home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / sys / ibm / pc / misc / 12024 < prev    next >
Encoding:
Internet Message Format  |  1992-08-29  |  5.8 KB
  1. Xref: sparky comp.sys.ibm.pc.misc:12024 comp.os.msdos.apps:4564 comp.binaries.ibm.pc.d:3390
  2. Path: sparky!uunet!zaphod.mps.ohio-state.edu!news.acns.nwu.edu!nucsrl!ddsw1!infopls!bleys
  3. From: bleys@infopls.chi.il.us (Bleys Ahrens)
  4. Newsgroups: comp.sys.ibm.pc.misc,comp.os.msdos.apps,comp.binaries.ibm.pc.d
  5. Subject: Re: What is the best anti-virus program???
  6. Message-ID: <ec19PB3w165w@infopls.chi.il.us>
  7. Date: Fri, 28 Aug 92 22:17:49 CDT
  8. References: <1992Aug26.142321.1@gallua.gallaudet.edu>
  9. Organization: INFOPLUS support, Wheeling, IL
  10. Lines: 98
  11.  
  12. All Anti-Virus programs are not created equal.
  13.  
  14. Most anti-virus packages on the market today  (Norton, Central Point,
  15. Untouchable, MacAffee) rely on pattern scanning as their primary method
  16. of detecting a virus.  In other words, they have a database of some sort
  17. containing hundreds of strings or attributes that known viruses produce
  18. when they infect a computer.  This has worked relatively well in the
  19. past, but unfortunately it is rapidly becoming unpractical.  When new
  20. viruses and strains are identified, the appropriate patterns must be
  21. added to the databases of pattern scanning programs.  This may be done
  22. with updates to the program on disk, via download or manually typing
  23. strings into the database.
  24.  
  25. The problem is that an average of three new viruses are being created
  26. everyday.  Add to this, the number of new mutating viruses which change
  27. their appearance and method of operation as they spread and it quickly
  28. becomes impossible to keep up with the spread of viruses.  As more and
  29. more users become interconnected though networks like the Internet,
  30. Compuserve, Fidonet, etc. it becomes increasing easy to move a virus
  31. from one side of the world to the other.  
  32.  
  33. Another relatively new and dangerous sort of virus is the stealth
  34. viruses.  These viruses intercept calls from anti-virus programs as they
  35. scan memory and disks.  Boot sector stealth viruses generally make a copy
  36. of the uninfected original areas and direct scanning programs to the
  37. location of the copy, which appears to be normal.  Stealth file viruses
  38. on the other hand are often able to remove themselves from a file as it
  39. is being scanned, so that the file appears clean.  After the scan is
  40. complete, the virus in memory then moves its code back into the infected
  41. files.  
  42.  
  43. Other recent threats to computer security include the publishing of a book
  44. that tells how to write viruses and includes source code. (I would
  45. prefer not to publicize it and intentionally left out the title.) 
  46. Another new threat is the recent posting on various BBSes of a some 
  47. programs that help people write mutating viruses.
  48.  
  49. In fairness to the makers of various anti-virus software manufacturers,
  50. it must be pointed out that most programs on the market include methods
  51. other than pattern scanning.  Most also include TSR's which monitor for
  52. suspicious disk and memory reads and writes.  Some also include various
  53. CRC checking methods which run some sort of algorithm on each file to
  54. create a checksum which is then compared each time the file is executed.
  55. A simple checksum works relatively well if you are absolutely sure that
  56. your files aren't already infected.  The problem is that some viruses
  57. are smart enough to change the checksum values stored on the disk.  
  58.  
  59. So what is the optimal solution...  Well, I have been evaluating several
  60. programs lately (Norton Anti-Virus, Central Point Anti-Virus, Fifth
  61. Generation Untouchable, Certus Novi, Intel LanProtect, Brightworks
  62. Development Sitelock and MacAffee Scan) and the one that seems have the
  63. best potential to deal with the possibility of stealth and mutating
  64. viruses is the relative newcomer, Novi from Certus.  
  65.  
  66. This product does do some pattern scanning, but that is not the basic
  67. paradigm used by this product.  As I understand from my research, all
  68. executable files have essentially the same type of header records.  This
  69. contains the basic information about the program and points to the
  70. beginning of the code to run.  What a virus will do is attach to the end
  71. of the file and change the initial pointer to the start of the virus
  72. code.  At the end of the virus code is a pointer to the start of the
  73. program code.  Thus, the user runs the program, the virus executes and
  74. most likely places itself into memory and then executes the program.  
  75.  
  76. Novi works by checking the critical areas of the file (or disk boot records
  77. for a boot sector scan) to see that everthing is the way it should be.  If
  78. pointers appear invalid or out of place, the product alerts the user to
  79. a problem and then depending on the user response, can attempt to remove
  80. the improper pointers and code.  By not relying on pattern scanning, the
  81. program will working with existing viruses as well as new mutations or
  82. strains.  I am still testing with it and others, but my opinion is that
  83. this program offers the best protection into the future, without the
  84. need of updates.
  85.  
  86. (This program has also rated very, very well in a variety of recent
  87. magazine article and evaluations.  It's file integrity checking is very
  88. fast and is compatible with the major LAN OSes and with Windows.)
  89.  
  90. I suspect this article will provoke quite a few responses, and I hope
  91. that some of the above anti-virus manufacturers with be available for
  92. comments.  I'm sure the folks from Certus can tell you a great deal more
  93. about their product and would be more than happy to send you some
  94. literature.  (I'm not here to sell products for them, so I would prefer
  95. not to answer a zillion questions about exactly how the product works.)
  96.  
  97. Bleys Ahrens
  98.  
  99. Disclaimer:  I am not affiliated in any way with any of the above
  100. mentioned products and/or companies.  I am an IS professional with a 
  101. large international corporation.  While the above evaluations occured 
  102. on company time, the opinions and views are strictly my own.  
  103.  
  104. Comments generally welcomed.  Direct flames to /dev/nul...
  105.  
  106.  
  107. --
  108. bleys@infopls.chi.il.us (Bleys Ahrens)
  109. Infoplus BBS, +1 708 537 0247, v32bis. Home of Infoplus.
  110.