home *** CD-ROM | disk | FTP | other *** search
/ Atari Mega Archive 1 / Atari Mega Archive - Volume 1.iso / utils / virus / peneciln.arc / VIRUS.DOC < prev   
Encoding:
Text File  |  1988-03-26  |  5.6 KB  |  117 lines
  1. A virus type program has been detected on ST disks circulating in
  2. Europe. So far, I have heard no reports of one in the USA. However,
  3. I am certain it is merely a matter of time before it happens.
  4.  
  5. The one reported is written into the boot sector of a disk, then
  6. hooks itself into the ST's operating system. Each time a new disk
  7. is inserted in the system, and the ST does a media change check, the
  8. virus checks the floppy to see if it contains the virus in the boot sector.
  9. If not, it writes the virus on the floppy. If it does, it leaves the floppy
  10. alone. After some number of media change calls, the virus trashes the
  11. directory and FATs of the disks in the system, wiping out anything on
  12. the disks. I haven't heard about it hitting any hard disks yet.
  13.  
  14. The boot sector of an ST disk contains disk configuration information
  15. (sides on disk, tracks, sectors per track, FAT size, etc.) which can,
  16. and frequently does, vary from disk to disk. It also contains a serial
  17. number which must vary from disk to disk, or you get deep trouble when
  18. changing disks (GEMDOS won't know the disk changed).
  19.  
  20. But, that all fits in a small portion of the boot sector, within the
  21. first 30 bytes.
  22.  
  23. Many format program leave all sorts of junk in the buffer they use to
  24. write the boot sector (including the desktop). While this will also
  25. vary, it is not harmful.
  26.  
  27. When should a disk contain an executable boot? Only if
  28.  
  29. 1) It is designed to be a self booting disk (some games, commercial
  30.    software, alternate operating systems, etc.)
  31.  
  32. 2) You have specifically placed a self-boot program on the disk (such 
  33.    as a clock setter, RAMdisk loader, etc.)
  34.  
  35. Note that hard disk autoboot programs vary from supplier to supplier,
  36. but generally do not expect any kind of boot code on a floppy. If your
  37. hard disk boot does not care what disk is in the floppy drive, then
  38. it doesn't need an executable boot on the floppy.
  39.  
  40. No other disk should contain self-booting code unless you are still
  41. running with TOS in RAM (Is anyone really still doing this?).
  42.  
  43. The only other way I can think of a virus getting into an ST is in an
  44. /AUTO folder program. If you have something in your /AUTO folder which
  45. is spreading a virus, you are out of luck. 
  46.  
  47. If a disk is MS-DOS compatible, it must contain certain MS-DOS data
  48. to be useable, and the statements above do not apply.
  49.  
  50. With that in mind, I whipped up this disk sterilizer, which I named
  51. (with tounge only slightly in cheek) PENICILN (Yes, I know that's not spelled
  52. correctly, but you only get eight bytes :^> ). It will kill any kind of
  53. virus I can imagine, and anything else in the boot sector. It reads the 
  54. boot sector, saves the disk serial number and configuration information,
  55. wipes the rest of the boot sector clean, replaces the saved data, forces
  56. a non-executable checksum, and re-writes the boot sector.
  57.  
  58. *** WARNING ***
  59.  
  60. This program is the equivalent of blind, deaf, and dumb flame thrower
  61. approach to virus killing. It WILL kill anything in a boot sector. If you
  62. use it on a disk which must contain a boot (games, etc. mentioned above)
  63. you will destroy the disk. I therefore disclaim any responsibility for
  64. the results of the use of this program. 
  65.  
  66. The program is specified as a .TTP, so you can run it from a shell or the
  67. desktop. It expects the input on the command line. It accepts an option of
  68. "-m" to write an MS-DOS boot sector, or an option of "-k" to become keyboard
  69. driven. Otherwise, it expects either "a" or "b" to name which floppy to use.
  70. If you enter the drive name only (a or b), it will clean the boot sector on
  71. the named drive and exit. If you specify -m, it writes an MS-DOS boot sector
  72. on the named drive. If you enter -k, it enters a loop. Each time you press
  73. "a" or "b", it will clean the disk in that drive. Any other keypress will
  74. exit.
  75.  
  76. Note that this program will not alter anything other than the boot sector,
  77. so any files or programs on the disk are safe and unaltered, regardless of
  78. how the disk is formatted.
  79.  
  80. This program is designed specifically to thwart a virus. It forces a 
  81. read of the disk prior to clearing the boot sector, so if the virus has
  82. infected your system, it will write itself to the floppy first. Then, 
  83. this program promptly wipes out the virus by clearing the boot sector.
  84.  
  85. If you have any reason to suspect that your system has the virus, take
  86. the following steps:
  87.  
  88. 1) Insert a blank (but formatted) disk into drive A.
  89. 2) Run this program.
  90. 3) Immediately power off your system before doing anything else.
  91. 4) Wait 15 seconds, then power on you system, with the same disk 
  92.    still in drive A.
  93. 5) Run this program on every disk you own which does not have to be
  94.    self booting.
  95.  
  96. This sequence of steps first gets you a certain virus free disk to boot from.
  97. Then, by powering off your system, you insure that the virus is not present
  98. in your system's memory. Then, running the virus killer will eliminate
  99. any copies of the virus on the rest of your disks.
  100.  
  101. Since I take this virus situation seriously, I am including the source
  102. for the program so anyone can see exactly what it does before running it.
  103. I also encourage everyone to distribute the program, with this accompanying
  104. explanation, as widely and as quickly as possible. 
  105.  
  106. Nothing like a shot of "peniciln" to keep a virus from spreading :^)
  107.  
  108. If anyone locates a virus disk, please send me a copy. I will disect the
  109. virus, document what it does, and provide any necessary tools to kill it.
  110.  
  111.      George R. Woodside             Compuserve  76537,1342 
  112.      5219 San Feliciano Dr.         GEnie       G.WOODSIDE
  113.      Woodland Hills, Ca. 91364 
  114.  
  115.      USENET: ..!{trwrb|philabs|csun|psivax}!ttidca!woodside
  116.  
  117.