home *** CD-ROM | disk | FTP | other *** search

---

/ Experimental BBS Explossion 3 / Experimental BBS Explossion III.iso / virus / na21.zip / 21A10.TXT

< prev

Wrap

Text File  |  1993-08-01  |  5KB  |  119 lines

---

1. 21A10.TXT - Description file for 21A10.DEF
2. AntiVirus Lab, SYMANTEC/Peter Norton Product Group
3. August 1, 1993
4. ******************************************************************
5.  
6. [The NAV definition update installation instructions are also
7. available on this disk in French, German, Italian, Swedish, and
8. Spanish.  Please reference the appropriate file.]
9.  
10.                    Loading New Definitions
11.  
12. To update NAV 2.1 with the new virus definition you have
13. just received, do the following:
14.  
15. Note:  Each definition set completely replaces the current
16.        set so only the latest is required.
17.  
18. From DOS:
19. 1)  At the DOS prompt, type "NAV" then <Enter>.
20. 2)  Select the "Cancel" button (ALT-C) to bypass scanning at this time.
21. 3)  Select the Definitions menu (ALT-D), then select the "Load from
22.     file" item (L).  You will now see the "Load from file" dialog box.
23. 4)  Place the definition diskette in drive A: (Drive B: where
24.     applicable).
25. 5)  In the FILE field, type "A:*.DEF " ("B:*.DEF" if applicable) then 
26.     <Enter>.
27. 6)  The definition file on the disk should now appear in the
28.     "Files" box.
29. 7)  Select the "Files" box (ALT-L).  Note: the filename is normally
30.     loaded into the "File" line automatically as it is usually the 
31.     only file available.  If this is not the case, use the TAB key
32.     to highlight the file then press the spacebar.
33. 8)  Select "OK" (ALT-O) to load the new definition set.
34. 9)  After loading, press "ESC", exit NAV, and reboot the machine.
35. 10) NAV will now use the new definitions to scan for viruses.
36.  
37. From Windows:
38. 1)  Activate NAV by double-clicking on its icon.
39. 2)  Click on "CANCEL" in the "Scan Drives" window to bypass scanning
40.     at this time.
41. 3)  From the "Definitions" menu choose "Load from file".
42. 4)  Place the definition diskette in drive A: (Drive B: where
43.     applicable).
44. 5)  Type "A:*.DEF" ("B:*.DEF" if applicable) in the "File" field, then
45.     press the Enter key.
46. 6)  The latest definition file should now appear in the "Files" box.
47. 7)  Double-Click on the filename inside the "Files" box.
48. 8)  The file should begin to load.  If not, click the "OK" button to
49.     load the new definition set.
50. 9)  After loading, exit NAV, exit Windows, then reboot the machine.
51. 10) NAV will now use the new definitions to scan for viruses.
52.  
53. ******************************************************************
54.  
55. Note for users who are not updated through Corporate Channels:
56.  
57. After updating your definitions, if every file is identified as
58. being infected with "MtE", don't panic.  You probably do not have
59. a virus.  Please download the patch file, PTCH1A.ZIP (available
60. through CompuServe and the Symantec BBS), unzip the file, follow
61. the instructions included in the readme file, and then load these
62. definitions again.
63.  
64. If you are unable to download this patch file, or are still
65. experiencing problems after using it, please contact Symantec
66. Technical Support.
67.  
68. ******************************************************************
69.  
70. Satan Bug
71. Satan Bug is a polymorphic, non-stealth, resident, COM and EXE infector.
72. It is approximate in complexity to those viruses incorporating the 
73. Mutation Engine.
74.  
75. The virus starts with a very long decryption routine which varies greatly
76. in both size and content.  Several decryption methods may be employed.
77. Due to the complexity of the encryption, NAV does not repair this virus.
78.  
79. When an infected file is executed, the virus will seek out COMMAND.COM.
80. It will be infected first.  Then the virus will stay resident in memory
81. as it infects COM and EXE files as they are executed or copied.
82.  
83. The virus ranges in size from about 3600 to 5400 bytes; the actual virus 
84. being about 3500 bytes and the rest being the polymorphic decryptor.
85.  
86. The text "Satan Bug virus - Little Loc" is hidden in the encrypted portion 
87. of the virus. 
88.  
89. A company on the east coast of the United States discovered that it had
90. been infected by this virus.  Thus computer users in the region should be
91. most careful.  If you discover that you are infected by this virus, please
92. call our Support personnel.
93.  
94. -----
95.  
96. Butterfly
97. Butterfly is a simple non-resident infector of COM programs.  It appears
98. to be closely related to the Ash virus.  Past definition sets would have
99. been able to detect this variant as the Ash virus.
100.  
101. Butterfly only infects on execution, targetting other files in the current 
102. directory.  It is about 300 bytes long and contains the text "butterflies".
103.  
104. This virus has been reported in the wild by another antivirus company.
105. As noted, you would have been equally protected by the previous definition
106. of Ash.  However, NAV is now able to differentiate.
107.  
108. The Ash definition has been fine tuned to acknowledge the presence of this
109. new variant and let this new variant be called Butterfly.
110.  
111. Butterfly can be repaired by NAV.
112.  
113. (Note: File size growth is given in approximate numbers.  If a number is
114. enclosed in parentheses, that number would be the growth of one of the more
115. common variants.  As it is too easy for a virus writer to alter this number
116. without changing the virus significantly, do not depend on the more precise
117. number.  It is provided for your confidence should you encounter it, which
118. we hope never happens.)
119.