the first few bytes will indicate the characteristic far jump of the
  50. Stoned virus; however, you could be looking at a perfectly good disk
  51. that has been "innoculated" against the virus, or at a diskette that
  52. seems safe but contains a totally different type of virus.
  53.  
  54.  
  55. C10) I think I have detected a new virus; what do I do?
  56.  
  57. Whenever there is doubt over a virus, you should obtain the latest
  58. versions of several (not just one) major virus scanners. Some scanning
  59. programs now use "heuristic" methods (F-PROT, CHECKOUT and SCANBOOT
  60. are examples), and "activity monitoring" programs can report a disk or
  61. file as being possibly infected when it is in fact perfectly safe
  62. (odd, perhaps, but not infected).  If no string-matching scan finds a
  63. virus, but a heuristic program does (or there are other reasons to
  64. suspect the file, e.g., change in size of files) then it is possible
  65. that you have found a new virus, although the chances are probably
  66. greater that it is an odd-but-okay disk or file.  Start by looking in
  67. recent VIRUS-L postings about "known" false positives, then contact
  68. the author of the anti-virus software that reports it as virus-like;
  69. the documentation for the software may have a section explaining what
  70. to do if you think you have found a new virus.  Consider using the
  71. BootID or Checkout programs to calculate the "hashcode" of a diskette
  72. in the case of boot sector infectors, rather than send a complete
  73. diskette or "live" virus until requested.
  74.  
  75.  
  76. C11) CHKDSK reports 639K (or less) total memory on my system; am I
  77.      infected?
  78.  
  79. If CHKDSK displays 639K for the total memory instead of 640K (655,360
  80. bytes) - so that you are missing only 1K - then it is probably due to
  81. reasons other than a virus since there are very few viruses which take
  82. only 1K from total memory.  Legitimate reasons for a deficiency of 1K
  83. include:
  84.  
  85. 1) A PS/2 computer.  IBM PS/2 computers reserve 1K of conventional
  86.   RAM for an Extended BIOS Data Area, i.e. for additional data storage
  87.   required by its BIOS.
  88. 2) A computer with American Megatrends Inc. (AMI) BIOS, which is set
  89.   up (with the built-in CMOS setup program) in such a way that the BIOS
  90.   uses the upper 1K of memory for its internal variables.  (It can be
  91.   instructed to use lower memory instead.)
  92. 3) A SCSI controller.
  93. 4) The DiskSecure program.
  94. 5) Mouse buffers for older Compaqs.
  95.  
  96. If, on the other hand, you are missing 2K or more from the 640K, 512K,
  97. or whatever the conventional memory normally is for your PC, the
  98. chances are greater that you have a boot-record virus (e.g. Stoned,
  99. Michelangelo), although even in this case there may be legitimate
  100. reasons for the missing memory:
  101.  
  102. 1) Many access control programs for preventing booting from a floppy.
  103. 2) H/P Vectra computers.
  104. 3) Some special BIOSes which use memory (e.g.) for a built-in calendar
  105.   and/or calculator.
  106.  
  107. However, these are only rough guides.  In order to be more certain
  108. whether the missing memory is due to a virus, you should:
  109. (1) run several virus detectors;
  110. (2) look for a change in total memory every now and then;
  111. (3) compare the total memory size with that obtained when cold booting
  112.   from a "clean" system diskette.  The latter should show the normal
  113.   amount of total memory for your configuration.
  114.  
  115. Note: in all cases, CHKDSK should be run without software such as
  116. MS-Windows or DesqView loaded, since GUIs seem to be able to open DOS
  117. boxes only on whole K boundaries (some seem to be even coarser); thus
  118. CHKDSK run from a DOS box may report unrepresentative values.
  119.  
  120. Note also that some machines have only 512K or 256K instead of 640K of
  121. conventional memory.
  122.  
  123.  
  124. C12) I have an infinite loop of sub-directories on my hard drive; am I
  125.      infected?
  126.  
  127. Probably not.  This happens now and then, when something sets the
  128. "cluster number" field of some subdirectory the same cluster as an
  129. upper-level (usually the root) directory.  The /F parameter of CHKDSK,
  130. and any of various popular utility programs, should be able to fix
  131. this, usually by removing the offending directory.  *Don't* erase any
  132. of the "replicated" files in the odd directory, since that will erase
  133. the "copy" in the root as well (it's really not a copy at all; just a
  134. second pointer to the same file).
  135.  
  136.  
  137. ===================================
  138. = Section D.    Protection plans  =
  139. ===================================
  140.  
  141. D1) What is the best protection policy for my computer?
  142.  
  143. There is no "best" anti-virus policy.  In particular, there is no
  144. program that can magically protect you against all viruses.  But you
  145. can design an anti-virus protection strategy based on multiple layers
  146. of defense.  There are three main kinds of anti-viral software, plus
  147. several other means of protection (such as hardware write-protect
  148. methods).
  149.  
  150. 1) GENERIC MONITORING programs.  These try to prevent viral activity
  151.    before it happens, such as attempts to write to another executable,
  152.    reformat the disk, etc.
  153.    Examples: SECURE and FluShot+ (PC), and GateKeeper (Macintosh).
  154.  
  155. 2) SCANNERS.  Most look for known virus strings (byte sequences which
  156.    occur in known viruses, but hopefully not in legitimate software) or
  157.    patterns, but a few use heuristic techniques to recognize viral
  158.    code.  A scanner may be designed to examine specified disks or
  159.    files on demand, or it may be resident, examining each program
  160.    which is about to be executed.  Most scanners also include virus
  161.    removers.
  162.    Examples: FindViru in Dr Solomon's Anti-Virus Toolkit, FRISK's
  163.    F-Prot, McAfee's VIRUSCAN (all PC), Disinfectant (Macintosh).
  164.    Resident scanners: McAfee's V-Shield, and VIRSTOP.
  165.    Heuristic scanners: the Analyse module in FRISK's F-PROT package,
  166.    and SCANBOOT.
  167.  
  168. 3) INTEGRITY CHECKERS or MODIFICATION DETECTORS.  These compute a
  169.    small "checksum" or "hash value" (usually CRC or cryptographic)
  170.    for files when they are presumably uninfected, and later compare
  171.    newly calculated values with the original ones to see if the files
  172.    have been modified.  This catches unknown viruses as well as known
  173.    ones and thus provides *generic* detection.  On the other hand,
  174.    modifications can also be due to reasons other than viruses.
  175.    Usually, it is up to the user to decide which modifications are
  176.    intentional and which might be due to viruses, although a few
  177.    products give the user help in making this decision.  As in the
  178.    case of scanners, integrity checkers may be called to checksum
  179.    entire disks or specified files on demand, or they may be resident,
  180.    checking each program which is about to be executed (the latter is
  181.    sometimes called an INTEGRITY SHELL).  A third implementation is as
  182.    a SELF-TEST, i.e. the checksumming code is attached to each
  183.    executable file so that it checks itself just before execution.
  184.    Examples: Fred Cohen's ASP Integrity Toolkit (commercial), and
  185.    Integrity Master and VDS (shareware), all for the PC.
  186.  
  187. 3a) A few modification detectors come with GENERIC DISINFECTION.  I.e.,
  188.    sufficient information is saved for each file that it can be
  189.    restored to its original state in the case of the great majority
  190.    of viral infections, even if the virus is unknown.
  191.    Examples: V-Analyst 3 (BRM Technologies, Israel), marketed in the
  192.    US as Untouchable (by Fifth Generation), and the VGUARD module of
  193.    V-care.
  194.  
  195. Of course, only a few examples of each type have been given.  All of
  196. them can find their place in the protection against computer viruses,
  197. but you should appreciate the limitations of each method, along with
  198. system-supplied security measures that may or may not be helpful in
  199. defeating viruses.  Ideally, you would arrange a combination of
  200. methods that cover the loopholes between them.
  201.  
  202. A typical PC installation might include a protection system on the
  203. hard disk's MBR to protect against viruses at load time (ideally this
  204. would be hardware or in BIOS, but software methods such as DiskSecure
  205. and PanSoft's Immunise are pretty good).  This would be followed by
  206. resident virus detectors loaded as part of the machine's startup
  207. (CONFIG.SYS or AUTOEXEC.BAT), such as FluShot+ and/or VirStop together
  208. with ScanBoot.  A scanner such as F-Prot or McAfee's SCAN could be
  209. put into AUTOEXEC.BAT to look for viruses as you start up, but this
  210. may be a problem if you have a large disk to check (or don't reboot
  211. often enough).  Most importantly, new files should be scanned as they
  212. arrive on the system.  If your system has DR DOS installed, you should
  213. use the PASSWORD command to write-protect all system executables and
  214. utilities.  If you have Stacker or SuperStore, you can get some
  215. improved security from these compressed drives, but also a risk that
  216. those viruses stupid enough to directly write to the disk could do
  217. much more damage than normal; using a software write-protect system
  218. (such as provided with Disk Manager or Norton Utilities) may help, but
  219. the best solution (if possible) is to put all executables on a disk of
  220. their own, protected by a hardware read-only system that sounds an
  221. alarm if a write is attempted.
  222.  
  223. If you do use a resident BSI detector or a scan-while-you-copy
  224. detector, it is important to trace back any infected diskette to its
  225. source; the reason why viruses survive so well is that usually you
  226. cannot do this, because the infection is found long after the
  227. infecting diskette has been forgotten with most people's lax scanning
  228. policies.
  229.  
  230. Organizations should devise and implement a careful policy, that may
  231. include a system of vetting new software brought into the building and
  232. free virus detectors for home machines of employees/students/etc who
  233. take work home with them.
  234.  
  235. Other anti-viral techniques include:
  236. (a) Creation of a special MBR to make the hard disk inaccessible when
  237.     booting from a diskette (the latter is useful since booting from a
  238.     diskette will normally bypass the protection in the CONFIG.SYS and
  239.     AUTOEXEC.BAT files of the hard disk).  Example: GUARD.
  240. (b) Use of Artificial Intelligence to learn about new viruses and
  241.     extract scan patterns for them.  Examples: V-Care (CSA Interprint,
  242.     Israel; distributed in the U.S. by Sela Consultants Corp.), Victor
  243.     Charlie (Bangkok Security Associates, Thailand; distributed in the
  244.     US by Computer Security Associates).
  245. (c) Encryption of files (with decryption before execution).
  246.  
  247.  
  248. D2) Is it possible to protect a computer system with only software?
  249.  
  250. Not perfectly; however, software defenses can significantly reduce
  251. your risk of being affected by viruses WHEN APPLIED APPROPRIATELY.
  252. All virus defense systems are tools - each with their own capabilities
  253. and limitations.  Learn how your system works and be sure to work
  254. within its limitations.
  255.  
  256. From a software standpoint, a very high level of protection/detection
  257. can be achieved with only software, using a layered approach.
  258.  
  259. 1)  ROM BIOS - password (access control) and selection of boot disk.
  260.     (Some may consider this hardware.)
  261.  
  262. 2)  Boot sectors - integrity management and change detection.
  263.  
  264. 3)  OS programs - integrity management of existing programs,
  265.     scanning of unknown programs.  Requirement of authentication
  266.     values for any new or transmitted software.
  267.  
  268. 4)  Locks that prevent writing to a fixed or floppy disk.
  269.  
  270. As each layer is added, invasion without detection becomes more
  271. difficult.  However complete protection against any possible attack
  272. cannot be provided without dedicating the computer to pre-existing or
  273. unique tasks.  The international standardization of the world on the
  274. IBM PC architecture is both its greatest asset and its greatest
  275. vulnerability.
  276.  
  277.  
  278. D3) Is it possible to write-protect the hard disk with only software?
  279.  
  280. The answer is no.  There are several programs which claim to do that,
  281. but *all* of them can be bypassed using only the currently known
  282. techniques that are used by some viruses.  Therefore you should
  283. never rely on such programs *alone*, although they can be useful in
  284. combination with other anti-viral measures.
  285.  
  286.  
  287. D4) What can be done with hardware protection?
  288.  
  289. Hardware protection can accomplish various things, including: write
  290. protection for hard disk drives, memory protection, monitoring and
  291. trapping unauthorized system calls, etc.  Again, no tool is foolproof.
  292.  
  293. The popular idea of write-protection (see D3) may stop viruses
  294. spreading to the disk that is protected, but doesn't, in itself,
  295. prevent a virus from running.
  296.  
  297. Also, some of the existing hardware protections can be easily
  298. bypassed, fooled, or disconnected, if the virus writer knows them
  299. well and designs a virus which is aware of the particular defense.
  300.  
  301.  
  302. D5) Will setting DOS file attributes to READ ONLY protect them from
  303.     viruses?
  304.  
  305. No.  While the Read Only attribute will protect your files from a few
  306. viruses, most simply override it, and infect normally.  So, while
  307. setting executable files to Read Only is not a bad idea, it is
  308. certainly not a thorough protection against viruses!
  309.  
  310.  
  311. D6) Will password/access control systems protect my files from
  312.     viruses?
  313.  
  314. All password and other access control systems are designed to protect
  315. the user's data from other users and/or their programs.  Remember,
  316. however, that when you execute an infected program the virus in it
  317. will gain your current rights/privileges.  Therefore, if the access
  318. control system provides *you* the right to modify some files, it will
  319. provide it to the virus too.  Note that this does not depend on the
  320. operating system used - DOS, Unix, or whatever.  Therefore, an access
  321. control system will protect your files from viruses no better than it
  322. protects them from you.
  323.  
  324. Under DOS, there is no memory protection, so a virus could disable the
  325. access control system in memory, or even patch the operating system
  326. itself.  On the more advanced operating systems (Unix) this is not
  327. possible, so at least the protection cannot be disabled by a virus.
  328. However it will still spread, due to the reasons noted above.  In
  329. general, the access control systems (if implemented correctly) are
  330. able only to slow down the virus spread, not to eliminate viruses
  331. entirely.
  332.  
  333. Of course, it's better to have access control than not to have it at
  334. all.  Just be sure not to develop a false sense of security and to
  335. rely *entirely* on the access control system to protect you.
  336.  
  337.  
  338. D7) Will the protection systems in DR DOS work against viruses?
  339.  
  340. Partially.  Neither the password file/directory protection available
  341. from DR DOS version 5 onwards, nor the secure disk partitions
  342. introduced in DR DOS 6 are intended to combat viruses, but they do to
  343. some extent.  If you have DR DOS, it is very wise to password-protect
  344. your files (to stop accidental damage too), but don't depend on it as
  345. the only means of defense.
  346.  
  347. The use of the password command (e.g. PASSWORD/W:MINE *.EXE *.COM)
  348. will stop more viruses than the plain DOS attribute facility, but that
  349. isn't saying much!  The combination of the password system plus a disk
  350. compression system may be more secure (because to bypass the password
  351. system they must access the disk directly, but under SuperStore or
  352. Stacker the physical disk is meaningless to the virus). There may be
  353. some viruses which, rather than invisibly infecting files on
  354. compressed disks in fact very visibly corrupt the disk.
  355.  
  356. The "secure disk partitions" system introduced with DR DOS 6 may be of
  357. some help against a few viruses that look for DOS partitions on a
  358. disk.  The main use is in stopping people fiddling with (and
  359. infecting) your hard disk while you are away.
  360.  
  361. Furthermore, DR DOS is not very compatible with MS/PC-DOS, especially
  362. down to the low-level tricks that some viruses are using.  For
  363. instance, some internal memory structures are "read-only" in the sense
  364. that they are constantly updated (for DOS compatibility) but not
  365. really used by DR DOS, so that even if a sophisticated virus modifies
  366. them, this does not have any effect.
  367.  
  368. In general, using a less compatible system diminishes the number of
  369. viruses that can infect it.  For instance, the introduction of hard
  370. disks made the Brain virus almost disappear; the introduction of 80286
  371. and DOS 4.x+ made the Yale and Ping Pong viruses extinct, and so on.
  372.  
  373.  
  374. D8) Will a write-protect tab on a floppy disk stop viruses?
  375.  
  376. In general, yes.  The write-protection on IBM PC (and compatible) and
  377. Macintosh floppy disk drives is implemented in hardware, not software,
  378. so viruses cannot infect a diskette when the write-protection mechanism
  379. is functioning properly.
  380.  
  381. But remember:
  382.  
  383. (a) A computer may have a faulty write-protect system (this happens!)
  384.     - you can test it by trying to copy a file to the diskette when it
  385.     is presumably write-protected.
  386. (b) Someone may have removed the tab for a while, allowing a virus on.
  387. (c) The files may have been infected before the disk was protected.
  388.     Even some diskettes "straight from the factory" have been known to be
  389.     infected in the production processes.
  390.  
  391. So it is worthwhile scanning even write-protected disks for viruses.
  392.  
  393.  
  394. D9) Do local area networks (LANs) help to stop viruses or do they
  395.     facilitate their spread?
  396.  
  397. Both.  A set of computers connected in a well managed LAN, with
  398. carefully established security settings, with minimal privileges for
  399. each user, and without a transitive path of information flow between
  400. the users (i.e., the objects writable by any of the users are not
  401. readable by any of the others) is more virus-resistant than the same
  402. set of computers if they are not interconnected.  The reason is that
  403. when all computers have (read-only) access to a common pool of
  404. executable programs, there is usually less need for diskette swapping
  405. and software exchange between them, and therefore less ways through
  406. which a virus could spread.
  407.  
  408. However, if the LAN is not well managed, with lax security, it could
  409. help a virus to spread like wildfire.  It might even be impossible to
  410. remove the infection without shutting down the entire LAN.
  411.  
  412. A network that supports login scripting is inherently more resistant
  413. to viruses than one that does not, if this is used to validate the
  414. client before allowing access to the network.
  415.  
  416.  
  417. D10) What is the proper way to make backups?
  418.  
  419. Data and text files, and programs in source form, should be backed up
  420. each time they are modified.  However, the only backups you should
  421. keep of COM, EXE and other *executable* files are the *original*
  422. versions, since if you back up an executable file on your hard disk
  423. over and over, it may have become infected meanwhile, so that you may
  424. no longer have an uninfected backup of that file.  Therefore:
  425.   1. If you've downloaded shareware, copy it (preferably as a ZIP or
  426. other original archive file) onto your backup medium and do not
  427. re-back it up later.
  428.   2. If you have purchased commercial software, it's best to create a
  429. ZIP (or other) archive from the original diskettes (assuming they're
  430. not copy protected) and transfer the archive onto that medium.  Again,
  431. do not re-back up.
  432.   3. If you write your own programs, back up only the latest version
  433. of the *source* programs.  Depend on recompilation to reproduce the
  434. executables.
  435.   4. If an executable has been replaced by a new version, then of
  436. course you will want to keep a backup of the new version.  However, if
  437. it has been modified as a result of your having changed configuration
  438. information, it seems safer *not* to back up the modified file; you
  439. can always re-configure the backup copy later if you have to.
  440.   5. Theoretically, source programs could be infected, but until such
  441. a virus is discovered, it seems preferable to treat such files as
  442. non-executables and back them up whenever you modify them.  The same
  443. advice is probably appropriate for batch files as well, despite the
  444. fact that a few batch file infectors have been discovered.
  445.  
  446.  
  447. =======================================================
  448. = Section E.    Facts and Fibs about computer viruses =
  449. =======================================================
  450.  
  451. E1) Can boot sector viruses infect non-bootable floppy disks?
  452.  
  453. Any diskette that has been properly formatted contains an executable
  454. program in the boot sector.  If the diskette is not "bootable," all
  455. that boot sector does is print a message like "Non-system disk or disk
  456. error; replace and strike any key when ready", but it's still
  457. executable and still vulnerable to infection.  If you accidentally
  458. turn your machine on with a "non-bootable" diskette in the drive, and
  459. see that message, it means that any boot virus that may have been on
  460. that diskette *has* run, and has had the chance to infect your hard
  461. drive, or whatever.  So when thinking about viruses, the word
  462. "bootable" (or "non-bootable") is really misleading.  All formatted
  463. diskettes are capable of carrying a virus.
  464.  
  465.  
  466. E2) Can a virus hide in a PC's CMOS memory?
  467.  
  468. No.  The CMOS RAM in which system information is stored and backed up
  469. by batteries is ported, not addressable.  That is, in order to get
  470. anything out, you use I/O instructions.  So anything stored there is
  471. not directly sitting in memory.  Nothing in a normal machine loads the
  472. data from there and executes it, so a virus that "hid" in the CMOS RAM
  473. would still have to infect an executable object of some kind in order
  474. to load and execute whatever it had written to CMOS.  A malicious
  475. virus can of course *alter* values in the CMOS as part of its payload,
  476. but it can't spread through, or hide itself in, the CMOS.
  477.  
  478. A virus could also use the CMOS RAM to hide a small part of its
  479. body (e.g., the payload, counters, etc.).  However, any executable
  480. code stored there must be first extracted to ordinary memory in order
  481. to be executed.
  482.  
  483.  
  484. E3) Can a virus hide in Extended or in Expanded RAM?
  485.  
  486. Theoretically yes, although no such viruses are known yet.  However,
  487. even if they are created, they will have to have a small part resident
  488. in conventional RAM; they cannot reside *entirely* in Extended or in
  489. Expanded RAM.
  490.  
  491.  
  492. E4) Can a virus hide in Upper Memory or in High Memory?
  493.  
  494. Yes, it is possible to construct a virus which will locate itself
  495. in Upper Memory (640K to 1024K) or in High Memory (1024K to 1088K),
  496. and a few currently known viruses (e.g. EDV) do hide in Upper Memory.
  497.  
  498. It might be thought that there is no point in scanning in these areas
  499. for any viruses other than those which are specifically known to
  500. inhabit them.  However, there are cases when even ordinary viruses can
  501. be found in Upper Memory.  Suppose that a conventional memory-resident
  502. virus infects a TSR program and this program is loaded high by the
  503. user (for instance, from AUTOEXEC.BAT).  Then the virus code will also
  504. reside in Upper Memory.  Therefore, an effective scanner must be able
  505. to scan this part of memory for viruses too.
  506.  
  507.  
  508. E5) Can a virus infect data files?
  509.  
  510. Some viruses (e.g., Frodo, Cinderella) modify non-executable files.
  511. However, in order to spread, the virus must be executed.  Therefore
  512. the "infected" non-executable files cannot be sources of further
  513. infection.
  514.  
  515. However, note that it is not always possible to make a sharp
  516. distinction between executable and non-executable files.  One man's
  517. code is another man's data and vice versa.  Some files that are not
  518. directly executable contain code or data which can under some
  519. conditions be executed or interpreted.
  520.  
  521. Some examples from the IBM PC world are .OBJ files, libraries, device
  522. drivers, source files for any compiler or interpreter, macro files
  523. for some packages like MS Word and Lotus 1-2-3, and many others.
  524. Currently there are viruses that infect boot sectors, master boot
  525. records, COM files, EXE files, BAT files, and device drivers, although
  526. any of the objects mentioned above can theoretically be used as an
  527. infection carrier.  PostScript files can also be used to carry a virus,
  528. although no currently known virus does that.
  529.  
  530.  
  531. E6) Can viruses spread from one type of computer to another?
  532.  
  533. The simple answer is that no currently known viruses can do this.
  534. Although the disk formats may be the same (e.g. Atari ST and DOS), the
  535. different machines interpret the code differently.  For example, the
  536. Stoned virus cannot infect an Atari ST as the ST cannot execute the
  537. virus code in the bootsector.  The Stoned virus contains instructions
  538. for the 80x86 family of CPU's that the 680x0-family CPU (Atari ST)
  539. can't understand or execute.
  540.  
  541. The more general answer is that such viruses are possible, but
  542. unlikely.  Such a virus would be quite a bit larger than current
  543. viruses and might well be easier to find.  Additionally, the low
  544. incidence of cross-machine sharing of software means that any such
  545. virus would be unlikely to spread -- it would be a poor environment
  546. for virus growth.
  547.  
  548.  
  549. E7) Can DOS viruses run on non-DOS machines (e.g. Mac, Amiga)?
  550.  
  551. In general, no.  However, on machines running DOS emulators (either
  552. hardware or software based), DOS viruses - just like any DOS program -
  553. may function.  These viruses would be subject to the file access
  554. controls of the host operating system.  An example is when running a
  555. DOS emulator such as VP/ix under a 386 UNIX environment, DOS
  556. programs are not permitted access to files which the host UNIX system
  557. does not allow them to.  Thus, it is important to administer these
  558. systems carefully.
  559.  
  560.  
  561. E8) Can mainframe computers be susceptible to computer viruses?
  562.  
  563. Yes.  Numerous experiments have shown that computer viruses spread
  564. very quickly and effectively on mainframe systems.  However, to our
  565. knowledge, no non-research computer virus has been seen on mainframe
  566. systems.  (The Internet worm of November 1988 was not a computer virus
  567. by most definitions, although it had some virus-like characteristics.)
  568.  
  569. Computer viruses are actually a special case of something else called
  570. "malicious logic", and other forms of malicious logic -- notably
  571. Trojan horses -- are far quicker, more effective, and harder to detect
  572. than computer viruses.  Nevertheless, on personal computers many more
  573. viruses are written than Trojans.  There are two reasons for this:
  574. (1) Since a virus propagates, the number of users to which damage can
  575. be caused is much greater than in the case of a Trojan; (2) It's
  576. almost impossible to trace the source of a virus since viruses are
  577. not attached to any particular program.
  578.  
  579. For further information on malicious programs on multi-user systems,
  580. see Matt Bishop's paper, "An Overview of Malicious Logic in a Research
  581. Environment", available by anonymous FTP on Dartmouth.edu
  582. (129.170.16.4) as "pub/security/mallogic.ps".
  583.