home *** CD-ROM | disk | FTP | other *** search

---

/ Cream of the Crop 21 / Cream of the Crop 21 (Terry Blount) (October 1996).iso / virus / f_hare15.zip / F-HARE.TXT

< prev

next >

Wrap

Text File  |  1996-07-18  |  5KB  |  127 lines

---

1. F-HARE - Scanner and disinfector for the Hare viruses
2. Copyright (c) 1996 Data Fellows Ltd
3.  
4. OVERVIEW
5.  
6. F-HARE will detect and disinfect the three known variants of the Hare
7. virus (also known as HDEuthanasia and Krsna). This document gives a
8. brief description of the Hare virus and explains how to use F-HARE to
9. detect and disinfect this virus.
10.  
11.  
12. ABOUT THE HARE VIRUS
13.  
14. Hare is one of an increasing number of viruses distributed via the
15. Internet, in the form of posts to Usenet News. On the 22nd of August
16. and the 22nd of September, members of the Hare virus family will
17. trigger, attempting to overwrite hard disks, floppy disks in drives A:
18. and B:.
19.  
20. Hare is a polymorphic, stealth, multi-partite virus. It is
21. memory-resident and infects .COM and .EXE files, MBRs of hard disks,
22. and floppy disk boot sectors. It is Windows 95 aware, enabling it to
23. infect both files and the boot sectors of floppy disks used from
24. Windows 95.
25.  
26. Known variants are Hare.7610, Hare.7750 and Hare.7786
27.  
28.  
29. SYMPTOMS
30.  
31. The symptoms of the Hare virus vary; under certain circumstances, it
32. can render the fixed disk unbootable, or hide the DOS partitions if
33. the system is booted from a clean system disk; it attempts to hide its
34. changes to the length of infected files. Alternately, there may be no
35. visible effect until the virus triggers. Since the symptoms can vary,
36. it is recommended that suspect PCs be scanned using the F-HARE
37. utility.
38.  
39. HOW TO USE F-HARE:
40.  
41. Run F-HARE with the drive letter of directory as a paramter. For example:
42.  
43.         F-HARE C:
44.         F-HARE Z:\USERS
45.  
46. F-HARE will first check memory and will tell you if the Hare virus is
47. in resident:
48.  
49.               "Scanning for Hare in memory - Infected!"
50.  
51. If you find the Hare virus in memory, please reboot your computer from
52. a clean write-protected system floppy diskette. This will ensure that the
53. Hare virus is not in memory.
54.  
55. Type F-HARE <drive parameter> to determine if your Master Boot Record
56. or any files are infected with the virus. If F-HARE finds the virus,
57. you will be notified. Then, type F-HARE <drive parameter> /disinf.
58.  
59. F-HARE will disinfect your Master Boot Record and infected files.
60.  
61. As detailed above, it is possible in some cases for the Hare virus to
62. cause the DOS partition to be inaccessible when booted from a clean
63. system disk. Do not worry, if this occurs, F-HARE can still remove the
64. virus from both your hard disk and from any infected files.
65.  
66. If F-HARE has found the HARE virus in your MBR, but you cannot see the DOS
67. partition of your fixed disk after booting from a floppy disk, take the
68. following steps to disinfect your machine fully:
69.  
70. 1. Make sure you have booted from a clean write-protected system
71.    floppy diskette.
72.  
73. 2. Type F-HARE c: /disinf
74.  
75.    F-HARE will remove the virus from the Master Boot Record.
76.  
77.    After the virus is removed from the Master Boot Record, you will
78.    see the message "virus removed" followed by the message "No hard
79.    disk found".
80.  
81. 3. Simply reboot your computer again, from the clean write-protected
82.    floppy system diskette. You will now be able to see the C: drive.
83.    Once you can see it (by typing dir c:), type F-HARE c: /disinf to
84.    clean the virus from any files which may have become infected.
85.  
86.  
87. WHAT ABOUT FLOPPIES?
88.  
89. Since Hare can infect floppy diskettes, you will want to scan your floppy
90. diskettes as well. To do this, invoke F-HARE using the /MULTI switch
91. (eg F-HARE A: /MULTI).
92.  
93. --
94.  
95. Virus analysis based on information from Mikko Hypponen, Data Fellows
96. F-PROT Professional Support. F-HARE by Peter Szor, Data Fellows F-PROT
97. Professional Development. Documentation by Sarah Gordon, Command Software
98. F-PROT Professional Research and Development.
99.  
100. F-HARE is protected by international copyright laws. F-HARE is (c)
101. 1996 Data Fellows Ltd, and it is not in public domain or freeware, but
102. you are free to use and share this software with no charges in
103. non-commercial private use. Use of this software in other environments
104. is not allowed in Europe, Asia and Africa without a license to F-PROT
105. Professional or a current license from Frisk Software International.
106. To purchase a license, contact your local distributor listed in
107. PRO.DOC. Please redistribute F-HARE only with this documentation. You
108. are not allowed to resell this software for your own profit (normal
109. copying costs excluded) or claim to hold rights to this software.
110. Although you may have the right to use F-HARE, it will remain the
111. exclusive property of Data Fellows. Data Fellows does not warrant that
112. the software is error free and we will not cover any costs created by
113. function or malfunction of this program. Data Fellows also disclaims
114. liability for possible consequential damages. If you cannot agree to
115. these restrictions, you should not use F-HARE.
116.  
117. Copyright (c) 1996 Data Fellows Ltd, Finland
118.  
119.                  Data Fellows Ltd
120.                  Paivantaite 8
121.                  FIN-02210 ESPOO
122.                  FINLAND
123.                  tel:    +358-0-478 444
124.                  fax:    +358-0-478 44 599
125.                  e-mail: F-PROT-Support@DataFellows.com
126.                  www:    http://www.DataFellows.com/
127.