home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / VSIG9204.ZIP / COMPRSCA.NFO < prev    next >
Encoding:
Text File  |  1992-04-12  |  6.9 KB  |  187 lines
  1.  
  2.                   -====== COMPRSCA.DAT INFO ======-
  3.  
  4. 1 Introduction to Comprsca.dat
  5. 2 Executable File Compressor overview
  6. 3 Why you should use Comprsca.dat
  7. 4 When you should use Comprsca.dat
  8. 5 How to use it....
  9. 6 Example virusbul.dat
  10. 7 Disclaimer
  11.  
  12. 1 Introduction Comprsca.dat
  13. ──────────────────────────-
  14.  
  15. The introduction  of  executable file compressors  has added a    new dimension
  16. to virus scanning.  Previously it was fairly easy  to scan  executable files.
  17. You just ran  your favorite scan program and the job was done. If you do this
  18. now it's possible your scanner  might miss something, not because  you have a
  19. bad scanner  but because the virusstring it is looking for has been encrypted
  20. by an executable file compressor.  The signatures  in comprsca.dat  will help
  21. you  to recognize compressed files.  They cannot tell you  if a compressed is
  22. infected internally.  This can only  be done by  rescanning the file after it
  23. has been extracted to its original size.
  24.  
  25.  
  26.  
  27. 2 Executable File Compressor overview
  28. ────────────────────────────────────-
  29.  
  30. Executable File Compressors  (efc's) compress your executable files  in order
  31. to  save  diskspace.  When  the  program is  compressed  a  small  amount  of
  32. extraction code  is added to the file.    If you run  this program  the program
  33. will automatically be expanded into memory.  If you're not familiar with this
  34. phenomenon  you'll be  surprised  to see  how many  files on your HD  will be
  35. compressed with such a program.
  36.  
  37. Popular EFC's are: Pklite
  38.                    Lzexe
  39.                    Diet
  40.                    Exepack
  41.  
  42.  
  43. 3 Why you should use comprsca.dat
  44. ────────────────────────────────-
  45.  
  46. If you have received new files.  It's possible that an infected file has been
  47. compressed and the virus has been encrypted.
  48. Well you may say 'my favorite scanner scans inside Pklited and Lzexed files.'
  49. My answer to this is: "Yes, but not always" and never inside Diet and Exepack
  50. compressed files. I sincerely hope, they will do this tomorrow.
  51.  
  52. Compressed files  can easily  be modified.  After modification    even  the own
  53. compressor  doesn't recognize the file anymore.  It remains fully functional.
  54. I've seen several examples of this.  Some commercial, freeware- and shareware
  55. authors do this trick to prevent other people hacking their programs. And not
  56. to forget the people who spread viruses.
  57.  
  58. With this  technique  they could  spread  most    known viruses, say 600.  This
  59. multiplied with 10 (efc versions) makes 6000 unrecognized viruses.
  60. Of course  if you scan    your HD regularly, you'll detect  something is wrong,
  61. because other files on your harddisk get infected.
  62. After a "simple" cleaning job your scanner will report that your HD is clean,
  63. but  the virus    in the encrypted file  is not found, and you'll see  that the
  64. next time you scan your HD it is possibly reinfected.  After a few times this
  65. will drive you mad.
  66.  
  67.       ***** So better find them soon rather than later. *******
  68.  
  69. 4 When to use comprsca.dat
  70. ──────────────────────────
  71.  
  72. 1 When you want to scan new files.
  73. 2 If your HD is regularly reinfected.
  74.  
  75. Don't  worry about  compressed files  on your HD  if your HD  is clean  after
  76. regular  scanning.  We    advise you  to    keep  a logfile  of  your  compressed
  77. executables which may be of great importance if situation 2 occurs.
  78.  
  79. Most of your  MS_DOS files  are compressed with Exepack.  You shouldn't worry
  80. about them either.
  81.  
  82.  
  83. 5 How to use comprsca.dat
  84. ────────────────────────-
  85.  
  86. These signatures  can be used  with Htscan  and Tbscan.  Don't use them with
  87. Tbscan(x).
  88.  
  89. You can add  the sigs in  comprsca.dat after the sanity check in Virscan.dat.
  90. This can easily be done with the copy command.
  91. Copy  virscan.dat + comprsca.dat xxxxxxxx.dat  (xxxxxxx  stands for any valid
  92. prefix name, i.e. findem.dat)
  93.  
  94. Tell  your  scanner (i.e. Htscan)  which  sign.file  it  should use.  Add the
  95. following switch  /V[=]<sign.file>: use the specified virus-signature list,
  96.  
  97. It could look like this:
  98. Htscan c: /v=findem.dat /o=c:\novirus\htscan.log
  99.  
  100. Part of htscan.log
  101.  
  102. DELDIR.EXE      1 time  infected with: [Compressed with PKLITE]
  103. GRASPRT.EXE     1 time  infected with: [Compressed with EXEPACK.2]
  104. STARTPRT.EXE    1 time  infected with: [Compressed with EXEPACK]
  105. UPACKEXE.EXE    1 time  infected with: [Compressed with LZX]
  106.  
  107. IMPORTANT NOTICE: This only means that the files are compressed ......
  108.  
  109. Future versions of Htscan (1.17) will display a more appropriate message.
  110.  
  111.  
  112. Another easy way to use these sigs:
  113.  
  114. Htscan supports automatically several datfiles: Virscan.dat
  115.                                                 Trojan.dat
  116.                                                 Virusbul.dat
  117.  
  118. Rename comprsca.dat to virusbul.dat  Add at the beginning of virusbul.dat
  119. ;$VB-
  120.  
  121.  
  122. 6 Example Virusbul.dat
  123. ──────────────────────
  124.  
  125. ;$VB-
  126. ;────────────────────────────────────────────────────────────────────────────-;
  127. ;%
  128. ;%  Signatures for compressed executables
  129. ;%  Revision:     920208
  130. ;%  Copyright (C) Saesoft 1991,1992
  131. ;%  {permission granted for non-commercial use}
  132. ;%
  133. ;────────────────────────────────────────────────────────────────────────────-;
  134. ;
  135. [Compressed with PKLITE]
  136. COM EXE
  137. 8E????B9????33FF57BE????FCF3A5CBB409BA
  138. ;
  139. [Compressed with PKLITE.2]
  140.  
  141. ──────- cut────────────-cut────────────cut────────────────────────────────-
  142.  
  143.  
  144.  
  145. For further information read your scanner docfiles thoroughly.
  146.  
  147.  
  148. To decompress compressed files, you need at least the following programs:
  149.  
  150.  Pklite
  151.  Diet
  152.  Upackexe
  153.  Unlzexe
  154.  
  155. Read the docfiles thoroughly  or use the online help.  You can also use other
  156. unpack    utilities.  If    you  cannot  decompress  a  file  there  are  several
  157. possibilities.
  158.  
  159. 1 It was modified after compression by the author of the program.
  160. 2 The commercial version of pklite has been used with the E switch.
  161. 3 The above has been done with criminal intentions to spread a virus.
  162. 4 Your unpack utility is outdated.
  163. 4 It's a false positive.
  164.  
  165.  
  166. Disclaimer
  167. ──────────
  168.  
  169. The sigs are released by Jan Terpstra with his Virscan.dat
  170. They are made by Edwin Cleton.
  171. This info has been written by Dean Buhrmann.
  172.  
  173. These sigs  are  thoroughly tested  and the persons mentioned above cannot be
  174. held liable for  any special, incidental, consequential, indirect  or similar
  175. damages  caused by false positives  or by not detecting a compressed file. We
  176. appreciate  any remarks.  If you find a compressor  which is not  detected by
  177. these sigs. Contact us by netmail please. (Zone 2)
  178.  
  179. Edwin Cleton, 512/1007.2   EXACT-TBBS ,31-15-610079,9600,MO,HST,CM,XA
  180. Dean Buhrmann 500/45.10450 Kennemerland,31-23-316333,9600,V22,V32B,V42B,CM,XA
  181.  
  182. My personal  view  is that  the authors  of EFC's  should prevent  that their
  183. programs are used this way. If a modification has been made after compressing
  184. the file  it should be    noticed  by the program (selfcheck).  If you're  in a
  185. position to inform the authors, please don't hesitate.
  186.  
  187.