home *** CD-ROM | disk | FTP | other *** search
/ Multimedia Selection / Multimedia Selection Volume One - CD-ROM / MULTIMEDIA SELECTION____________.ISO / virus / 21a07 / 21a07.txt < prev   
Encoding:
Text File  |  1993-04-30  |  5.2 KB  |  130 lines
  1. 21A07.TXT - Description file for 21A07.DEF
  2. AntiVirus Lab, SYMANTEC/Peter Norton Product Group
  3. May 1, 1993
  4. ******************************************************************
  5.  
  6. Instructions for loading virus definitions, using Norton AntiVirus
  7. version 2.1:
  8.  
  9. 1)   Run Virus Clinic by typing NAV at the DOS prompt or clicking
  10. on the NAV Icon from within Windows.
  11.  
  12. 2)   Select "Cancel," or press <Esc> to bypass the "Scan Drives"
  13. Screen.
  14.  
  15. 3)   Select the "Definitions" menu.
  16.  
  17. 4)   Select "Load from File..."
  18.  
  19. 5)   If the name of the drive and directory to which you loaded the
  20. definition file does not appear on the "Directory:" line, change to
  21. the proper drive and directory.  The name of the definition file
  22. should appear in the "Files" window.
  23.  
  24. 6)   Select the definition file, click "OK," or press <Enter>.
  25.  
  26. 7)   After the definitions have loaded, press <Enter> to exit from the
  27. "Load Definition File Results" screen.
  28.  
  29. 8)   Select "Exit" from the "Scan" menu.
  30.  
  31. 9)  Reboot your computer to activate the new definitions.
  32.  
  33. ******************************************************************
  34.  
  35. Note for users who are not updated through Corporate Channels:
  36.  
  37. After updating your definitions, if every file is identified as
  38. being infected with "MtE", don't panic.  You probably do not have
  39. a virus.  Please download the patch file, PTCH1A.ZIP (available
  40. through CompuServe and the Symantec BBS), unzip the file, follow
  41. the instructions included in the readme file, and then load these
  42. definitions again.
  43.  
  44. If you are unable to download this patch file, or are still
  45. experiencing problems after using it, please contact Symantec
  46. Technical Support.
  47.  
  48. ******************************************************************
  49.  
  50. The virus PST has undergone a name change to Malaise.
  51.  
  52. -----
  53.  
  54. Vien (BNB)
  55. This virus is another in the Vienna family.  It is a direct action
  56. infector of COM files.    When an infected file is executed, the
  57. virus looks in the current directory and infects the first uninfected
  58. file it finds.    Only one file is infected per execution.  Infected
  59. files grow by approximately 450 (429) bytes.  INT 24h is intercepted
  60. so as to not produce any error messages during the infection process.
  61.  
  62. The virus will not attempt to infect files whose size minus the value
  63. in the second and third bytes equals its size.    Generally, this would
  64. mean another appending virus of the same size has already infected the
  65. file (or it was infected by this strain).
  66.  
  67. The virus seems to only try to spread.
  68.  
  69. -----
  70.  
  71. Vien (Dr. Qumak-1028)
  72. This member of the Vienna family adds encryption as a feature and is
  73. closer to 1050 (1048) bytes.  Otherwise, it infects the same way as
  74. the above.  Only the determination to reinfect is different.  This one
  75. relies on the 4th and 5th bytes to match a specific value.  As such,
  76. there is a 1 in 64K chance of not infecting a viable COM file.
  77.  
  78. -----
  79.  
  80. PS-MPC (Swansong)
  81. PS-MPC is a virus generation tool.  It has the capability of building
  82. viruses for the user after the user chooses some basic parameters.
  83. Swansong is one of its products.  It is an encrypting direct action
  84. infector of EXE files.    Each execution will result in two files bring
  85. infected in the current directory.  Due to bugs, there may be rampant
  86. crashes on infected machines.  Because of the bugs, it's not likely
  87. for this virus to spread far.
  88.  
  89. This virus seems designed more to challenge the antivirus folks than as
  90. harm toward the general public.  It employs many techniques to try to
  91. thwart debuggers.
  92.  
  93. The virus was programmed to enact destructive code on October 31, 1991.
  94. As that date has passed, it will now do no more than try to spread.
  95.  
  96. -----
  97.  
  98. Dark Avenger (1459) (aka PS!KO-1459)
  99. Dark Avenger (1459) is a memory resident infector of COM and EXE files.
  100. Infected files will grow by approximately 1450 (1459) bytes.  If the
  101. virus is resident, a user will not notice the change in file size.
  102. Infected systems will have its cursor disappear and INT 21h (DOS) and
  103. INT 27h (TSR) are intercepted by the virus.  Files are infected on any
  104. of the following DOS functions: 11h, 12h, 3Ch, 3Dh, 3Eh, 43h, 4Bh, 56h,
  105. and 5Bh.  Infected files will bear a timestamp with 31 in the seconds
  106. field (more precisely: integer * 32 - 1).
  107.  
  108. The virus seems to only try to spread.
  109.  
  110. -----
  111.  
  112. Dark Avenger (Oliver) (aka Outland)
  113. Outland is a memory resident infector of COM and EXE files.  At some point
  114. last year, the comic strip, "Outland", included talk of a computer virus.
  115. Someone somewhere then went out and created one to match.  The only thing
  116. about this virus is that it includes the string "Bill the Cat Lives!" and
  117. other strings to match the description in the comic strip.
  118.  
  119. There is nothing else interesting about this virus, if even it can be
  120. called one.  It crashes much too often.
  121.  
  122. -----
  123.  
  124. (Note: File size growth is given in approximate numbers.  If a number is
  125. enclosed in parentheses, that number would be the growth of one of the more
  126. common variants.  As it is too easy for a virus writer to alter this number
  127. without changing the virus significantly, do not depend on the more precise
  128. number.  It is provided for your confidence should you encounter it, which
  129. we hope never happens.)
  130.