home *** CD-ROM | disk | FTP | other *** search

---

/ The World of Computer Software / The World of Computer Software.iso / 21a03.zip / 21A03.TXT

< prev

next >

Wrap

Text File  |  1992-12-29  |  7KB  |  153 lines

---

1. 21A03.TXT - Description file for 21A03.DEF
2. AntiVirus Lab, SYMANTEC/Peter Norton Product Group
3. January 1, 1993
4. ******************************************************************
5.  
6. Instructions for loading virus definitions, using Norton AntiVirus
7. 2.1:
8.  
9. 1)   Run Virus Clinic by typing NAV at the DOS prompt.
10.  
11. 2)   If you are in DOS, press <Enter> to accept the Welcome screen.
12.  
13. 3)   Select "Cancel," or press <Esc> to bypass the "Scan Drives"
14. Screen.
15.  
16. 4)   Select the "Definitions" menu.
17.  
18. 5)   Select "Load from File..."
19.  
20. 6)   If the name of the drive and directory to which you loaded the
21. definition file does not appear on the "Directory:" line, change to
22. the proper drive and directory name and press <Enter>.    The name of
23. the definition file should appear in the "Files" window.
24.  
25. 7)   Select the definition file, select "OK," and press <Enter>.
26.  
27. 8)   After the definitions have loaded, press <Enter> to exit from the
28. "Load Definition File Results" screen.
29.  
30. 9)   Select "Exit" from the "Scan" menu.
31.  
32. 10)  Reboot your computer to activate the new definitions.
33.  
34. ********************************************************************************
35.  
36. Monkey
37. Monkey is a memory resident infector of the Master Boot Record on
38. hard disks and of the boot sector on floppies.    If Monkey is in memory,
39. any accesses to the boot record will be rerouted to a copy of the
40. original boot sector.  Monkey replaces the partition table thus
41. invalidating the hard drive if it is infected and a boot up occurred
42. from a clean diskette.    Thus, this virus can only be seen in memory
43. or on a floppy disk.  If you boot from a clean diskette, the hard
44. disk will be unknown to DOS.  If you boot from the hard disk, you are
45. infected.  Repair is not possible from within NAV because of this
46. complexity.  If you encounter this virus, call Technical Support.
47. They can guide you through a repair process.
48.  
49. The virus is spread onto hard disks when a boot occurs from an infected
50. diskette.  Diskettes are infected when the virus is resident in memory
51. and any access is made to the diskette.
52.  
53. The virus occupies one K at the top of memory (640K mark).  Any memory
54. indicator will show the machine as having one K less than it should.
55. INT 01 and INT 13h are intercepted by the virus to accomplish its deeds.
56.  
57. Monkey does no intentional permanent damage and seems only designed to
58. spread.  But the encryption and the inability for DOS to see the hard
59. drive if booted from a diskette is a major inconvenience.  Damage may
60. occur on diskette formats other than DOS on 360K, 720K, 1.2M, and 1.44M
61. diskettes.
62.  
63. Monkey is prevalent in Canada at the time of this writing, especially
64. around Edmonton.
65.  
66. -----
67.  
68. ATAS (aka 384, 400)
69. Atas is a direct action infector of COM files.    Atas infects one COM
70. file in the current directory per execution.  Files will grow by 384
71. or 400 bytes depending on which strain is infecting your system.  The
72. date and timestamp of the file will be changed to the time of infection.
73. Atas intercepts INT 21h in order to infect but returns the vector once
74. the infection is complete.  Upon completion of the infection, a message
75. will appear on the screen.  This message will either be "I like to
76. travel..." (ATAS-400) or "Ok." (ATAS-384).  Both messages are encrypted
77. in the body of the virus and cannot be seen until appropriate portions
78. are decrypted.    Because of the encryption, repair is not possible.
79.  
80. -----
81.  
82. No Frills
83. No Frills is a memory resident infector of COM and EXE files.  Files
84. are infected if executed or copied.  The resident portion of the virus
85. takes up approximately 2K of memory.  Files grow by approximately 800
86. to 850 bytes but the date and timestamp will be unchanged.  Infected
87. files are repairable by NAV.  The only negative side-effect that could
88. be found was that the system would occasionally hang once infected.
89.  
90. -----
91.  
92. DiskInfect
93. DiskInfect is a memory resident infector of the Master Boot Record and
94. partition tables on hard disks and of the boot sector on floppies.
95. DiskInfect overwrites the OEM name on hard disks, though that causes no
96. actual damage.    Repair of partition tables is provided.  The boot sector
97. can be repaired with the FDISK /MBR command on hard disks or with the
98. SYS command for floppies.
99.  
100. The virus is spread onto hard disks when a boot occurs from an infected
101. diskette.  Diskettes are infected when the virus is resident in memory
102. and any access is made to the diskette.
103.  
104. The virus occupies one K at the top of memory (640K mark).  Any memory
105. indicator will show the machine as having one K less than it should.
106. INT 13h and INT 21h are intercepted by the virus to accomplish its deeds.
107.  
108. -----
109.  
110. Gnose (aka Irish-3, Necrose)
111. Gnose is a prepending virus.  It infects COM files including COMMAND.COM.
112. For EXE files, it creates a companion COM program of 1164 bytes with the
113. hidden attribute turned on so the DOS DIR command will not list them,
114. making it seem invisible.  For COM files, the first 1164 bytes are copied
115. to the end of the file, replaced by the viral code.  On NOV 21 of any
116. year, the virus produces periodic beeps on the speaker (using INs & OUTs
117. to port 61h).  NAV can detect and repair both the new hidden files as
118. well as the traditional prepended viral code.  In repairing the spawned
119. hidden COM files, NAV truncates the files to 0 length.    A separate step
120. must be taken to delete these files.  Programs from The Norton Utilities,
121. The Norton Desktop for Windows, The Norton Desktop for DOS, or the DOS
122. ATTRIB program can all be used to locate and delete hidden files.  After
123. NAV has repaired the system, all COM files of length 0 should be deleted.
124.  
125. We did not recommend deleting the files directly from NAV because it is
126. too difficult to determine if an affected COM file is one that has been
127. attached to or one that has been spawned and is only 1164 bytes.  If all
128. files on the system can be retrieved from backup if necessary, then using
129. the delete function in NAV is appropriate.
130.  
131. The virus is improperly coded such that if you work with a write-
132. protected floppy diskette while the virus is in memory, you will get
133. a continual sequence of write protect error messages.
134.  
135. Gnose steals approximately 2.5K (2624) of memory from just below the
136. 640K mark to remain resident in memory.  INTs 1Ch, 21h, and 03h are
137. intercepted by the virus.  INT 1Ch is the periodic timer tick interrupt
138. and is used to determine when to play its tunes.  INT 21h is intercepted
139. for use in propagation.  And INT 03 is used by the virus possibly to
140. encumber the anti-virus evaluator as it is also the DEBUG interrupt.
141.  
142. Finally, the virus does a self-residency check issuing AX=4BFDh,INT 21h.
143. On return, if AX is 3238h, then the virus is already in memory.
144.  
145. -----
146.  
147. (Note: File size growth is given in approximate numbers.  If a number is
148. enclosed in parentheses, that number would be the growth of one of the more
149. common variants.  As it is too easy for a virus writer to alter this number
150. without changing the virus significantly, do not depend on the more precise
151. number.  It is provided for your confidence should you encounter it, which
152. we hope never happens.)
153.