home *** CD-ROM | disk | FTP | other *** search
/ Archive Magazine CD 1995 / Archive Magazine CD 1995.iso / discs / prog_disc / volume_5 / issue_05 / extras / virus / Release < prev   
Encoding:
Text File  |  1991-11-20  |  5.4 KB  |  147 lines
  1. These versions of !Killer (1.17) and VProtect (1.06) know about nine
  2. families of virus for the Acorn Archimedes/A3000/A5000 range of computers.     
  3.  
  4. These are :
  5.  
  6. * Extend
  7. * Icon (also known as Filer), and known variants
  8. * FF8 (also known as Archievirus)
  9. * RISCOSext (also known as Thanatos)
  10. * DataDQM (also known as Vigayvirus)
  11. * CeBit
  12. * MyMod                                            
  13. * TrapHandler/NetManager
  14. * Module
  15.  
  16. The alternative names mentioned are those used by the authors of other virus
  17. detection/removal software. 
  18.  
  19. Should you discover a virus which is not understood by !Killer and VProtect
  20. (or a new variant of one of those above) please contact the Customer
  21. Services department at Acorn, including a clearly marked disc containing an
  22. example of infected file.
  23.  
  24. VProtect can prevent infected !Boot files from doing any damage. It achieves
  25. this by parsing the !Boot file before it is executed. Should it find a line
  26. which is known to be used by a virus, an error will be generated and the
  27. !Boot file will not be executed.
  28.  
  29. !Killer is much more versatile, providing the following facilities:
  30.  
  31. * Detection and removal/disabling of any viruses already resident
  32.  
  33. * Self verification to avoid becoming a carrier for a virus
  34.  
  35. * Searching a file storage device for any infected files, with the ability
  36. to remove them completely (including viruses which merge themselves with
  37. files).
  38.  
  39. * Detection and removal of any viruses loaded whilst !Killer is loaded
  40.  
  41. Fuller documentation of !Killer is in the !Help file within !Killer's
  42. directory.
  43.  
  44. The following sections give a brief summary of the nine known viruses. It
  45. does not attempt to be a technical analysis or description, but simply gives
  46. an overview of the nature of each virus, and it's possible effects.
  47.  
  48. Of necessity, our definition of the term virus takes a very broad view of
  49. the genre. Anything designed to reproduce itself and/or cause unwanted
  50. events is considered a virus.
  51.                                             
  52. The majority of the viruses documented below alter !Boot files to get
  53. themselves loaded. This means that all you have to do to get a virus in
  54. memory is to open a directory viewer on an infected application!
  55.  
  56.  
  57. The Known Viruses
  58. -----------------
  59.  
  60. 1) Extend
  61.  
  62. This lives in applications, using one of eight possible names. It
  63. modifies/creates a !Boot file to load itself. Apart from claiming more and
  64. more memory (eventually causing the system to run out of memory) it is
  65. harmless, but very contagious.
  66.  
  67. Quick Check : Press <F12> and type 'help extend' - a message of the form
  68. 'Module is...' indicates that it's loaded.
  69.  
  70. 2) Icon (also known as Filer)
  71.  
  72. There are a number of variants of this around - five have been encountered
  73. already. All use !Boot files to propagate. One variant does nothing apart
  74. from spread itself. The others generate a nonsensical error message when they
  75. is first loaded.
  76.  
  77. Quick Check : a file called Icon, Poison or NewVirus(!) inside an
  78. application which is filetyped as a sprite, but is actually BASIC.
  79.  
  80. 3) FF8 (also known as ArchieVirus)
  81.  
  82. This is by far the oldest virus, but various bugs in it's coding make the
  83. chances of it successfully infecting other programs quite small.
  84.  
  85. Unlike most other viruses discussed here it works by merging itself with
  86. files typed FF8 (Absolute).
  87.  
  88. On the 13th of the month any infected application will fail to run, giving
  89. the message 'Archievirus strikes again'.
  90.  
  91. Quick Check : Load a file into !Edit, and look for '1210' at the end of the
  92. file (though 'Hypo1210' indicates an innoculation instead).
  93.  
  94. 4) RISCOSext (also known as Thanatos)
  95.  
  96. This is by far the worst of the viruses discussed here. It has various nasty
  97. things on particular dates, with a random chance of something happening at
  98. any time. Any outbreaks of this virus should be treated rapidly to avoid any
  99. chance of data loss.
  100.  
  101. Quick Check : Look in the Task Manager display for 'Thanatos'.
  102.  
  103. 5) DataDQM (also known as VigayVirus)
  104.  
  105. This one causes the screen to judder an increasing amount during each
  106. Thursday. 
  107.  
  108. Quick Check : An application called 'TaskManager' - not to be confused with
  109. the real 'Task Manager' which will appear in the list of module tasks.
  110.  
  111. 6) CeBit
  112.  
  113. Aside from infecting applications (via the !Boot file as usual) it will stop
  114. proceedings on every 16th infection to display a message from 'Devil, The
  115. Lord of Darkness'. This virus was discovered in Germany, and is not thought
  116. to have spread to the UK yet.
  117.  
  118. Quick Check : press <F12>, then 'help tlodmod'. A message of the form
  119. 'Module is...' shows that it is loaded.
  120.  
  121. 7) MyMod
  122.  
  123. This is a harmless virus, which will display a message on each Friday 13th.
  124. It can exist in two forms, the first being the trojan used to initially
  125. release it, and the second being the form in which it infects applications.
  126.  
  127. Quick Check : press <F12> then 'help mymod'. A message of the form 'Module
  128. is...' shows that it is loaded.
  129.  
  130. 8) NetManager/TrapHandler
  131.  
  132. This is a variation of the !Boot theme, with the whole virus being in the
  133. !Boot file. 
  134.  
  135. Quick Check : press <F12> then 'help netmanager' or 'help traphandler'. A
  136. message of the form 'Module is...' shows that it is loaded.
  137.  
  138. 9) Module
  139.  
  140. This is quite different, and works by appending it's code to any modules
  141. loaded whilst an infected module is active. It then redirects some of the
  142. module entry points to itself (and then on to the original entry points).
  143.  
  144. Quick Check: Any modules with changed timestamps, and have grown by almost
  145. 1K are potential suspects. Loading the module in to !Edit will reveal the
  146. ASCII string 'Press any key to continue'.
  147.