home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / virus / 4813 < prev    next >
Encoding:
Internet Message Format  |  1993-01-05  |  3.4 KB
  1. Path: sparky!uunet!elroy.jpl.nasa.gov!usc!cs.utexas.edu!qt.cs.utexas.edu!yale.edu!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: buhr@umanitoba.ca (Kevin Andrew Buhr)
  3. Newsgroups: comp.virus
  4. Subject: Re: Viruses in OS/2 HPFS (OS/2)
  5. Message-ID: <0002.9301051858.AA13030@barnabas.cert.org>
  6. Date: 25 Dec 92 09:12:10 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 59
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. bjl1@Ra.MsState.Edu (Brett J.L. Landry) writes:
  12. |
  13. |  There has been aa lot of talk about OS/2 not being able to be infected
  14. |  from regular old DOS boot sector viruses using the HPFS. This is false
  15. |  since regular old STONED can infect both logical and physical parttions
  16. |  on OS/2 using HPFS.  Why wait for true OS/2 viruses when you can suffer
  17. |  from regular DOS viruses.
  18.  
  19. Keep in mind there is at least one special consideration with respect
  20. to OS/2 and the "Stoned" variety of viri, however.  Be forewarned that
  21. the following is a mixture of real knowledge and a bit of deduction.
  22. The deduction part might trip me up a bit, but I'm pretty sure most of
  23. the details are accurate.
  24.  
  25. For one thing, if a boot sector virus infects your system on start up,
  26. it won't survive the OS/2 startup process.  You may get the "Your
  27. computer is stoned!" message, since this is displayed (randomly
  28. approximately one out of every eight times in many cases) before the
  29. operating system is loaded.  HOWEVER, OS/2's own floppy disk device
  30. drivers will take control of the floppy drive away from the boot
  31. sector virus.  The virus will be neutralized, and will not spread to
  32. floppy disks.  This will be true whether you are using the HPFS or the
  33. FAT file system.
  34.  
  35. (In special situations, the virus may remain in a "semi-active" state.
  36. It will not be able to infect floppy disks, but it may still cause a
  37. system crash when the virus is overwritten by OS/2.  See the note
  38. below for more information on this.)
  39.  
  40. "Normal" DOS sessions you start under OS/2 will *not* contain copies
  41. of the virus, because they are not "booted" in the normal sense.  Only
  42. special "DOS from Drive A"-style sessions, which are booted from
  43. floppies, could potentially become infected if the floppy was
  44. infected.  Only in these cases would the virus be able to spread, and
  45. it would only spread during floppy drive accesses in the infected DOS
  46. sessions; accesses from other sessions would have no effect.
  47.  
  48. As mentioned above, there is a special case where the boot sector
  49. could remain partially active and interfere with OS/2's operation.  To
  50. allow OS/2 to work with special hard disk devices (like Bernoulli
  51. drives, I understand), OS/2 can be set up to use the built-in BIOS
  52. routines for disk control rather than its internal drivers.  I'm not
  53. sure how OS/2 behaves in this situation (i.e. I don't know whether it
  54. uses the value of the INT 13 vector or generates an address in a more
  55. elementary manner), but it seems possible to me that OS/2 could
  56. mistake the virus code for the BIOS disk routines.  In this case, OS/2
  57. could attempt to operate the hard drive via the virus code.
  58.  
  59. Because of the way OS/2 handles memory management, when OS/2 attempts
  60. to access the hard drive, the virus code will probably be "invisible".
  61. As a result, the operating system will immediately trap and display an
  62. error message.
  63.  
  64. In summary, the worst you can expect is your system simply not
  65. working.  An infected OS/2 system generally won't infect new floppy
  66. disks unless you use the special "DOS from Drive A" sessions with an
  67. infected boot floppy.
  68.  
  69. Kevin <buhr@ccu.UManitoba.CA>
  70.