home *** CD-ROM | disk | FTP | other *** search

---

/ Experimental BBS Explossion 3 / Experimental BBS Explossion III.iso / virus / off_104.zip / OFF!.DOC

< prev

Wrap

Text File  |  1993-11-06  |  12KB  |  252 lines

---

1. OFF! v01.04.00 (06 NOV 1993) -- checks for & removes the Oƒƒspring V0.89 virus
2. Copyright (c) 1993, Professional Software Engineering
3. All Rights Reserved.
4.  
5. This program is for FREE distribution only.
6.  
7.  
8. A program to remove the Oƒƒspring V0.89 virus from files.  IT IS NOT INTENDED 
9. TO DETECT AND REMOVE OTHER VIRUSES -- ONLY THE "Oƒƒspring V0.89" VIRUS.  This 
10. program is very fast at what it does -- thousands of hard drive files can be 
11. scanned in a single minute.
12.  
13. Off! IS NOT A GENERAL PURPOSE VIRUS DETECTION/REPAIR UTILITY.
14.  
15. There is currently another program out called FindVirus (distributed as 
16. FINDV100.ZIP and FINDV110.ZIP as of this writing) which claims "may help in 
17. identifying a virus currently undetected by SCANV, Central Point, Off! and 
18. other scanners".  The reference to Off! appears to have been made in error, 
19. since the FindVirus program does not look for the "Oƒƒspring V0.89" virus, but 
20. a different variant -- the "ASeXual V0.99" virus (which NEUTER, another program 
21. by the author of Off!, will find and disinfect).
22.  
23. Off! first reports whether the virus is in memory or not.  If it is, the 
24. program will terminate with instructions on how to properly go about removing 
25. the virus  -- you run the risk of spreading the virus just by running programs!  
26. This program itself is immune to infection by the Oƒƒspring V0.89 virus.  If 
27. the system does not have the virus in memory, the program will then scan for 
28. all files in the given drive/directory specification and eradicate the virus 
29. whenever it is encountered.
30.  
31.  
32. Legal Disclaimer
33. ================
34. This program was produced and is provided FREE as a fix for a virus.  The 
35. author of this program makes no warranty that this program will fix your 
36. problem, nor that this program will recover any or all of your data.  It is 
37. possible that certain circumstances may cause this program to erase 
38. information.  In no event can the author be held liable for damages resulting 
39. from the use of this program.  Every effort has been made to positively 
40. identify a file as being infected with the virus before attempting to recover a 
41. file from the virus.
42.  
43.  
44. This file should have come to you inside a PKZIP archive with authentication 
45. that should have looked something like this:
46.  
47. -----------------------------------------------------------------------------
48.  
49. PKUNZIP (R)    FAST!    Extract Utility    Version 2.04g  02-01-93
50. Copr. 1989-1993 PKWARE Inc. All Rights Reserved. Registered version
51. PKUNZIP Reg. U.S. Pat. and Tm. Off.
52.  
53. ■ 80486 CPU detected.
54. ■ EMS version 4.00 detected.
55. ■ XMS version 3.00 detected.
56. ■ DPMI version 0.90 detected.
57.  
58. Searching ZIP: OFF!_104.ZIP
59.   Inflating: FILE_ID.DIZ   -AV
60.   Inflating: OFF!.COM      -AV
61.   Inflating: OFF!.DOC      -AV
62.  
63. Authentic files Verified!   # DQP160
64. Professional Software Engineering
65.  
66. -----------------------------------------------------------------------------
67.  
68. There should be only two files in the archive, and both should have the 
69. authentication information.  If not, check with the source you obtained this 
70. file from.
71.  
72.  
73. Parameters:
74. A drive or path on the commanline to indicate where to start scanning for the 
75. virus.  A dot "." represents the current directory.  All files will be checked, 
76. reguardless of assumed file type.  It will find and recurse into hidden 
77. directories as well.
78.  
79.  
80. Examples:
81. OFF! C:            Disinfects the entire C: drive.  Go boil a pot of tea
82.             while you wait, it may take awhile.
83. OFF! .            Disinfects all files in the current directory, and all
84.             directories underneath it.
85. OFF! D:\UTILS        Disinfects all files under the UTILS directory on D:
86.  
87.  
88. On exit, there will be a DOS errorlevel of 1 if the virus was encountered in 
89. memory, 2 if in a disk file, and 0 if the virus was not found.
90.  
91.  
92. Release history:
93. v01.00.03 (17 OCT 1993)
94. * Original public release.  Scans a single specified directory with a given 
95. filespec (such as *.*).  Does not perform directory recursion.  Completely 
96. recovers files from the virus.
97.  
98. v01.01.00 (19 OCT 1993)
99. * Improved speed, and added directory recursion.  The commandline syntax also 
100. differs.
101.  
102. v01.02.00 (19 OCT 1993)
103. * Corrected a problem in the display of the current directory being processed 
104. (an error in v01.01.00).  Was displaying the drive letter that was current when 
105. the program was run, rather than the one specified.  This had no effect on 
106. program operation.
107.  
108. v01.03.00 (24 OCT 1993)
109. * detection of Novell NetWare, adding special file handling to avoid problems 
110. with Transaction Tracking System (TTS) files which Novell won't let the program 
111. even look at without causing the program to be terminated by a network error.
112.  
113. * Output format to be easier to read with less clutter -- only files with 
114. viruses or which could not be processed are left on the screen, all others 
115. scroll by re-using the same line.
116.  
117. * It identifies the drive being scanned as a local drive (real hard disk or 
118. floppy drive), or as a network/remote drive (CD-ROM, actual network drive, and 
119. possibly some compressed hard drives).  Local drives don't incur the additional 
120. overhead of checking for the special Novell files even if Novell is detected as 
121. being present.
122.  
123. * Also noted the appearance of FINDV (v1.00 and v1.10) from ExecNet Information 
124. Systems.  The program makes reference to Off!, lifts text directly from the 
125. virus characteristics text below (verbatim), and doesn't even fix files -- it 
126. merely has the option of deleting them automatically.  Boy, you know you've 
127. arrived when people start copying stuff from your freeware.
128.  
129. * Updated the docs a bit.
130.  
131. v01.04.00 (06 NOV 1993)
132. * Found a problem in a derivative of this (NEUTER), and fixed it there, and
133. fixing it here too -- if the only infections are in .EXE stubs, the errorlevel 
134. is not reported properly.  Also added message display at program termination to 
135. indicate whether any viruses were found (in case the messages had scrolled off 
136. the top of the screen).
137.  
138.  
139.  
140. Virus characteristics:
141. ======================
142. These characteristics were determined by actually examining the viral code, and 
143. not by trial and error logging of changes to a system.
144.  
145.  
146. Infected file date and times will remain unchanged.  In the case of .COM stubs 
147. for .EXE files, the information will be the same as for the .EXE file they are 
148. stubbing, and the new .COM file will be hidden.  It does not infect COMMAND.COM 
149. or 0 byte files.
150.  
151. Virus is self-encrypting, and uses a cycle of register changes for the 
152. decryption code (so the non-encrypted code is not consistent).
153.  
154. The growth of an infected file will range from +1395 to +1495 bytes.
155.  
156. Infections occur when programs are run, and 5 files will be infected (if you 
157. run 5 programs (whether they are infected or not), 25 new files will be 
158. infected).  Note that some programs run others internally ("overlays"), and 
159. these operations count as running a program as well.
160.  
161. The virus takes over the DOS critical error handler when it goes to infect a 
162. series of files, so if you have a write protected floppy in the drive, you will 
163. not get an error message from DOS.  Read-only files and hidden files are not 
164. safe from the virus.
165.  
166. There are two special filenames in the program, and both appear to be 
167. anti-viral data files:
168.  
169.     CHKLIST.*
170.     ANTI-VIR.DAT
171.  
172. Any time a program is run, the directory where the program is located is 
173. checked for these two filespecs, and if they are found, they are made into 0 
174. length files and deleted.  It does not matter if they are hidden or readonly.
175.  
176. From initial inspection, if the date is the 9th day of any month, the virus 
177. message ("Oƒƒspring V0.89 virus") will be displayed to the screen (via a DOS 
178. call -- which means that if the output of the infected program was being 
179. redirected, you will not actually see the message), and if you have a printer 
180. online, the screen will be repeatedly dumped to the printer.  There will be a 
181. beep between each attempted screen dump to printer, and a short delay.  The 
182. process will repeat (the virus text will not be redisplayed).  The keyboard 
183. LEDs will be flashing during this period, and any attempt to reboot will fail, 
184. since the keyboard data is being manipulated by the virus.  Because there have 
185. not been reports of this virus in past months, it is probably safe to infer 
186. that the virus is only about a month old as of this writing.
187.  
188. The first time it is run within a system, it will load itself resident, 
189. latching into the DOS INT 21h vector, waiting for programs to be run.
190.  
191.  
192.  
193.  
194. Thanks to Al Kalian, Sysop of Palladin in Marin County, California for 
195. discovering this virus locally during his standard check of files before 
196. posting for users to download -- because of his dilligence, this virus might be 
197. erradicated before it spreads far.  Thanks also for his fine recommendations 
198. for and testing of the OFF! program, especially recent testing of Network 
199. compatibility.
200.  
201. Also, thanks to Thomas Tuerke, Sysop of GravesEnd in Cotati, California for his 
202. help in directing me to the proper reference for a function to truncate a file 
203. (Mr. Tuerke is the author of a 1701 virus disinfection utility).
204.  
205.  
206. While this program is FREE, the author wouldn't turn down donations from anyone 
207. who feels inclined to send him money for his work -- especially those who find 
208. that this utility recovered their files from the virus.  A number of hours went 
209. into reverse-engineering the virus and developing a fix (and testing it), yet 
210. the author did not develop this program out of a need to remove the virus from 
211. his own equipment, which was never infected to begin with.  If you feel like 
212. sending a donation for my work, please make the cheque or money order (drafted 
213. on a U.S. bank) payable to: "Sean B. Straw", and send it to the address below.  
214. $5 to $10 is suggested IF YOU FEEL LIKE PAYING FOR THIS PROGRAM.  You don't 
215. have to.
216.  
217. Note that "FREE distribution" implies that you should not have paid ANYTHING to 
218. anyone to get this program -- by the time a shareware diskette house gets this 
219. program into production on floppies, McAfees SCAN and CLEAN programs should 
220. have been updated with support for this virus.  If you paid anyone money for 
221. this program (other than the author), demand your money back, and if you get 
222. the line "The $5.99 you paid was for the diskette and duplication", I would 
223. heartily suggest checking out getting or using a modem (if you already have 
224. one) -- a cheap 2400 baud internal would cost you less to buy than 8-10 such 
225. shareware disks, though I'd recommend at least a 9600 baud modem.  A modem will 
226. open up a whole new world of computing to you.
227.  
228. While at this time I have no relationship with McAfee Associates, and they do 
229. not support this program, they do have a fine line of software, including a 
230. Virus scanner and disinfector.  Their BBS number is (408) 988-5190
231.  
232. And if you were hit by the virus, you might consider seeing to it that you have 
233. an updated version of whatever anti-virus package you normally use -- or you 
234. should go buy a package to suit your needs.
235.  
236.  
237.  
238. About the author:
239. =================
240.  
241. Professional Software Engineering is a developer of system enhancement 
242. utilities and a variety of anti-virus tools.  We also provide custom systems 
243. programming services in assembler and C, and perform password recovery for 
244. files in PKZIP files which have been encrypted.
245.  
246.  
247. Professional Software Engineering
248. Post Box 2395
249. San Rafael, CA  94912-2395
250. (415) 459-7401
251.  
252.