home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / GORETSKY.ZIP / GORETSKY.TXT
Encoding:
Text File  |  1991-07-02  |  8.3 KB  |  164 lines
  1. Date: 26 Jun 91 09:47:22 GMT
  2. From: mcafee@netcom.COM (McAfee Associates)
  3. Subject: Virus protection: what to use.
  4.  
  5. avinash@felix.contex.com (Avinash Chopde) writes:
  6. >I was looking around on the garbo.uwasa.fi site and found it had
  7. >plenty of virus scanners/fixer programs.  Do I need to get hold of all
  8. >of them, or are there one or two which should suffice ?
  9. >And, I'm interested in hearing about any of your own procedures that you
  10. >follow to prevent virus infections and perform virus cleanups.
  11.  
  12. Hello Mr. Chopde,
  13.  
  14. There are lots of anti-viral programs available now, both shareware and
  15. commercial, so without trying to be too specific, here are some things
  16. you may wish to look for:
  17.  
  18. 1.      Type of virus detection offered:  That is, upon what criteria does
  19. the anti-viral program base its "decision" that a virus has been found?
  20. This is generally broken down into three categories:  filters, changer
  21. checkers, and scanners.
  22.  
  23. A filter is a program that installs itself as a TSR and monitors the
  24. system for virus-like activity (i.e., attempting to format a hard disk,
  25. write to a program file, and so forth).  Filters have the advantage of
  26. being able to detect new viruses because they are not looking for
  27. specific viruses, but rather virus-methods.  The disadvantage is that
  28. they can be prone to false-alarms by programs which may do virus-like
  29. activities for legitimate reasons (say an OS or application update
  30. program that patches the executable code of the original program); they
  31. also have to be periodically updated when new virus-techniques appear
  32. that the program did not monitor; also they may have to be configured
  33. to allow programs that may do virus-like activities (say, a disk
  34. optimization program) to function--this is not really a problem with
  35. individual (home) users, but if you're responsible for several 100's of
  36. PC's, installation could be painful.
  37.  
  38. A change checker (and this is a category that includes checksum, cyclic
  39. redundancy checks (CRC's), cryptographic checks, and so on) is a
  40. program that computes a known value for a program file (or other area
  41. of the system) and is then periodically run to compare the program file
  42. against.  If the known value and the just-computed value don't match,
  43. then the file has been modified and may be infected with a virus or
  44. otherwise tampered with.
  45.  
  46. The advantages to change checkers are that they will detect known and
  47. unknown viruses, like the filter, because they are not checking for
  48. specific pieces of code, but rather for changes to a computed value.
  49. They're also good for spotting tampering - more of a computer
  50. security-related concern then virus- specific, but it is a function.
  51. The disadvantages of this method are that this only works if the change
  52. checker is installed on a virus-free machine, otherwise the known
  53. values computed will reflect the viral code attached to its host; also,
  54. it's been theorized that if the method of change checking is known, a
  55. virus could be written to add itself to files in such a way that a
  56. checksum identical to the known (good) checksum is generated.  The last
  57. problem I can think of with change checkers is that if there is a
  58. "stealth" virus present (A virus that installs itself as kind of a
  59. "file handler" in the OS) then the virus will trap reads by the change
  60. checking program, remove the viral code from the infected file, and
  61. then pass on to the CC program a "clean" file.  This last one can be
  62. prevented by booting the computer with a clean (virus-free) operating
  63. system and then running the change checking program.
  64.  
  65. A scanner works by checking the system for pieces of code unique to
  66. each virus.  The scanner reads the files (boot sector, partition table,
  67. etc) of a disk and does a match against a database of bytes that are
  68. segments of viral code unique to each virus.  When a match occurs, a
  69. virus is reported.  This is effective for finding known viruses, since
  70. a positive ID against the virus is made.  Of course, a false alarm
  71. could also occur if a file had the same instructions in it.  Scanners
  72. can also check for "generic" routines, like a series of program
  73. instructions to format a disk, but these are not as reliable as the
  74. matching of viral code with its "fingerprint" of bytes because a file
  75. may have use such a routine for legitimate purposes.  Disadvantages to
  76. this are that a scanner will only detect known viruses and must be
  77. updated frequently, a "stealth" virus could hide from the scanner, and
  78. possible false alarms.  And of course, as more viruses are added, the
  79. scanner gets s l o w e r.
  80.  
  81. 2.  Vendor Support:  That is, what sort of assistance will the
  82. manufacturer provide?
  83.  
  84. Anti-viral software (like any software tool, only more so <GRIN>)
  85. generally requires more assistance then other forms of software, or
  86. perhaps I should say, more assistance of a specialized nature.
  87. Removing a virus can be somewhat tricky because a long set of steps
  88. have to be precisely followed to remove a virus AND prevent
  89. re-infection.  And of course, there is the matter of any data on
  90. infected media that may have been corrupted in some way.  So, knowledge
  91. (and it's accompanying twin, experience) are a factor.  What sort of
  92. assistance does the vendor provide?  Does the vendor have a telephone
  93. number, a fax, a BBS, internet or online services address that you can
  94. access?  Is the telephone number 24 hours toll free?  Or limited hours
  95. and toll.  Is there a charge for assistance or is it free?  If there is
  96. a charge, do you have a certain amount of free assistance?  What about
  97. local reps?  Is support handled through the head office which may be in
  98. another country, or are there manufacturer's reps or a branch office in
  99. your state (province, district) or country?
  100.  
  101. Another factor is currency (yes, money too, but more about that next),
  102. by which I mean how current is the program?  Does it need to regularly
  103. updated?  Does an update file need to be added, or does the package
  104. have to be completely reinstalled each time?  How are updates made
  105. available, and for how long?  Can they be downloaded or mailed or faxed
  106. to you?  Are they free or do you have to pay for them?  Do you get a
  107. certain amount of free updates?  If so, how is this handled?  If there
  108. is a cost for updates, how much is it?
  109.  
  110. Is the software purchased (or licensed) for life or for a certain
  111. amount of time?  If for a limited time, then how long?  What happens
  112. when the license period runs out?
  113.  
  114. And how much does it all cost?  And referrals.  Does the manufacturer
  115. have satisfied customers whom you can ask about product?
  116.  
  117. Well, sorry for making such a long post, but I did want to address as
  118. many issues as I could think of off the top of my head.  I hope this
  119. gives you some factors to consider.
  120.  
  121. DISCLAIMER:  Yes, I am an employee of McAfee Associates, makers of the
  122. VIRUSCAN and CLEAN-UP anti-viral programs.  However, I have tried to
  123. make this as objective as possible, without mention of anyone's
  124. products, goods, or services.
  125.  
  126. Aryeh Goretsky
  127. --
  128. McAfee Associates        | Voice (408) 988-3832 | mcafee@netcom.com
  129. 4423 Cheeney Street      | FAX   (408) 970-9727 | (Aryeh Goretsky)
  130. Santa Clara, California  | BBS   (408) 988-4004 |
  131. 95054-0253  USA          | v.32  (408) 988-5190 | mrs@netcom.com
  132. ViruScan/CleanUp/VShield | HST   (408) 988-5138 | (Morgan Schweers)
  133.  
  134. WHAT'S NEW
  135.  
  136. VIRUSCAN
  137.  
  138.      Versions 78 and 79 of VIRUSCAN were skipped because of two trojan
  139. horse versions that appeared.  Version 80 of SCAN logically follows
  140. V77.
  141.  
  142.      Version 80 adds several new features to VIRUSCAN: The first is
  143. that SCAN now checks inside of files compressed with PKWare's PKLITE
  144. program for viruses.  Files infected before compression will be
  145. reported as being infected internally.  Files infected after
  146. compression will be reported as being infected externally.
  147.  
  148.      When a subdirectory is scanned, SCAN will check subdirectories
  149. below that subdirectory when the /SUB option is used.
  150.  
  151.      The extension .SWP has been added to the list of extensions
  152. scanned by default.
  153.  
  154.      The /REPORT option now displays version number, options used, date
  155. and time, and validation code results.
  156.  
  157.      Also, the capabilty to detect unknown boot sector viruses by
  158. scanning for virus-like code has been added.  If a boot sector is found
  159. that contains suspicious code, SCAN will report that the disk contains
  160. a Unrecognized Boot Sector Virus.
  161.  
  162.      51 new viruses have been added.
  163.  
  164.