home *** CD-ROM | disk | FTP | other *** search
/ Piper's Pit BBS/FTP: ibm 0020 - 0029 / ibm0020-0029 / ibm0028.tar / ibm0028 / AVTK-2.ZIP / README.DOC < prev    next >
Encoding:
Text File  |  1991-01-02  |  8.0 KB  |  190 lines
  1. New in 4.21
  2.  
  3. Findvirus
  4.  
  5. Since 4.2 was first issued, a few more viruses have emerged, and they
  6. have been added to 4.21.  The EXTRA virus driver feature for adding
  7. new viruses to Findvirus has been extended.  Drivers for extra viruses
  8. can have any name, using the syntax
  9.  
  10. FINDVIRUS /EXTRA=d:\abc\anyfile.drv
  11.  
  12.  
  13. New in 4.23
  14.  
  15. You can check just one file with
  16.  
  17. FINDVIRUS /FILE=d:\abc\anyfile.com
  18.  
  19. and Findvirus will exit with an appropriate errorlevel (0 = OK, 1 -
  20. some problem, not a virus, 2 = virus.  This can be used as part of a
  21. batch file, so that the file is checked each time before it is run.
  22.  
  23. If you want to check all files, including overlays (we suggest you do
  24. this if, and only if, you are cleaning out after an outbreak of a
  25. virus, then use
  26.  
  27. FINDVIRUS /VERYSLOW /E=N
  28.  
  29. The /VERYSLOW does a search of the file, including the places where
  30. the virus should not exist.  /E=N tells FINDVIRUS to search all files,
  31. not just those with the extensions that would lead you to expect that
  32. they are executable.
  33.  
  34. /ONEONLY
  35.  
  36. If you are checking diskettes, and you want Findvirus to check just
  37. one diskette and exit, put /ONEONLY on the command line.
  38.  
  39. /MUTANTS
  40.  
  41. A "mutant" is a virus which is different from the normal virus in one
  42. (or a few) bytes.  This can arise if there is a memory hardware error
  43. while the virus is copying itself, or in a few other, not very likely,
  44. ways.  If this byte-change is in a place that Findvirus is using as
  45. part of the search area, Findvirus would then fail to detect that
  46. "mutant".  This is unlikely, because Findvirus needs to check only a
  47. very small sequence of bytes to find the virus, and one of those would
  48. have to change.
  49.  
  50. But if you want to allow for this possibility, the /MUTANTS option is
  51. provided.  This allows for Findvirus to find the virus, even if one of
  52. the bytes in the signature that it uses, has changed.  The slight
  53. downside of using this switch, is a very tiny increase in the
  54. probability of a false positive.
  55.  
  56. /PAUSE
  57.  
  58. If you want Findvirus to pause after loading and before checking the
  59. first diskette, put /PAUSE in the command line.
  60.  
  61. New in 4.24
  62.  
  63. /DRIVER=abcfile.def
  64.  
  65. You can replace the standard QFVB.DRV driver with an updated driver,
  66. using this command.  This mean that you can use a different set of
  67. drivers, and yet still use your original write protected Toolkit
  68. diskette, without having to write enable it.
  69.  
  70. New detection capabilities
  71.  
  72. We've added a detector for files compressed with PKZIP and LHZ.  This
  73. is still in the process of being tested - please report if if flags
  74. and files as being compressed when the are not.
  75.  
  76. New in 4.25
  77.  
  78. Trojans and jokes
  79.  
  80. Since Findvirus is already scanning your disk, it might as well check
  81. for trojans such as Twelve Tricks and the Aids Information Disk
  82. program.  But the line between a trojan (which causes damage) and a
  83. joke program (which does not) is difficult to draw - it is a matter of
  84. your sense of humour.  In this version of the Toolkit, we have started
  85. to add detection for practical joke programs as well as for
  86. ill-intentioned trojans, because we have found some joke programs have
  87. alarmed people.
  88.  
  89. Program omitted in version 4.25
  90.  
  91. We have left Hexdump out, as the function of Hexdump is available
  92. in the main TOOLKIT program, under Misc Browser.
  93.  
  94. New program in version 4.25 and above
  95. -------------------------------------
  96.  
  97. CLEANBOOT
  98.  
  99. This program replaces the boot sector on a 360, 720, 1.2 or 1.44
  100. floppy disk with a valid, non-infected sector.  You cannot boot from a
  101. floppy diskette that has been cleaned in this way, but any virus code
  102. on the boot is overwritten, and the diskette can be used for the
  103. storage of data.  You should preferably run Unvirus instead of
  104. Cleanboot, as that does a reversal of the infection process, removing
  105. and bad sectors that the virus has created, and repairing the diskette
  106. to close to its original state.
  107.  
  108. The purpose of Cleanboot is to supplement Unvirus, for those boot
  109. sector viruses that are not on Unvirus's list.  It does not reverse
  110. the infection process, but replaces the boot sector.  This means that
  111. the diskette is no longer infectious.
  112.  
  113. To run Cleanboot, first cold-boot from a clean Dos diskette.  Then you
  114. need to know whether each diskette is 360, 720, 1.2 or 1.44.  Here's
  115. how you can tell.
  116.  
  117. 360 kb diskettes are 5 1/4 inches, usually have a hub ring ( a ring
  118. that reinforces the hub).  CHKDSK reports such disks as having 362496
  119. bytes of total disk space.  They are called "double density", "high
  120. density", "48 tpi" or "96 tpi".
  121.  
  122. 1.2 mb diskettes are 5 1/4 inches, never have a hub ring ( a ring that
  123. reinforces the hub).  CHKDSK reports such disks as having 1213952
  124. bytes of total disk space.  They are called "High capacity".
  125.  
  126. 720 kb diskettes are 3 1/2 inches, and have a write protect slider in
  127. one corner.  When the hole in that corner is covered by the write
  128. protect slider, the diskette can be written to.  CHKDSK reports such
  129. disks as having 730112 bytes of total disk space.
  130.  
  131. 1.44 mb diskettes are 3 1/2 inches, and have a write protect slider in
  132. one corner.  When the hole in that corner is covered by the write
  133. protect slider, the diskette can be written to.  They have a second
  134. hole in another corner of the diskette, which is sensed by most drives
  135. as indicating a 1.44 mb diskette.  Some drives lack this sensor, or
  136. have it disabled.  CHKDSK reports such disks as having 1457664 bytes
  137. of total disk space.
  138.  
  139. What can go wrong?
  140.  
  141. Unfortunately, we have seen a large number of diskettes wrongly
  142. formatted.  If you format a 360 diskette to 1.2 mb, you will sometimes
  143. "succeed", and get some 800-900 kb of available space, and 300-400 kb
  144. in bad sectors.  If you then use such a diskette, it will rapidly
  145. deteriorate, and your data will become inaccessible.  The problem is
  146. that the coating on a 1.2 mb diskette must have twice the coercivity
  147. of the coating on a 360 in order to work correctly.
  148.  
  149. This problem is clear, obvious and easily demonstrable.  A more subtle
  150. problem is a 1.2 mb diskette formatted to 360 kb, or a 720 kb or 1.44
  151. mb which has been cross-formatted.  The deterioration is not so rapid,
  152. but the practice is strongly discouraged.  Unfortunately, because
  153. there are a number of drives that do not distinguish between 720 and
  154. 1.44 diskettes, there are a lot of cross-formatted diskettes of these
  155. types. Many of the drives in the IBM PS/2 series do not sense the hole
  156. in the diskettes.
  157.  
  158. If you take a cross formatted 720 or 1.44 and try to read it in a
  159. drive that senses the number of holes, the drive will behave as if the
  160. diskette was unformatted.  The best answer is to read the diskette in
  161. a drive that doesn't care about the number of holes, and copy the data
  162. onto a correctly formatted diskette.
  163.  
  164. When you clean a quantity of diskettes using CLEANBOOT, if you choose
  165. the wrong diskette type in the menu for the way that the diskette was
  166. originally formatted, then the diskette will appear to lose files, or
  167. have a corrupted directory.  Because some diskettes will have
  168. originally been cross-formatted by the user, it is not possible to
  169. always guess correctly based on the physical appearance of the
  170. diskette.
  171.  
  172. The simple way to fix this is to run CLEANBOOT again, but this time
  173. choosing the correct diskette type. The only part of the diskette
  174. that CLEANBOOT writes to is the boot sector, so you can try as
  175. many different diskette types as you want.
  176.  
  177. If the virus makes other changes to the diskette apart from
  178. overwriting the original boot sector, these will not be undone by
  179. CLEANBOOT.  So if the virus created fake bad sectors to store part of
  180. itself, those fake bad sectors will still be there.
  181.  
  182. If you want to take the cleaning process one step further, you should
  183. copy (using COPY or XCOPY, not Diskcopy) all the files from the
  184. infected diskette to a newly formatted diskette, and format the
  185. original diskette.
  186.  
  187. If the virus overwrote part of the data on the diskette (which Ogre
  188. does), then that data stays overwritten.  There is no way that it can
  189. be reconstituted from what is on the diskette.
  190.