home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / computer / virus / mys00454.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  18.3 KB  |  360 lines
  1.             Reprinted from CompuMag, Vol. 1 (1989), Issues 3 and 4
  2.                For subscription information call 1-805-273-0300
  3.  
  4.                                   Virus Hysteria!
  5.  
  6.                                 by Richard B. Levin
  7.  
  8.                  You're scared.  Having heard how computer viruses leap
  9.             from computer to computer, you've learned your system could
  10.             be the next unwitting sufferer of a computer flu.  After
  11.             all, your friend has a friend whose cousin knows someone
  12.             that witnessed a virus display "Arf!  Arf!  Gotcha'!" as it
  13.             gobbled up data on an office PC.  And your local BBSes are
  14.             bubbling over with heated horror stories about bombs,
  15.             Trojans and viruses, not to mention countless
  16.             recommendations for anti-virus software products.  It seems
  17.             that every new day brings with it stories of impending
  18.             computerized doom, created by evil geniuses with programming
  19.             abilities far beyond those you or your associates could ever
  20.             hope to achieve, much less do battle against.
  21.  
  22.                  Relax!  Hysteria over computer viruses comes in waves.
  23.             The hysteria is fueled, in large part, by the popular press'
  24.             frenzied, poorly researched and consistently inaccurate
  25.             reporting on the subject.  Computer crime is not a new story
  26.             and viruses are simply the latest plot twist.  Vandals
  27.             sending "time-bombs" and viruses into our nation's telephone
  28.             network are akin to hackers breaking into corporate or
  29.             government mainframe computers and scrambling data--the
  30.             techniques they use for sowing destruction may differ, but
  31.             their intent and results are the same.  Before you hang up
  32.             your joystick in disgust, however, realize that computer
  33.             vandalism has been with us, in one form or another, since
  34.             the first CRT was fired-up and will remain until the last
  35.             disk drive grinds to a halt.  In any public endeavor there
  36.             will be an anti-social element; computing is no exception.
  37.             In the interest of "safe computing," the question we must
  38.             ask is "how do we protect ourselves from the ravages of the
  39.             computer criminal and computer viruses?"
  40.  
  41.                  If you choose not to ignore the reality of computer
  42.             viruses, there remains three ways to dispense with the
  43.             problem:  virus prevention software, virus detection
  44.             software and safe-computing practices (which includes
  45.             anti-virus software usage, among other things).  As with
  46.             other forms of crime prevention, virus prevention software
  47.             products may provide an effective deterrent in some cases;
  48.             they fail, however, when the criminal element is determined
  49.             to perpetrate criminal acts.  Most virus prevention software
  50.             products have serious technical drawbacks users naturally
  51.             overlook (we're not all computer scientists) and virus
  52.             developers exploit.  For example, not one of the anti-virus
  53.             software programs on the market today can protect a system
  54.             from a deadly disk "write" that bypasses DOS by directly
  55.             manipulating the disk controller.  Users of virus prevention
  56.             products believe their computers are ImZ]╖Y║íÑ▒ò▒ in
  57.             reality,`taey're sitting ducks, safeguarded only from the
  58.             simplest of viruses.
  59.  
  60.                  Fact:  it is physically impossible to prevent all
  61.             manner of viruses from entering your system; no matter how
  62.             many automobile alarms you may install, if the crooks want
  63.             to steal the wheels badly enough, they will.  This same line
  64.             of reasoning remains true in the area of virus protection:
  65.             if the virus developer is determined to breach your system,
  66.             your system will be compromised.  You can, however, detect
  67.             viral infections almost immediately after they occur, which
  68.             allows you to rapidly eradicate the invaders and prevent
  69.             future infections.  By employing the following "safe
  70.             computing" measures (excerpted from the documentation that
  71.             accompanies my CHECKUP virus detection system) and by
  72.             installing a reliable virus DETECTION system, you are
  73.             guaranteed a measure of security virus PREVENTION software
  74.             can never provide:
  75.  
  76.                  *    Run CHECKUP (or another reliable virus
  77.                       detection system) daily.  CHECKUP provides a
  78.                       sanitary, clean floppy disk/batch file method
  79.                       that is capable of detecting any virus, past,
  80.                       present or future.
  81.  
  82.                  *    Run major applications via DOS batch files
  83.                       and have CHECKUP (or another reliable virus
  84.                       detection system) perform a pre-run,
  85.                       last-minute ci⌡ck of programs about to run.
  86.  
  87.                       Using CHECKUP, for example:  instead of
  88.                       typing the "WORD" command to run Microsoft
  89.                       Word, create a batch file named "WRD.BAT"
  90.                       that reads as follows:
  91.  
  92.                            CD \WORD
  93.  
  94.                            CHECKUP WORD.COM
  95.                            IF ERRORLEVEL 1 GOTO EXIT
  96.  
  97.                            CHECKUP WORD_DCA.EXE
  98.                            IF ERRORLEVEL 1 GOTO EXIT
  99.  
  100.                            CHECKUP MAKEPRD.EXE
  101.                            IF ERRORLEVEL 1 GOTO EXIT
  102.  
  103.                            CHECKUP MERGEPRD.EXE
  104.                            IF ERRORLEVEL 1 GOTO EXIT
  105.  
  106.                            CHECKUP MW.PGM
  107.                            IF ERRORLEVEL 1 GOTO EXIT
  108.  
  109.                            CHECKUP SPELL-AM.EXE
  110.                            IF ERRORLEVEL 1 GOTO EXIT
  111.  
  112.                            WORD
  113.  
  114.                            :EXIT
  115.  
  116.                       In the future, use the WRD command to invoke
  117.                       Microsoft Word.  CHECKUP will examine all of
  118.                       Microsoft Word's executable files and will
  119.                       allow them to run if (and only if) they pass
  120.                       CHECKUP's scrutiny.  Of course, unlike
  121.                       Microsoft Word, many applications have only
  122.                       one principal executable file to check,
  123.                       greatly simplifying implementation of pre-run
  124.                       checking through DOS batch files.
  125.  
  126.                  *    Regularly check and log available disk space.
  127.                       Aggressive viruses decrease storage space as
  128.                       they spread throughout a system.  This
  129.                       activity can be identified through rigorous
  130.                       monitoring.
  131.  
  132.                       The following commands, added to
  133.                       AUTOEXEC.BAT, will track disk usage:
  134.  
  135.                            CD \
  136.                            DIR >> DIR.LOG
  137.                            TYPE DIR.LOG > PRN
  138.  
  139.                  *    Observe the time it takes for programs to
  140.                       load--infected files take longer.  Programs
  141.                       exhibiting longer than normal load times
  142.                       might be infected (see next tip for related
  143.                       information).
  144.  
  145.                  *    Scrutinize disk accesses whenever possible.
  146.                       Viruses can spend large amounts of time
  147.                       scanning directories and executable files as
  148.                       they search for new, uninfected host files.
  149.                       Programs conducting longer than normal disk
  150.                       I/O, especially during load-time, might be
  151.                       infected.
  152.  
  153.                  *    Periodically re-install applications from
  154.                       their master disks.  This overwrites
  155.                       application files in use and any viruses
  156.                       incubating within them.
  157.  
  158.                  *    Once a week, use the SYS command to
  159.                       re-install the system files onto your boot
  160.                       disk(s).  This eliminates viruses lurking in
  161.                       the boot sectors.
  162.  
  163.                  *    Use the DOS "SHELL" command to rename and
  164.                       relocate COMMAND.COM to a directory other
  165.                       than the root of your boot disk.  Then place
  166.                       a different copy of COMMAND.COM in the root
  167.                       directory.  This may divert viruses into
  168.                       infecting the decoy copy instead of your
  169.                       actual command processor.  Refer to your DOS
  170.                       reference manuals for information on the
  171.                       SHELL command.
  172.  
  173.                  *    Boot from a certified clean floppy disk copy
  174.                       of your DOS master disks whenever possible.
  175.                       This insures your system is running under an
  176.                       uncorrupted operating system at all times.
  177.  
  178.                  *    Change executable file attributes to
  179.                       read-only.  Poorly engineered viruses may not
  180.                       be able to alter read-only files.  Executable
  181.                       files are those ending in a .BAT, .COM or
  182.                       .EXE extension or loaded in CONFIG.SYS.
  183.  
  184.                       Many programs write to their master
  185.                       executable file when saving configuration
  186.                       information.  If such a file has been
  187.                       converted to read-only, the read-only
  188.                       attribute must be removed before
  189.                       re-configuring and reset afterward.
  190.  
  191.                       There are many utilities that can reset file
  192.                       attributes, including ATTR.COM, available for
  193.                       downloading from the PC-Magazine Network on
  194.                       CompuServe.  CompuServe users can "GO
  195.                       PCMAGNET" to download ATTR.COM.  If you own
  196.                       the Norton Utilities, use Norton's FA.EXE to
  197.                       change attributes of COMMAND.COM to read-only 
  198.                       using Norton's FA, enter:
  199.  
  200.                            FA COMMAND.COM /R+
  201.  
  202.                       Some versions of DOS provide an ATTRIB (or
  203.                       similar) command.  Check your DOS reference
  204.                       manuals for more information on modifying
  205.                       file attributes.
  206.  
  207.                  *    Use extreme caution when working with FAT and
  208.                       directory editors, directory sorters, disk
  209.                       optimizers, file movers, format-recovery
  210.                       systems, partition-related tools, un-erasers
  211.                       and other low-level DOS utilities.  These
  212.                       programs manipulate critical data and one bug
  213.                       or errant keystroke can annihilate a disk.
  214.                       Additionally, DOS shells should be treated
  215.                       with care as they also handle critical disk
  216.                       information.
  217.  
  218.                       Safe bets for low-level disk management are
  219.                       the Norton Utilities, Advanced Edition, from
  220.                       Peter Norton Computing, Inc.; PC-Tools from
  221.                       Central Point Software and the Mace Utilities
  222.                       from Paul Mace Software.  Among DOS shells,
  223.                       we recommend the Norton Commander, also from
  224.                       Peter Norton Computing, Inc.  These programs
  225.                       are available at most computer retailers.
  226.  
  227.                  *    Do not run files downloaded from public
  228.                       access BBSes (bulletin board systems) that do
  229.                       not validate users who upload.  If the SysOp
  230.                       of a bulletin board did not contact you
  231.                       directly (by phone, mail or automatic
  232.                       callback), you can be certain that other
  233.                       users have not been validated.  (SysOps:  If
  234.                       validating users is a burden, a practical
  235.                       alternative is to validate them after they
  236.                       upload their first file.)
  237.  
  238.                  *    Do not run files downloaded from public
  239.                       access BBSes where the SysOps do not test and
  240.                       approve all files.
  241.  
  242.                  *    Do not run files provided by shareware/public
  243.                       domain disk distributors, including your
  244.                       local users group, where the disk librarians
  245.                       do not test and approve all files.
  246.  
  247.                  *    Do not run self-extracting archives unless
  248.                       they have been tested.  Self-extracting
  249.                       archives are a classic delivery method used
  250.                       by bomb developers.
  251.  
  252.                  *    Beware of suspicious-looking files.  A 128
  253.                       byte .COM file that un-archives without
  254.                       documentation and whose description reads
  255.                       "Great Word Processor" is suspect.
  256.  
  257.                  *    Use a binary file-viewing utility (like the
  258.                       one included in the Norton Commander) to
  259.                       examine executable code.  Look for suspicious
  260.                       comments and messages embedded in the code.
  261.  
  262.                  *    Do not run programs unaccompanied by
  263.                       well-written documentation prepared by the
  264.                       program's author.
  265.  
  266.                  *    Do not run programs that do not include the
  267.                       name, address and telephone number(s) of the
  268.                       author within the documentation or
  269.                       executable(s).
  270.  
  271.                  *    Call program authors and verify the version
  272.                       number, time and date stamps, file sizes and
  273.                       archive contents of files you have received.
  274.   !░                  Ask authors where you can get certified clean
  275.                       copies of their programs, then discard the
  276.                       copies you have and get the certified copies.
  277.  
  278.                  *    Download shareware direct from the author's
  279.                       BBS.  Most professional shareware authors
  280.                       provide support BBSes for their products.
  281.                       You are guaranteed uncorrupted programs when
  282.                       you download them directly from their
  283.                       authors.
  284.  
  285.                  *    Do not use hacked or pirated software.
  286.                       Software pirates have the skill and the tools
  287.                       needed to create bombs and viruses.  Many
  288.                       reported incidents of viral infections have
  289.                       been associated with software piracy.  In
  290.                       fact, some of the deadliest Trojans have been
  291.                       modified copies of well-known applications.
  292.  
  293.                  *    Back-up your system regularly!  No system
  294.                       exists in a vacuum, nor is any anti-virus or
  295.                       anti-Trojan technique foolproof.  Back-up on
  296.                       a daily, weekly and monthly basis.  When
  297.                       disaster strikes, users who have regularly
  298.                       backed-up their systems will have the last
  299.                       laugh (and their data)!
  300.  
  301.                  If you are not using a virus detection system or you
  302.             are using a less-than-perfect virus detection system, how
  303.             can you tell if a virus has landed on your system and begun
  304.             eating away at your precious data?  The following
  305.             guidelines, also excerpted from CHECKUP's documentation,
  306.             will help you identify the viral warning signs:
  307.  
  308.                  1.   Computer operations seem sluggish.
  309.  
  310.                  2.   Programs take longer to load.
  311.  
  312.                  3.   Programs access multiple disk drives when
  313.                       loading where they didn't before.
  314.  
  315.                  4.   Programs conduct disk accesses at unusual
  316.                       times or with increased frequency.
  317.  
  318.                  5.   Available disk space decreases rapidly.
  319.  
  320.                  6.   The number of bad disk sectors steadily
  321.                       increases.
  322.  
  323.                  7.   Memory maps reveal new TSR programs of
  324.                       unknown origin.
  325.  
  326.                  8.   Normally well-behaved programs act abnormally
  327.                       or crash without reason.
  328.  
  329.                  9.   Programs encounter errors where they didn't
  330.                       before.
  331.  
  332.                  10.  Programs generate undocumented messages.
  333.  
  334.                  11.  Files mysteriously disappear.
  335.  
  336.                  12.  Names, extensions, dates, attributes or data
  337.                       changes on files that have not been modified
  338.                       by users.
  339.  
  340.                  13.  Data files or directories of unknown origin
  341.                       appear.
  342.  
  343.                  14.  CHECKUP (or another reliable virus detection
  344.                       system) detects changes to static objects
  345.                       (files).  Changes detected to dynamic objects
  346.                       are not an indication of viral alterations.
  347.  
  348.                  Rest assured that neither you nor anyone you know will
  349.             suffer a major data loss from a viral attack if
  350.             safe-computing measures are implemented religiously.  When
  351.             and if a viral infection is discovered, turn your computer
  352.             off and contact a good viral diagnostician for eradication
  353.             advice.  Do not use your computer or any floppy disks
  354.             associated with your computer until your system has been
  355.             thoroughly cleansed.  Above all, however, enjoy computing
  356.             and the thousands of quality public domain and shareware
  357.             programs at your disposal.  Take comfort in the knowledge
  358.             that safe-computing techniques, employed properly, will
  359.             serve to protect your data from harm.
  360.