home *** CD-ROM | disk | FTP | other *** search
/ Experimental BBS Explossion 3 / Experimental BBS Explossion III.iso / virus / fpro210c.zip / ANALYSE.DOC next >
Text File  |  1993-12-02  |  3KB  |  72 lines
  1.                         Heuristic analysis
  2.  
  3. Signature-based virus scanning is not the ultimate solution to the virus
  4. problem. If using an up-to-date scanner (or better yet, two scanners from
  5. different companies), one can be fairly certain that all known viruses
  6. will be detected.  The scanners may or may not detect new variants which
  7. have been created by modifying older viruses, but if a new virus is
  8. written entirely from scratch, it will probably not be detected by any
  9. existing virus signature.
  10.  
  11. The virus may be detected by a generic monitoring program when it
  12. activates - perhaps when trying to perform some suspicious action, such as
  13. reformatting the hard disk.  It may also be detected by a checksuming
  14. program, which detects changes to files or boot secors, after they have
  15. been infected.  Nevertheless, it is preferable to try to detect the
  16. presence of the virus without actually running a virus-infected program.
  17.  
  18. The heuristic analysis is basically a small expert-system, which has a set
  19. of rules describing viruses, and attempts to apply them to the programs it
  20. analyses.  It is still only in an experimental stage and is not flawless -
  21. some viruses cannot yet be detected in this way, and an occasional false
  22. alarm ist to be expected.
  23.  
  24. Several different messages may be produced when suspicious code is found
  25. in a program, some of which are nearly certain to indicate a virus
  26. infection, such as the following three messages:
  27.  
  28.     This program contains several features which
  29.     are normally only found in virus programs.
  30.     It is almost certainly virus-infected.
  31.  
  32.     This program contains a virus which stays resident
  33.     in memory when an infected program is run.
  34.  
  35.     This program contains a primitive virus,
  36.     which is located at the beginning of the file.
  37.  
  38. Other messages might indicate a virus infection, but occasionally they are
  39. just false alarms. The less serious messages include:
  40.  
  41.     This program moves itself to a different area
  42.     of memory using a method which is normally
  43.     only used by viruses.
  44.  
  45.     This is a self-modifying program, which may
  46.     indicate a self-encrypting virus or just
  47.     unusual code.
  48.  
  49. Finally there are a few messages which do not indicate a virus infection,
  50. only that something unusual has been found, such as:
  51.  
  52.     This file is packed using PKLITE, LZEXE or
  53.     a similar program.  It may have been infected
  54.     before it was packed, but this program is not
  55.     yet able to determine if this is the case.
  56.  
  57.     Some code has been added to the end of this
  58.     file, but it does not appear to be a virus.
  59.  
  60. As this method is still under development, a false positive might be
  61. expected occasionally, and all reports of this would be appreciated.
  62.  
  63. Currently the following programs are known to cause a false positive:
  64.  
  65. TC.COM       (TurboCopy)
  66. DIR1.COM
  67. GBXIBMEL.EXE
  68. GRAPHICS.COM
  69. PC-CACHE.COM
  70. WORD.COM     (Microsoft Word)
  71. XTPRO.COM
  72.