home *** CD-ROM | disk | FTP | other *** search

---

/ Experimental BBS Explossion 3 / Experimental BBS Explossion III.iso / virus / killmnk3.zip / KILLMNK3.DOC

< prev

next >

Wrap

Text File  |  1993-10-31  |  12KB  |  257 lines

---

1. KILLMNK3.DOC               Instruction file for the KillMonk.exe program
2. Version 3.0                                                October, 1993
3.  
4.         /-- Monkey and Int_10 Virus Detector and Remover --\
5.         |                  Version 3.0                     |
6.         |                 By Tim Martin                    |
7.         |                                                  |
8.         |           1993   all rights reserved             |
9.         |                                                  |
10.         |           Department of Soil Science             |
11.         |          4-42 Earth Sciences Building            |
12.         |             University of Alberta                |
13.         |               Edmonton, Alberta                  |
14.         |               Canada    T6G 2E3                  |
15.         |                                                  |
16.         |         martin@ulysses.sis.ualberta.ca           |
17.         | * Please let me know if this program is useful * |
18.         \--------------------------------------------------/
19.  
20.  Note that this program removes ONLY the Monkey and Int_10 viruses.
21.  Use a good general scanner, to detect other viruses.
22.  
23. New in Version 2.0
24. ------------------
25. 1.  KillMonk now cleans Monkey from a second hard drive.
26. 2.  KillMonk properly recognizes whether MS Windows is running, and
27.     refuses to run if it is.  (The virus search and cleaning process 
28.     doesn't work if Windows is running.)
29.  
30. New in Version 3.0
31. ------------------
32. 1.  KillMonk now cleans the Int_10 viruses as well.
33. 2.  Earlier versions of KillMonk failed when users first tried to 
34.     clean Monkey-infected computers using FDISK /MBR or general 
35.     disk repair tools.  KillMonk now should be able to clean such 
36.     computers successfully. 
37. 3.  KillMonk should now properly clean computers that have less 
38.     than 640k conventional memory.  I haven't been able to test
39.     this, though.
40.  
41. Introduction
42. ------------
43. KillMonk is a program for finding and removing the Monkey and Int_10 
44. viruses from hard disks and diskettes.   I wrote the first version of
45. KillMonk because the Monkey viruses are atypically tricky to remove
46. from a hard disk, and few (at that time none) of the popular anti-viral
47. software packages did the job well.  I had hoped that by now KillMonk 
48. would be obsolete, but instead the virus has spread worldwide, and
49. most anti-virals still can't properly deal with the virus. I'm getting 
50. regular electronic mail messages from people frustrated by the 
51. limitations of the original KillMonk program.  Meantime, the Int_10 
52. viruses have been seen on computers in my neighborhood, and they
53. are (as far as I know) undetected by popular anti-viral software.  
54. They have their own quirks to make things difficult for the general 
55. anti-viral software writers. So it seemed time to redo KillMonk.
56.  
57. Contents
58. --------
59. The KILLMNK3.ZIP package should contain four files:
60.   KILLMONK.EXE  - the executable program, version 3.0.
61.   KILLMNK3.DOC  - this file.
62.   MONKEY.NOT    - a text file (somewhat technical) on the Monkey viruses.
63.   INT_10.NOT    - a text file on the Int_10 viruses.  Partially plagiarized 
64.                   and slightly edited from a note by Padgett Peterson.
65.  
66. To Use KillMonk
67. ---------------
68. For any virus testing, it is best if you can start the computer from 
69. a clean diskette.  KillMonk should work ok without this precaution,
70. if Monkey or Int_10 is present, but if any other virus is present, 
71. the consequences are unpredictable.  If KillMonk doesn't work when
72. you boot from a clean diskette, try again, booting from the hard disk.
73.  
74. Steps:
75. 1. Boot from a clean system diskette, if you have one.
76.  
77. 2. Check your system using an up-to-date, general virus scanner,
78.    such as F-prot.  
79.  
80. 3. If the computer passes the general scan (or the scanner finds
81.    Monkey or Int_10 but can't clean them) then run KillMonk.
82.     
83.    Carefully read anything KillMonk reports to the screen.
84.    KillMonk will prompt you for any decisions it wants you
85.    to make.  KillMonk only needs single key responses, such
86.    as "y" for yes, or "n" for no.  The RETURN or ENTER key 
87.    is not required: you should only need to use "y", "n", "a" 
88.    to specify drive A:, "b" for drive B:, "q" for quit, and 
89.    the elusive "ANY" key, as in "Press any key to continue..."
90.  
91. 4. If Monkey or Int_10 is found on your hard disk, you will be asked 
92.    whether you want to clean the disk.  If you respond by pressing   
93.    the "y" key,  KillMonk will try to remove the virus from the
94.    hard disk.  If it is successful, the computer will be restarted
95.    to ensure that the virus is not still running in memory.  I 
96.    recommend you then re-run KillMonk, to ensure that the hard
97.    disk was cleaned, and to check ALL your diskettes.
98.    
99. 5. On a system with two physical hard drives, the second drive is
100.    checked and cleaned before the first drive.  The computer does
101.    not reboot between cleaning the second and first hard drives.
102.    
103.    Note that I'm not talking about "partitions" on a single hard
104.    drive, but actual separate drives.  Monkey and Int_10 will 
105.    infect a hard drive only once, no matter how many partitions 
106.    it might have.
107.  
108.    The technically-minded might point out that a virus infecting
109.    a second drive's Master Boot Record cannot spread.  Unfortunately
110.    when Monkey infects a second hard drive, it makes the partition 
111.    table unreadable, rendering the second drive "unusable" until
112.    the virus is removed.
113.  
114. 6. If KillMonk does not find the viruses in memory or on your hard disk,
115.    you will be given the option of scanning diskettes for Monkey and 
116.    Int_10.  You can choose to scan drive A:, scan drive B:, or quit. 
117.    If you scan a diskette, the options are repeated until you choose 
118.    quit.
119.  
120. 7. If KillMonk finds Monkey or Int_10 on a diskette, you are asked if 
121.    you want to remove the virus.  If you select yes, the program will
122.    try to remove the virus.  This should work with the four common
123.    formats of diskettes: 360k, 720k, 1.2Mb and 1.44Mb. 
124.  
125. 8. If KillMonk finds problems but can't fix them, when you have
126.    started the computer from a clean diskette, (or if you don't own
127.    a clean system diskette), then restart the computer from the hard 
128.    disk, and run Killmonk that way.
129.  
130. As a side effect, KillMonk may recognize that your system is infected  
131. with another boot sector virus, such as Stoned.  It will tell you of  
132. the infections, but it will not remove these viruses.  Instead use a 
133. general virus disinfector to deal with these virus infections.
134.  
135. Known Bugs
136. ----------
137. 1.  The Int_10 virus sometimes changes the "Total Conventional Memory"
138.     value returned by MEM, CHKDSK, or KillMonk, in an attempt to hide
139.     its presence.  On most computers, KillMonk sees through this ploy.
140.     However on true IBMs, and other computers that normally show only 
141.     639k memory (654336 bytes) KillMonk might not find the virus while 
142.     it is running.  If you computer normally returns a value of less 
143.     than 640k of total conventional memory, when you run MEM, then be 
144.     sure to rerun KillMonk after starting the computer from a clean 
145.     diskette.
146.  
147. 2.  The Monkey virus is known to mess up OS/2 file systems that are
148.     located on a second physical hard drive.  I don't understand 
149.     what is going on in this case, because I have not studied the OS/2
150.     file system.  KillMonk will successfully remove the virus, but 
151.     OS/2 might not want to boot.
152.  
153. 3.  KillMonk will only clean up to two hard drives on a computer.
154.     Computers with SCSI controller cards might have up to eight 
155.     devices in the SCSI chain.  It should be possible to clean all 
156.     of these by changing which is "drive 2", but I don't have an 
157.     Intel box with a SCSI controller to test this, and my SCSI 
158.     drives are all formatted with UNIX file systems at the moment.
159.  
160. 4.  When KillMonk cleans the virus from a diskette, it does not
161.     clear the last sectors of the root directory, where the virus
162.     has hidden its pieces.  Unlike the other bugs, this is an 
163.     intentional design decision: I think problems are more likely
164.     from failed attempts to clean these sectors than from leaving 
165.     junk in them.  Unfortunately it means that diskettes that have 
166.     been infected and cleaned have a reduced file capacity in the 
167.     root directory.
168.  
169. 5.  Some of the algorithms I use, for example the routine to restart 
170.     the computer after cleaning the hard disk, apparently are not
171.     as robust as they might be, according to the true anti-virus
172.     gurus.  There's a chance things won't work quite as expected, 
173.     on your computer.  Mileage may vary, so to speak.  But as a 
174.     first Assembler Programming project, it's been a lot of fun.
175.  
176. Disclaimer
177. ----------
178. Neither I nor the University of Alberta bear any responsibility 
179. for any problems that may result from the use of the KillMonk 
180. program.  USE KILLMONK AT YOUR OWN RISK.  I hope you find it 
181. useful.
182.  
183. Copyright
184. ---------
185. All rights to KillMonk are the property of Tim Martin. 
186. KillMonk may only be distributed free of charge.
187.  
188. Request
189. -------
190. If you find this program useful, please send me a postcard, or at
191. least an e-mail message.  If you are a representative of an Institution
192. of Some Repute, then please send a congratulatory and flattering note, 
193. on Department letterhead, with hints of job offers even, to my boss.  
194.  
195. Tim Martin
196. martin@ulysses.sis.ualberta.ca
197.  
198. -------------------------------------------------------------------------
199. APPENDIX 1: 
200. The following is the screen output of a typical KillMonk 3.0 session.
201. In this session, the hard disk was clean, but a diskette was found
202. to be infected.  KillMonk cleaned the diskette.
203.  
204. C:>killmonk
205.         /-- Monkey and Int_10 Virus Detector and Remover --\
206.         |                  Version 3.0                     |
207.         |                 By Tim Martin                    |
208.         |                                                  |
209.         |           1993   all rights reserved             |
210.         |                                                  |
211.         |           Department of Soil Science             |
212.         |          4-42 Earth Sciences Building            |
213.         |             University of Alberta                |
214.         |               Edmonton, Alberta                  |
215.         |               Canada    T6G 2E3                  |
216.         |                                                  |
217.         |         martin@ulysses.sis.ualberta.ca           |
218.         | * Please let me know if this program is useful * |
219.         \--------------------------------------------------/
220.  
221.  Note that this program removes ONLY the Monkey and Int_10 viruses.
222.  Use a good general scanner, to detect other viruses.
223.  
224.  New in Version 2.0: KillMonk now cleans Monkey from a second hard drive.
225.  New in Version 3.0: KillMonk now cleans the Int_10 viruses as well.
226.  
227.      Press a key to continue.....
228.  
229.      Checking memory ...   Total Conventional Memory:  640k.
230.  
231. I must still check memory for Int_10 though.
232.  
233. Neither Monkey nor Int_10 is currently running on your computer.
234.  
235.      Checking the first hard disk's Master Boot Record...
236.  
237. The Master Boot Record program seems to be in place.
238. Neither Monkey nor Int_10 is on your hard disk.
239. I didn't look very carefully for other viruses, though.
240. Use a general virus scanner/disinfector for that.
241.  
242. Would you like me to test a floppy diskette?
243.  
244.        Press a for drive A: 
245.        Press b for drive B: 
246.        Press q to quit. a
247.  
248. *** The floppy is infected with the Int_10 Virus.
249. *** Shall I try to fix it? (y/n) y OK...
250.  
251. Would you like me to test a floppy diskette?
252.  
253.        Press a for drive A: 
254.        Press b for drive B: 
255.        Press q to quit. q
256. C:>
257.