home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / comp / virus / 4750 < prev    next >
Encoding:
Internet Message Format  |  1992-12-21  |  3.1 KB
  1. Path: sparky!uunet!zaphod.mps.ohio-state.edu!caen!spool.mu.edu!agate!usenet.ins.cwru.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: riordan.cybec@tmx.mhs.oz.au (Roger Riordan)
  3. Newsgroups: comp.virus
  4. Subject: PC Viruses "protected" by CPAV (PC)
  5. Message-ID: <0014.9212181845.AA00632@barnabas.cert.org>
  6. Date: 17 Dec 92 22:16:35 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 51
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. > MC1980@mclink.it (Luca Parisi) reports
  12.  
  13. > " I' ve had some random problems on my PC and wondered if some 
  14. > virus could be responsible for this. ... I also poked around with 
  15. > PCTools, and find a strange repeating pattern in the slack space 
  16. > of many .EXE files. It contains something like 'Carmel SW' and a 
  17. > copy of the 'MZ' signature, not the usual garbage...
  18.  
  19. This tail is a form of integrity checker, and is added to the file 
  20. (in exactly the same way as a virus) by part of the CPAV/CARMEL 
  21. anti-virus software.  When you run the program it is run first, and 
  22. warns you if the start of the file, or the length, has been changed.  
  23.  
  24. This is a nice idea, but unfortunately this product has caused a 
  25. number of users a lot of problems by protecting pre-existing viruses 
  26. it has failed to detect. "Intelligent" scanners will generally fail 
  27. to find viruses protected in this way, as the initial entry point 
  28. goes to the CPAV software, instead of the virus. Logically "dumb" 
  29. scanners ought to find the virus, but may not do so in practise.  
  30.  
  31. We have just received a new strain of Zerotime (or Slow) in which 
  32. the decryption procedure has been patched to avoid detection.  The 
  33. sample disk we received had many files in which the virus was 
  34. protected in this way.  Because the CPAV software overwrites the 
  35. start of the file (after saving it elsewhere) it has split the 
  36. encryption procedure in two.  Neither part is long enough to detect 
  37. reliably, without causing many false alarms, and so it is not 
  38. possible to detect the virus unless the CPAV software is removed.
  39.  
  40. The virus will emerge, and make itself obvious by infecting new 
  41. files (and also the ones with the "protected" virus), in the normal 
  42. way immediately you run an infected file, but the source will remain 
  43. hidden.  If you are having trouble getting rid of a virus you should 
  44. treat any files "protected" by this product with extreme suspicion.
  45.  
  46. In investigating this we re-examined samples we had collected from a 
  47. shop having virus like problems.  At the time we did not know about 
  48. this product (which had been added by the proprietors son, without 
  49. permission), and assumed it was causing the problems.  However when 
  50. we looked at the files again we found that Padded virus was hiding 
  51. behind the Carmel software.  Neither McAfee Scan nor Dr. Solomon's 
  52. Toolkit can find the virus in these files. 
  53.  
  54. We know of two strains of this product, and have added signatures 
  55. for them to VET 7.11.  This will flag affected files as "Packed with 
  56. CPAV anti-virus."  
  57.  
  58. Roger Riordan                     riordan.cybec@tmxmelb.mhs.oz.au
  59.  
  60. CYBEC Pty Ltd.                                 Tel: +613 521 0655
  61. PO Box 205, Hampton Vic 3188   AUSTRALIA       Fax: +613 521 0727
  62.