home *** CD-ROM | disk | FTP | other *** search
/ The World of Computer Software / World_Of_Computer_Software-02-385-Vol-1of3.iso / c / catchm15.zip / CATCHMTE.DOC next >
Text File  |  1992-10-16  |  8KB  |  184 lines

  1.                                  CatchMtE  1.5
  2.  
  3.                                October 16, 1992
  4.                                
  5.                  Copyright (c) 1992 by VDS Advanced Research Group
  6.                              All Rights Reserved
  7.  
  8.            Use of this program for non-commercial purposes is free.
  9.            We do not sell it for profit, neither should anyone else.
  10.            You can distribute it to your friends or BBSes as long
  11.            as it is not modified and it includes this documentation.
  12.            If you cannot obtain it from BBSes or FTP sites, then you
  13.            can get it directly from us for a small fee of $10 US.
  14.            Even if CatchMtE helps only one user to detect an MtE-based
  15.            virus and saves him much agony, we consider our time spent
  16.            developing CatchMtE well worth it.
  17.  
  18.                                 DISCLAIMER
  19.  
  20.         The developers of CatchMtE make no warranty of any kind, either
  21.      express or implied, with respect to this software and accompanying
  22.      documentation. In no event shall the developers be liable for any
  23.      damages arising out of the use of or inability to use the included
  24.      programs. The entire risk as to the results and performance of this
  25.      software package is assumed by the customer. We specifically disclaim
  26.      any implied warranties of merchantability or fitness for any purpose.
  27.      Use at your own risk.
  28.         The developers of CatchMtE reserve the right to revise the software
  29.      and accompanying documentation and to make changes in the contents
  30.      without obligation to notify any person of such revision or changes.
  31. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
  32.  
  33.                             ACKNOWLEDGEMENTS        
  34.  
  35.        We would like to thank Mr. Vesselin Bontchev for his help in
  36.        testing CatchMtE and offering suggestions to improve it. He even
  37.        sent us sample code to implement a more flexible input path.
  38.  
  39. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
  40.                    WARNING   WARNING   WARNING   WARNING
  41.  
  42.     YOU SHOULD BOOT FROM A CLEAN, WRITE-PROTECTED DOS DISKETTE BEFORE USING
  43.     CatchMtE TO SEARCH YOUR DISKS. THIS WILL ELIMINATE THE RISK OF HAVING
  44.     A MEMORY-RESIDENT VIRUS GAIN CONTROL OF THE CPU DURING OPERATION.
  45.  
  46. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
  47. Description:
  48.  
  49.    CatchMtE is designed to recognize viral code based on the so-called
  50. Mutation Engine distributed by DarkAvenger from Bulgaria (see the included 
  51. MTE-INFO.TXT file for details). CatchMtE uses sophisticated algorithms to 
  52. determine if a program is infected by an MtE-based virus.
  53.  
  54.    We have tested it on MS/PC DOS 3.3+ as well as Netware 386 based disks. 
  55. On network drives, some files may not be opened and will generate an error
  56. message. The program uses handle-oriented DOS file access for compatibility.
  57.  
  58.    CatchMtE is NOT a pattern matcher; although it uses Boyer-Moore search
  59. algorithm and a few patterns to recognize the mutations that are in plaintext.
  60. This is necessary because MtE sometimes fails to encrypt code as expected.
  61. The following known viruses are recognized if they are in plaintext:
  62.  
  63.    Pogue
  64.    Dedicated/Fear  (plaintext mutations only)
  65.    Groove
  66.    CoffeeShop      (plaintext mutations only)
  67.    MtE-Spawn       (plaintext mutations only)
  68.    Questo          (plaintext mutations only)
  69.  
  70.    If none of the patterns extracted from these viruses are found, then two
  71. patterns extracted from MtE itself are searched for. This should detect
  72. new viruses using MtE for polymorphism in the cases when the decryptor
  73. has null effect.
  74.  
  75.    We have tested CatchMtE against thousands of Pogue and Dedicated/Fear
  76. mutations in our lab. It achieved 100% hit rate in all cases. If you find
  77. a mutation that it fails to recognize, please contact us so that we can
  78. determine the cause and make the necessary corrections to the program.
  79.  
  80.    CatchMtE is NOT a general virus scanner. It only looks for MtE-based
  81. viruses. If you would like to search your disks for other viruses as well,
  82. you should obtain a general virus scanner such as F-PROT or our VDSFSCAN. 
  83. These programs can look for hundreds of other known viruses.
  84.  
  85. Requirements:
  86.  
  87.    IBM/PC compatible computer with DOS 3.0 or higher
  88.    128K of available memory
  89.    Booting from floppy diskette is recommended
  90.  
  91. Limitations:
  92.  
  93.    Only the files with COM or EXE extension are checked. If the file
  94.    size is less than or equal to 1K, it will be skipped as well.
  95.    Subdirectories are scanned recursively. It doesn't check one single file. 
  96.  
  97. Bugs & Problems:
  98.     
  99.    Previous versions of CatchMtE had a problem finding the EXE program entry
  100.    and sometimes failed to correctly identify infected files. Version 1.0
  101.    triggered false alarms on the following files:
  102.  
  103.              Name            Size
  104.            ----------------------
  105.            DIREX.COM         1987
  106.            LEGAL.EXE       264080
  107.            NETBIND.EXE      15639
  108.            PCSORT.EXE       21776
  109.            XTVEGA.COM        2751          
  110.  
  111. Usage:
  112.  
  113.   CATCHMTE.EXE <path> [-Mono] [-Pause] [-Ofname] [-Zfname] [-Batch] [-Delete] 
  114.  
  115.   Example:
  116.       To search C: drive starting from root directory:
  117.  
  118.          CATCHMTE.EXE  -P -Oinfected.txt -Zpassed.txt  C:\
  119.  
  120.       To search another directory and all subdirectories:
  121.  
  122.          CATCHMTE.EXE  -p  C:\DOS
  123.  
  124.  -Mono option forces CatchMtE not to use color output to make it easier
  125.   to read on some screens, mostly laptops emulating VGA.
  126.  
  127.  -Pause option will allow you to see the list of infected files a screen
  128.   at a time; otherwise, they will scroll off the screen, so you should use
  129.   it unless you are testing the program against a zoo of mutations to verify
  130.   hit rate, as we did.
  131.  
  132.  -O option will write the names of the files that were found to have an
  133.   MtE-based virus to the specified file. Final statistics will also be
  134.   written to this file.
  135.  
  136.  -Z option will write the names of the files that were found NOT to have an
  137.   MtE-based virus to the specified file. This is good for zoo testing
  138.   since it will provide a list of mutations that were MISSED. If you are
  139.   not doing zoo testing, you do not need this option. If you find such a
  140.   mutation, please send us a copy of at least the decryptor portion if not
  141.   the complete sample for analysis.
  142.  
  143. -Batch option is useful in running CatchMtE from batch files and eliminates
  144.  the pause at the end asking you to press a key. You can examine the error
  145.  level returned as follows:
  146.  
  147.       errorlevel  --> 0   : No viruses found
  148.       errorlevel  --> 1   : Infected files found
  149.       errorlevel  --> 2   : Infected files found and deleted
  150.       errorlevel  --> 128 : User break, search not completed
  151.       errorlevel  --> 255 : Errors occurred during search
  152.  
  153. -Delete option allows you to delete files that are found to be infected.
  154.  You should always delete infected files and replace them with clean
  155.  backup copies.
  156.  
  157. A Piece of Advice:
  158.  
  159.    You are strongly encouraged to consider "integrity checkers" as a strong
  160. line of defense against virus attacks. There are some products in the market
  161. that concentrate on integrity checking. They can provide you with an early
  162. warning that can save you many man-hours of work. Once the spread of viruses
  163. is contained, they are not a significant threat.
  164.  
  165.    Virus scanning software is useful in looking for known viruses. They are
  166. not meant to detect new viruses. With the escalating number of viruses and
  167. toolkits such as MtE, you are more likely to encounter new viruses that
  168. scanners cannot keep up with.
  169.  
  170.    We have developed an anti-viral product (VDS, or Virus Detection System)
  171. that emphasizes integrity checking. To obtain a copy ($49 + SH for personal
  172. version), you can call us at (410) 247-7117, or write to:
  173.  
  174.                       Attn: Tarkan Yetiser
  175.                    VDS Advanced Research Group
  176.                          P.O. Box  9393
  177.                     Baltimore, MD 21228, U.S.A.
  178.  
  179.    Technical questions (no sales) can be sent via e-mail to: 
  180.                  tyetiser@umbc8.umbc.edu
  181.  
  182.    We wish you a virus-free day of happy computing.
  183.    
  184.