home *** CD-ROM | disk | FTP | other *** search
/ Black Box 4 / BlackBox.cdr / virusers / f_prot.arj / ANALYSE.DOC next >
Text File  |  1991-12-30  |  3KB  |  75 lines
  1.                         Heuristic analysis
  2.  
  3. Signature-based virus scanning is not the ultimate solution to the virus
  4. problem. If using an up-to-date scanner (or better yet, two scanners from
  5. different companies), one can be fairly certain that all known viruses
  6. will be detected.  The scanners may or may not detect new variants which
  7. have been created by modifying older viruses, but if a new virus is
  8. written entirely from scratch, it will probably not be detected by any
  9. existing virus signature.
  10.  
  11. The virus may be detected by a generic monitoring program when it
  12. activates - perhaps when trying to perform some suspicious action, such as
  13. reformatting the hard disk.  It may also be detected by a checksuming
  14. program, which detects changes to files or boot secors, after they have
  15. been infected.  Nevertheless, it is preferable to try to detect the
  16. presence of the virus without actually running a virus-infected program.
  17.  
  18. The heuristic (rule-based) analysis is still only in an experimental stage,
  19. but as the name implies it attempts to analyse programs, and reports any
  20. suspicious code which is found.  This is not flawless - some viruses cannot
  21. yet be detected in this way, and an occasional false alarm can be expected.
  22.  
  23. Several different messages may be produced when suspicious code is found
  24. in a program, some of which are nearly certain to indicate a virus
  25. infection, such as the following three messages:
  26.  
  27.     This program contains several features which
  28.     are normally only found in virus programs.
  29.     It is almost certainly virus-infected.
  30.  
  31.     This program contains a virus which stays resident
  32.     in memory when an infected program is run.
  33.  
  34.     This program contains a primitive virus,
  35.     which is located at the beginning of the file.
  36.  
  37. Other messages might indicate a virus infection, but occasionally they are
  38. just false alarms. The less serious messages include:
  39.  
  40.     This program moves itself to a different area
  41.     of memory using a method which is normally
  42.     only used by viruses.
  43.  
  44.     This is a self-modifying program, which may
  45.     indicate a self-encrypting virus or just
  46.     unusual code.
  47.  
  48. Finally there are a few messages which do not indicate a virus infection,
  49. only that something unusual has been found, such as:
  50.  
  51.     This file is packed using PKLITE, LZEXE or
  52.     a similar program.  It may have been infected
  53.     before it was packed, but this program is not
  54.     yet able to determine if this is the case.
  55.  
  56.     Some code has been added to the end of this
  57.     file, but it does not appear to be a virus.
  58.  
  59. As this method is still under development, a false positive might be
  60. expected occasionally, and all reports of this would be appreciated.
  61.  
  62. Currently the following programs are known to cause a false positive:
  63.  
  64. WORD.COM     (Microsoft Word)
  65. MP.EXE       (Microsoft Multiplan)
  66. CDES.EXE     (Clarion Designer)
  67. CEDT.EXE     (Clarion Editor)
  68. EP.EXE       (Norton/Symantec Erase Protect)
  69. MLS.COM      (Multilink Sentry)
  70. STUFFIT.COM
  71. STRINGS.COM
  72. BASIC.COM
  73. BASICA.COM
  74. XTPRO.COM
  75.