home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / comp / virus / 4739 < prev    next >
Encoding:
Internet Message Format  |  1992-12-21  |  2.1 KB
  1. Path: sparky!uunet!news.centerline.com!noc.near.net!hri.com!spool.mu.edu!agate!usenet.ins.cwru.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: mcafee@netcom.com (McAfee Associates)
  3. Newsgroups: comp.virus
  4. Subject: Generic detection of Boot Sector/MBR viruses (was Re: Is this a real virus?) (PC)
  5. Message-ID: <0003.9212181845.AA00632@barnabas.cert.org>
  6. Date: 16 Dec 92 19:24:03 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 34
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. Good morning Vesselin,
  12.  
  13. You wrote:
  14. >Ah, this explains the "Generic Boot Virus" report... It seems to me
  15. >that SCAN is using some kind of heuristics (Aryeh?) and reports a
  16. >"generic" boot (or partition) virus each time when something seems
  17. >wrong with the boot sector(s) - like missing names of the hidden DOS
  18. >files, missing signature (0AA55h), etc. In your case the whole
  19. >contents of the boot sector has been destroyed, so its contents has
  20. >become obviously "abnormal". This has triggered SCAN's heuristics
  21. >(just a wild guess; I'm not certain that it is indeed so).
  22.  
  23. The Generic Boot Sector and Master Boot Record (partition table) virus
  24. detection routines are actually looking for several common instructions 
  25. that appear over and over again in different viruses such as Stoned, 
  26. Joshi, and so forth.  By looking for these, we can detect variants/new
  27. viruses based on older viruses.
  28.  
  29. The Generic Boot Sector/MBR code is not doing a "fitness check" to see
  30. if the partition table (the actual data) or 55 AA signature is valid,
  31. since those would not neccessarily be due to a virus infection (e.g.,
  32. could be an unformatted drive).  Likewise, we don't do a filename check
  33. since that could cause false positives with non-DOS operating systems 
  34. such as Unix and OS/2.
  35.  
  36. Regards,
  37.  
  38. - -- 
  39. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  40. McAfee Associates, Inc.  | Voice (408) 988-3832 | INTERNET:
  41. 3350 Scott Blvd, Bldg 14 | FAX   (408) 970-9727 | mcafee@netcom.COM
  42. Santa Clara, California  | BBS   (408) 988-4004 | CompuServe ID: 76702,1714
  43. 95054-3107  USA          | USR HST Courier DS   | or GO MCAFEE
  44. Support for SENTRY/SCAN/NETSCAN/VSHIELD/CLEAN/WSCAN/NETSHIELD/TARGET/CONFIG MGR
  45.