home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / comp / virus / 4781 < prev    next >
Encoding:
Internet Message Format  |  1992-12-22  |  1.4 KB

  1. Path: sparky!uunet!gatech!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: MC1980@mclink.it (Luca Parisi)
  3. Newsgroups: comp.virus
  4. Subject: CPAV leftovers: summary (PC)
  5. Message-ID: <0001.9212221358.AA03720@barnabas.cert.org>
  6. Date: 19 Dec 92 22:15:09 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 24
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. Here is what I've found out about the "leftovers" I mentioned.
  12.  
  13. The "CARMEL Software" string is indeed added to files by the
  14. "Immunize" option of Central Point Anti Virus 1.0 and 1.2 (At least; I
  15. could only find those versions, and the new Windows one that has no
  16. such option).
  17.  
  18. It is not part of the integrity checking program, however. It seems to
  19. be used to pad the executable file to a multiple of 16 before adding
  20. the self-checker, but only under certain conditions (I was unable to
  21. replicate it except on NU.EXE, and I found another padding string
  22. elsewhere).  It is not deleted by the "Remove Immunization" option,
  23. although the file is restored to its original size. The padding string
  24. and a copy of the first bytes of the original immunized program can be
  25. read in the slack space and will disappear as expected when the
  26. deimmunized file is copied.
  27.  
  28. The user who originally faced the program had indeed used CPAV, not 
  29. the original CARMEL product.
  30.  
  31. Thanks to those who supported me with suggestions.
  32.  
  33. Luca Parisi 
  34. <MC1980@mclink.it>
  35.