home *** CD-ROM | disk | FTP | other *** search
/ Experimental BBS Explossion 3 / Experimental BBS Explossion III.iso / virus / neu_0104.zip / NEUTER.DOC < prev   
Text File  |  1993-11-06  |  12KB  |  246 lines
  1. NEUTER v01.04.00 (06 NOV 1993) -- checks for & removes the ASeXual V0.99 virus
  2. Copyright (c) 1993, Professional Software Engineering
  3. All Rights Reserved.
  4.  
  5. This program is for FREE distribution only.
  6.  
  7.  
  8. A program to remove the ASeXual V0.99 virus from files.  IT IS NOT INTENDED 
  9. TO DETECT AND REMOVE OTHER VIRUSES -- ONLY THE "ASeXual V0.99" VIRUS.  This 
  10. program is very fast at what it does -- thousands of hard drive files can be 
  11. scanned in a single minute.
  12.  
  13. Neuter IS NOT A GENERAL PURPOSE VIRUS DETECTION/REPAIR UTILITY.
  14.  
  15. This program is a functional replacement for FINDV100 and FINDV110, which are 
  16. attempts to isolate the virus.  This program positively identifies the presence 
  17. of the virus, and fully recovers from it.
  18.  
  19. Neuter first reports whether the virus is in memory or not.  If it is, the 
  20. program will terminate with instructions on how to properly go about removing 
  21. the virus  -- you run the risk of spreading the virus just by running programs!  
  22. This program itself is immune to infection by the ASeXual V0.99 virus.  If 
  23. the system does not have the virus in memory, the program will then scan for 
  24. all files in the given drive/directory specification and eradicate the virus 
  25. whenever it is encountered.
  26.  
  27.  
  28. Legal Disclaimer
  29. ================
  30. This program was produced and is provided FREE as a fix for a virus.  The 
  31. author of this program makes no warranty that this program will fix your 
  32. problem, nor that this program will recover any or all of your data.  It is 
  33. possible that certain circumstances may cause this program to erase 
  34. information.  In no event can the author be held liable for damages resulting 
  35. from the use of this program.  Every effort has been made to positively 
  36. identify a file as being infected with the virus before attempting to recover a 
  37. file from the virus.
  38.  
  39.  
  40. This file should have come to you inside a PKZIP archive with authentication 
  41. that should have looked something like this:
  42.  
  43. -----------------------------------------------------------------------------
  44.  
  45. PKUNZIP (R)    FAST!    Extract Utility    Version 2.04g  02-01-93
  46. Copr. 1989-1993 PKWARE Inc. All Rights Reserved. Registered version
  47. PKUNZIP Reg. U.S. Pat. and Tm. Off.
  48.  
  49. ■ 80486 CPU detected.
  50. ■ EMS version 4.00 detected.
  51. ■ XMS version 3.00 detected.
  52. ■ DPMI version 0.90 detected.
  53.  
  54. Searching ZIP: NEU_0104.ZIP
  55.   Inflating: FILE_ID.DIZ     -AV
  56.   Inflating: NEUTER.COM      -AV
  57.   Inflating: NEUTER.DOC      -AV
  58.  
  59. Authentic files Verified!   # DQP160
  60. Professional Software Engineering
  61.  
  62. -----------------------------------------------------------------------------
  63.  
  64. There should be only two files in the archive, and both should have the 
  65. authentication information.  If not, check with the source you obtained this 
  66. file from.
  67.  
  68.  
  69. Parameters:
  70. A drive or path on the commanline to indicate where to start scanning for the 
  71. virus.  A dot "." represents the current directory.  All files will be checked, 
  72. reguardless of assumed file type.  It will find and recurse into hidden 
  73. directories as well.
  74.  
  75.  
  76. Examples:
  77. NEUTER C:        Disinfects the entire C: drive.  Go boil a pot of tea
  78.             while you wait, it may take awhile.
  79. NEUTER .        Disinfects all files in the current directory, and all 
  80.             directories underneath it.
  81. NEUTER D:\UTILS        Disinfects all files under the UTILS directory on D:
  82.  
  83.  
  84. On exit, there will be a DOS errorlevel of 1 if the virus was encountered in 
  85. memory, 2 if in a disk file, and 0 if the virus was not found.
  86.  
  87.  
  88. Release history:
  89. v01.00.00 (01 NOV 1993)
  90. * Original public release.  Released the same day an infected file was provided 
  91. by ExecNet Information Systems for analysis.  ExecNet Information Systems is 
  92. the author of the FINDV ("FindVirus") program.
  93.  
  94. v01.01.00 (02 NOV 1993)
  95. * Determined that the stubfile for .EXE files could be infected by the virus as 
  96. a regular .COM file, since it does not pass the virus' "infected" check.  Thus, 
  97. whenever a .COM file is cleaned, it is scanned a second time to insure that it 
  98. is not a stub.  Improved the scanning process to pick up a few more complex 
  99. variants of the decryptor -- it should now find all possible forms of this 
  100. virus.
  101.  
  102. v01.02.00 (03 NOV 1993)
  103. * Oops -- if the only infections found were stubfiles, then the ERRORLEVEL 
  104. (used for batch checking) doesn't get set to indicate an infection was found.  
  105. This was fixed.  Also corrected a documentation error.
  106.  
  107. v01.03.00 (06 NOV 1993)
  108. * NEVER RELEASED.
  109.  
  110. v01.04.00 (06 NOV 1993)
  111. * Oops -- a user alerted me that the version number reported by the program
  112. was incorrect (v01.02.00 was showing v01.01.00 still).  Version text in docs 
  113. was correct, but program was not -- program was still operationally correct.
  114. Added "virus found in file(s)" message at program exit if virus was found, and 
  115. "Virus not found" message if it was not -- this should now allow people with 
  116. really slow computers to start the scan process and leave, and when they get 
  117. back to know if any files were infected (in case the statistics scrolled off 
  118. the top of the screen).
  119. Version number incremented to v01.04.00 (there was never a v01.03.00 release) 
  120. to make consistent with a related scanner, OFF!
  121. FILE_ID.DIZ file embedded with standard description.
  122.  
  123. Virus characteristics:
  124. ======================
  125. These characteristics were determined by actually examining the viral code, and 
  126. not by trial and error logging of changes to a system.
  127.  
  128. The ASeXual V0.99 virus is related to the Oƒƒspring series of viruses.  It is 
  129. produced by the same author(s).  It is not known which virus is older, although 
  130. the higher complexity of the ASeXual V0.99 (as well as the version number), 
  131. would lead to the assumption that it is newer.
  132.  
  133. Infected file date and times will remain unchanged.  In the case of .COM stubs 
  134. for .EXE files, the information will be the same as for the .EXE file they are 
  135. stubbing, and the new .COM file will be hidden and readonly.  It does not 
  136. infect COMMAND.COM or 0 byte files.
  137.  
  138. Virus is self-encrypting, and uses a cycle of register changes for the 
  139. decryption code (so the non-encrypted code is not consistent).
  140.  
  141. The growth of an infected file will range from +1673 to +1929 bytes.  Each 
  142. sequential file infection increases the virus size by 1 byte until the max size 
  143. is reached, at which time the minimum size is used, and the process repeats.
  144.  
  145. Infections occur when programs are run, and 5 files will be infected (if you 
  146. run 5 programs (whether they are infected or not), 25 new files will be 
  147. infected).  Note that some programs run others internally ("overlays"), and 
  148. these operations count as running a program as well.  Also, whenever a disk 
  149. change ("Drive Select") is issued, the same infection sequence is triggered.  
  150. Note that many programs will perform disk select operations while they run 
  151. (say, to figure out what drive letters you have in your computer), and so 
  152. running a single program can easily tigger dozens of infection processes.
  153.  
  154. The virus takes over the DOS critical error handler when it goes to infect a 
  155. series of files, so if you have a write protected floppy in the drive, you will 
  156. not get an error message from DOS.  Read-only files and hidden files are not 
  157. safe from the virus.
  158.  
  159. There are two special filenames in the program, and both appear to be 
  160. anti-viral data files:
  161.  
  162.     CHKLIST.*
  163.     ANTI-VIR.DAT
  164.  
  165. Any time a program is run, the directory where the program is located is 
  166. checked for these two filespecs, and if they are found, they are made into 0 
  167. length files and deleted.  It does not matter if they are hidden or readonly.
  168.  
  169. If the date is the 2nd day of any month, the virus message ("ASeXual Virus 
  170. V0.99 - Your computer has been artificially Phucked!") will be displayed to the 
  171. screen (via a DOS call -- which means that if the output of the infected 
  172. program was being redirected, you will not actually see the message), and if 
  173. you have a printer online, the screen will be repeatedly dumped to the printer.  
  174. There will be a beep between each attempted screen dump to printer, and a short 
  175. delay.  The process will repeat (the virus text will not be redisplayed).  The 
  176. keyboard LEDs will be flashing during this period, and any attempt to reboot 
  177. will fail, since the keyboard data is being manipulated by the virus.  Because 
  178. there have not been reports of this virus in past months, it is probably safe 
  179. to infer that the virus is only about a month old as of this writing.
  180.  
  181. The virus appears to have bugs in it which cause it to lock up the computer 
  182. when certain infected programs are run.  The .EXE stubs also do not work under 
  183. many conditions.  It will also re-infect the .EXE stubs as if they were normal 
  184. .COM files, since they fail the internal check for infection that the virus 
  185. performs on a file.
  186.  
  187. The first time it is run within a system, it will load itself resident, 
  188. latching into the DOS INT 21h vector, waiting for programs to be run, and for 
  189. the current disk to be changed.
  190.  
  191.  
  192.  
  193.  
  194. Thanks to the system operators at ExecNet Information Systems (they run the 
  195. ExecNet multi-line BBS) for originally isolating this virus, and providing me 
  196. with an infected file to create this fix.  The ExecNet BBS is reachable at 
  197. (914) 667-4567 (modem), and is a distribution site for this program.
  198.  
  199.  
  200. While this program is FREE, the author wouldn't turn down donations from anyone 
  201. who feels inclined to send him money for his work -- especially those who find 
  202. that this utility recovered their files from the virus.  A number of hours went 
  203. into reverse-engineering the virus and developing a fix (and testing it), yet 
  204. the author did not develop this program out of a need to remove the virus from 
  205. his own equipment, which was never infected to begin with.  If you feel like 
  206. sending a donation for my work, please make the cheque or money order (drafted 
  207. on a U.S. bank) payable to: "Sean B. Straw", and send it to the address below.  
  208. $5 to $10 is suggested IF YOU FEEL LIKE PAYING FOR THIS PROGRAM.  You don't 
  209. have to.
  210.  
  211. Note that "FREE distribution" implies that you should not have paid ANYTHING to 
  212. anyone to get this program -- by the time a shareware diskette house gets this 
  213. program into production on floppies, McAfees SCAN and CLEAN programs should 
  214. have been updated with support for this virus.  If you paid anyone money for 
  215. this program (other than the author), demand your money back, and if you get 
  216. the line "The $5.99 you paid was for the diskette and duplication", I would 
  217. heartily suggest checking out getting or using a modem (if you already have 
  218. one) -- a cheap 2400 baud internal would cost you less to buy than 8-10 such 
  219. shareware disks, though I'd recommend at least a 9600 baud modem.  A modem will 
  220. open up a whole new world of computing to you.
  221.  
  222. While at this time I have no relationship with McAfee Associates, and they do 
  223. not support this program, they do have a fine line of software, including a 
  224. Virus scanner and disinfector.  Their BBS number is (408) 988-5190
  225.  
  226. And if you were hit by the virus, you might consider seeing to it that you have 
  227. an updated version of whatever anti-virus package you normally use -- or you 
  228. should go buy a package to suit your needs.
  229.  
  230.  
  231.  
  232. About the author:
  233. =================
  234.  
  235. Professional Software Engineering is a developer of system enhancement 
  236. utilities and a variety of anti-virus tools.  We also provide custom systems 
  237. programming services in assembler and C, and perform password recovery for 
  238. files in PKZIP files which have been encrypted.
  239.  
  240.  
  241. Professional Software Engineering
  242. Post Box 2395
  243. San Rafael, CA  94912-2395
  244. (415) 459-7401
  245.  
  246.