home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / computer / virus / mys00470.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  3.7 KB  |  73 lines
  1.              Elusive New Viruses Can Avoid Detection                       
  2.  
  3. By Dennis Flanders
  4.  
  5. While computer users nationwide took time to download anti- virus
  6. software to detect the latest viral strains, someone was busy creating
  7. the electronic version of the stealth bomber.  The "stealth" viruses are
  8. the deadliest infection to date.
  9.  
  10. At one time the message "126 files scanned - No viruses detected"
  11. would cause a sigh or relief.  Now it may mean "126 files scanned -
  12. 126 files infected."  Not only do these evasive new bugs elude
  13. detection, they can turn your favorite scan program into a "typhoid
  14. Mary."
  15.  
  16. Most viruses announce their presence by doing such obvious things as
  17. consuming system resources, destroying files or causing distinctly
  18. abnormal actions on the screen.  The stealth virus, on the other hand,
  19. quietly sits in the computer's memory doing nasty things to your
  20. system over a long period.
  21.  
  22. The 4096 virus is destructive to both data and executable files. 
  23. Because the virus slowly cross-links files on the system's disk, it gives
  24. little indication of its presence.  The cross-linking occurs so slowly that
  25. it appears there is a hardware problem when it is the result of the
  26. virus manipulating the FATs and changing the number of available
  27. sectors.
  28.  
  29. Masquerading as hardware failures, stealth viruses can cause much
  30. time and money to be wasted chasing the wrong problem and repairing
  31. good equipment.  After finally discovering the virus the infected PC's
  32. data and programs may be beyond recovery.  Often several generations
  33. of backups will contain files contaminated or destroyed by the virus.
  34.  
  35. Currently 4096 and Joshi-B are the most prevalent of the stealth
  36. viruses.  Once installed in memory, a typical stealth virus will
  37. insinuate itself between DOS and the user.  It will protect itself by
  38. filtering information passed between DOS and programs.
  39.  
  40. Whenever DOS opens a file, the virus will intercept the call and
  41. manipulate the file.  If the opened file is not infected, it will become
  42. infected.  If the file is infected the virus will make it appear to be
  43. "clean" by removing itself.  Thus anti-viral scanners are unable to
  44. detect its presence.
  45.  
  46. If the anti-viral software does not scan memory, the stealth virus will
  47. go completely undetected.  In fact anti-viral programs will lie and
  48. report that the PC is "clean" even as it becomes the primary vehicle for
  49. infection.  Commonly used programs often become the primary source
  50. for contamination. For instance, typing COPY or XCOPY will cause the
  51. virus to infect both the original and the new files.      Viruses always
  52. add code to the programs they infect.  For instance the 4096 virus will
  53. increase the size of an infected file by 4096 bytes.  Stealth viruses also
  54. manipulate commands such as DIR that report file lengths.  They will
  55. subtract the length of the viral code from the file size before passing it
  56. on to the requesting program, making it appear normal. 
  57.  
  58. Programs that depend on CRC checks to validate the existence of a
  59. virus are not effective.  They perform their calculations on a "sanitized"
  60. version of an infected program.  This causes the CRC to be correct. 
  61.  
  62. The only sure protection is prevention.  In the past genuine hardware
  63. problems have been blamed on viruses.  We may now have come full
  64. circle.  Genuine virus problems may be blamed on hardware glitches,
  65. according to David Stang, chairman of the National Computer Security
  66. Association.  Stang went on to say that the association's BBS (see
  67. insert) has software and clear instructions for dealing with stealth
  68. viruses. 
  69.  
  70. Insert: 
  71. The National Computer Security Association 4401-A Connecticut Ave.
  72. NW, Suite 309 Washington, DC  20008 202-364-8252 (Voice)
  73. 202-364-1304 (Data)