home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / v06i152.txt < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  44.5 KB

  1. To:       VIRUS-L@LEHIGH.EDU
  2. Subject:   VIRUS-L Digest V6 #152
  3. --------
  4. VIRUS-L Digest   Wednesday,  1 Dec 1993    Volume 6 : Issue 152
  5.  
  6. Today's Topics:
  7.  
  8. Virus Myths 10th Edition
  9. Re: Freeware distribution of anti-virus software
  10. Book information request.
  11. Re: Tales about viri
  12. Re: Virus at an atomic power station
  13. Re: Automated virus scan every n days ? (PC)
  14. WinSleuth? (PC)
  15. Re: Once a week batch file (PC)
  16. Re: Sorry, I need more RAM memory (PC)
  17. Automated Virus Scan Every n Days - Remindme.zip (PC)
  18. Re: Commercial Virus Scanners in the dark??? (PC)
  19. Re: Removing Boot Sector Virus from Floppies (PC)
  20. Form Virus + WinNT 3.1 (PC)
  21. Re: Commercial Virus Scanners in the dark??? (PC)
  22. Automated virus scanning (PC)
  23. Re: Full version of AVP 1.07 available (PC)
  24. Re: Horror of Horrors! (PC)
  25. Re: Problems with Anti-Tel (A-Vir) (PC)
  26. Re: Removing the Moctezuma virus (PC)
  27. WinNT + Dos 6.0 + Form VIRUS!! (PC)
  28. Strange Behavoiur of F-PROT, possible boot sector virus? (PC)
  29. Thunderbyte's reply about danger of TbClean (PC)
  30. 'D3' virus (PC).
  31. prevent programs (PC)
  32. Re: Save all you can (CVP)
  33. Getting Resources (CVP)
  34.  
  35. VIRUS-L is a moderated, digested mail forum for discussing computer
  36. virus issues; comp.virus is a gatewayed and non-digested USENET
  37. counterpart.  Discussions are not limited to any one hardware/software
  38. platform - diversity is welcomed.  Contributions should be relevant,
  39. concise, polite, etc.  (The complete set of posting guidelines is
  40. available by FTP on CERT.org or upon request.)  Please sign submissions
  41. with your real name; anonymous postings will not be accepted.
  42. Information on accessing anti-virus, documentation, and back-issue
  43. archives is distributed periodically on the list.  A FAQ (Frequently
  44. Asked Questions) document and all of the back-issues are available by
  45. anonymous FTP on CERT.org (192.88.209.5).
  46.  
  47. Administrative mail (e.g., comments, suggestions, beer recipes)
  48. should be sent to me at: krvw@ASSIST.IMS.DISA.MIL.
  49.  
  50. All submissions should be sent to: VIRUS-L@Lehigh.edu.
  51.  
  52.    Ken van Wyk
  53.  
  54. ----------------------------------------------------------------------
  55.  
  56. Date:    Tue, 23 Nov 93 11:52:04 -0500
  57. From:    "Mark J. Miller" <mjm@tardis.svsu.edu>
  58. Subject: Virus Myths 10th Edition
  59.  
  60. I've recently uploaded the 10th edition (4-Oct-93) of Computer Virus Myths
  61. by Rob Rosenberger & Ross M. Greenburg to the SIMTEL 20 archives & its
  62. primary mirror at OAK.OAKLAND.EDU.  This document explains some of the
  63. more common misconceptions about viruses & what they can/cannot do.
  64.  
  65. The file at OAKLAND is pub/msdos/virus/mythsv10.zip (PKWARE 2.04g).
  66.  
  67. The file was uploaded by permission of the authors.
  68.  
  69. Mark J. Miller
  70. Instructional Computing Programmer/Analyst
  71. Saginaw Valley State University
  72. mjm@tardis.svsu.edu
  73.  
  74. ------------------------------
  75.  
  76. Date:    Tue, 23 Nov 93 18:35:01 -0500
  77. From:    "R. Wallace Hale" <halew@jupiter.sun.csd.unb.ca>
  78. Subject: Re: Freeware distribution of anti-virus software
  79.  
  80. Kristian A. Bognaes (Norman Data Defense Systems) wrote:
  81.  
  82. >I am a supporter of the freeware and shareware principles, and have 
  83. >both written and supported applications on a "please support" basis.
  84.  
  85. A friend in Gvarv frequently mentions both your firm and product,
  86. but I got the impression that there was little interest in the BBS
  87. and shareware world.
  88.  
  89. >Still, I have a concern regarding this method of distribution when it 
  90. >comes to anti-virus protection software: - 
  91.  
  92. It seems to be working quite well for Frisk et al... 
  93.  
  94. >I never made any money either, although the software is in use by many).
  95.  
  96. Neither did I. <grin>
  97.  
  98.   R. Wallace Hale        "Thinking is the hardest work there is,
  99.   halew@nbnet.nb.ca      which is the probable reason why so few
  100.   BBS (506) 325-9002     engage in it."  -  Henry Ford
  101.  
  102. ------------------------------
  103.  
  104. Date:    Wed, 24 Nov 93 05:00:23 -0500
  105. From:    d.phillips@open.ac.uk (Dave Phillips)
  106. Subject: Book information request.
  107.  
  108. I have been speaking with Kev HARRIS@lib.swbts.edu about info on viruses and 
  109. how they work and I told him about a new book I have got hold of.  He 
  110. requested more info on it and suggested I post the info to the bulletin board.
  111.  
  112. So heres the info.
  113.  
  114. Book;   The Survivors Guide To Computer Viruses
  115.                 Edited by Victoria Lammer
  116.  
  117. isbn no  0-9522114-0-8
  118.  
  119. Its a book that brings together core info from previous editions of "Virus 
  120. Bulletin"
  121. Its the first edition release in september 93 and can be obtained from Virus 
  122. Bulletin Ltd in the UK
  123.  
  124. Email address for more info is VIRUSBTN@VAX.OX.AC.UK
  125.  
  126. I,m reading the book at present and find the info inside to be interesting 
  127. and informative. ( This is IMHO)
  128.  
  129. Regards
  130.  
  131. ------------------------------
  132.  
  133. Date:    Wed, 24 Nov 93 08:50:30 -0500
  134. From:    ganino@jumbo.Read.TASC.COM (James S. Ganino)
  135. Subject: Re: Tales about viri
  136.  
  137. >
  138. > Hi, this is JJ Merelo, from Granada, Spain. I gotta give a short talk
  139. > to non-techie users, and would like to add some spicy stories about
  140. > funny mistakes about viri/outright catastrophes caused by them/and any
  141. > other anecdote that may make some laughs (or some Oooohs) in a
  142. > conference.
  143. >
  144.  
  145.      For Oooohs, Aaaahs, and Laughs, I have found Pamela Kane's book,
  146. V.I.R.U.S Protection:  Vital Information Resources Under Siege, to be a
  147. treasure trove.  It is four years old, but it is still fun reading.
  148. If you wish, you can try to contact her directly; the latest e-mail
  149. address I have for her is pskane@dockmaster.ncsc.mil.
  150.  
  151. - --
  152. James S. Ganino
  153. TASC
  154. 55 Walkers Brook Drive
  155. Reading, MA 01867
  156.  
  157. ------------------------------
  158.  
  159. Date:    Wed, 24 Nov 93 14:37:17 +0000
  160. From:    pdb@cdc.demon.co.uk (Peter Burnett)
  161. Subject: Re: Virus at an atomic power station
  162.  
  163. A.APPLEYARD@fs1.mt.umist.ac.uk writes:
  164.  
  165. >  On Ceefax (text info transmitted via BBC TV 1 (a British TV channel) on
  166. >evening of Wed. 10 Nov 1993:-
  167.  
  168. >  VIRUS: A computer virus sparked a safety scare at Sizewell B nuclear power
  169. >station, the latest Computer Weekly says. A man was later sacked for
  170. >introducing unauthorized software.
  171.  
  172. Well, the procedures that they have at SizeWell B Power Station
  173. failed as on ALL security gates at the station, there is a BIG blue 
  174. sign saying that all PC based disks MUST be checked for virus's before 
  175. being allowed onto the site and it provides a phone number that anyone
  176. can call for assistance. Most equipment is searched prior to allowance 
  177. on the site ( I am a recent vistor as a contractor to the site ), 
  178. allthough I must say, when I went onto the site, I had PC disks with
  179. me, but was never asked about them nor did I offer them up for
  180. site inspection either.
  181.  
  182. In one respect, there own procedures and other things failed. Signs,
  183. personell and associated items DID not work. Whatever procedures you
  184. have, if they fail to be implemented, then the barriers are useless.
  185.  
  186. Peter.
  187.  
  188. - --
  189.   +----------------------------------------------------------------+
  190.   | Peter Burnett            Post Design Services Software Support |
  191.   +----------------------------------------------------------------+
  192.  
  193. ------------------------------
  194.  
  195. Date:    Tue, 23 Nov 93 11:07:18 -0500
  196. From:    fguidry@crl.com (Fran Guidry)
  197. Subject: Re: Automated virus scan every n days ? (PC)
  198.  
  199. lubberland@unh.edu <k_ford@unhh.unh.edu> wrote:
  200. >conn0060@maroon.tc.umn.edu (Michael F Conners-1) writes...
  201. >>>FPROT on my system. What I am looking for is a program/autoexec code
  202. >>>that will execute F-PROT and SCAN only once on say Thursday and then ignore
  203.  
  204. [ stuff deleted ]
  205.  
  206. >>I am also looking for a way to do this.  My e-mail address is 
  207. >
  208. >No, no! Put it on the net, please!
  209. >
  210.  
  211. Is this a FAQable item?  I have a terrific program by Yossi Gil
  212. called EVERY.COM, which provides very powerful and testing for
  213. time periods.  For instance, the program supports commands like
  214.  
  215. every week run.exe
  216. every month run.exe
  217. every year run.exe
  218.  
  219. as well as
  220.  
  221. every thursday run.exe
  222.  
  223. The doc gives no indication of licensing fees, so I'm
  224. assuming the program is freeware.
  225.  
  226. I have just checked and the file is available on oak.oakland.edu
  227. in pub/msdos/batutl/every15.zip.
  228.  
  229. Fran
  230.  
  231. ------------------------------
  232.  
  233. Date:    Tue, 23 Nov 93 11:14:25 -0500
  234. From:    Fabio Esquivel <FESQUIVE@ucrvm2.bitnet>
  235. Subject: WinSleuth? (PC)
  236.  
  237. Does anybody have any experience with the Win Sleuth antivirus?
  238. Where is it from?  Is it good?
  239.  
  240. Someone here says it identifies the Kamikaze and OM-97 viruses in the
  241. same PC, though F-Prot just finds Kamikaze.
  242.  
  243. Any answer will be greatly appreciated,
  244. DATA SEGMENT PARA PUBLIC
  245.      name DB 'Fabio Esquivel'            ;  C:\> dir a:
  246.    bitnet DB 'fesquive@ucrvm2.bitnet'    ;  Virus found in drive A:
  247.  internet DB 'fesquive@ucrvm2.ucr.ac.cr' ;  Install, Kill, Panic?_
  248. DATA ENDS
  249.  
  250. ------------------------------
  251.  
  252. Date:    Tue, 23 Nov 93 13:00:34 -0500
  253. From:    tdavis@shuttle.cc.umr.edu
  254. Subject: Re: Once a week batch file (PC)
  255.  
  256. There have been several recent postings on the subject of running AV programs
  257. at boot on specific days.  There have also been similar messages on CIS.
  258.  
  259. Legare Coleman posted a batch file solution on CIS that works with the more
  260. recent DOS versions - those allowing CALL.  (COMMAND /c does not work.)
  261.  
  262. I have modified his solution to eliminate the need to prepare a second batch
  263. file in advance, and to have the code clean up completely after itself.
  264.  
  265. Inclusion of these line in AUTOEXEC.BAT will CALL a batch file named
  266. AVBATCH.BAT at (every) bootup on every Tuesday.  Users will need to supply the
  267. AVBATCH file.  This code is easily modified for any day of the week, or
  268. specific fully qualified date.
  269.  
  270. - -----------------------------cut here----------------------------------------
  271.  
  272.   echo set dow=%%3>  current.bat
  273.   echo. | date > getdate.bat
  274.   call getdate
  275.   del getdate.bat
  276.   del current.bat
  277.   if "%dow%" == "Tue" call avbatch
  278.   set dow=
  279.  
  280. - -----------------------------cut here----------------------------------------
  281.  
  282. Things to watch out for:
  283.         %%3> must be exactly as shown, with 2 '%'s and no space between '3'
  284.         and '>'.  If the day of the week is not the 4th item in the top line
  285.         of the date display, adjust the '3' accordingly.
  286.         'current' must be the first word in the top line of the date display.
  287.         If not, substitute whatever is there.
  288.         'echo.' is whatever is required to echo a CR to the pipe.
  289.         The 'if' test must match the day name wanted, with no extraious
  290.         spaces.
  291.         The last line has no spaces following the '='.
  292.  
  293. This works because the date text is written to a batch file, the first word of
  294. which is a valid command (because we made a batch file with that name).  When
  295. GETDATE is called it jumps to CURRENT.BAT, passing it the rest of the top line
  296. of the date response as arguments.  CURRENT.BAT then places the 3rd argument
  297. into the environment, where it can be retrieved when CURRENT.BAT terminates
  298. and the CALL returns.
  299.  
  300. T.E.D.   (tdavis@shuttle.cc.umr.edu)
  301.  
  302. ------------------------------
  303.  
  304. Date:    Tue, 23 Nov 93 13:24:33 -0500
  305. From:    mcafee@netcom.com (McAfee Associates)
  306. Subject: Re: Sorry, I need more RAM memory (PC)
  307.  
  308. Good morning Bill,
  309.  
  310. vfreak@aol.com writes:
  311. >From:    byng@solomon.technet.sg (Ng Bee Yong)
  312. [...deleted...]
  313.  
  314. >Yes: this is a known bug in Scan 108. It is caused by using the /A
  315.  
  316. Wrong.  This was a known bug in Version 107 and was fixed in Version
  317. 108.  The current release is Version 109.
  318.  
  319. >parameter to scan all files. This bug happens after scanning
  320. >approximately 1,000 files.  Stop using the /A parameter, and tyhe bug
  321.  
  322. The nature of the bug in Version 107 was that SCAN would allocate
  323. memory to uncompress PKLITE and LZEXE files in and then fail to deallocate
  324. the memory if SCAN did not scan a compressed file before changing to
  325. another directory.  SCAN would then run out of buffer space to read other
  326. files into, report that it required more memory, and return to the DOS
  327. prompt.
  328.  
  329. >will stop occuring.
  330. >Bill lambdin
  331.  
  332. Aryeh Goretsky
  333. McAfee Associates Technical Support
  334.  
  335. - -- 
  336. - - - - - - -  Please send your reply, if any, to Aryeh@McAfee.COM  - - - - - -
  337. McAfee Associates, Inc.  | Voice (408) 988-3832 | INTERNET: mcafee@netcom.com
  338. 2710 Walsh Ave, 2nd Floor| FAX   (408) 970-9727 |  or try: support@mcafee.com
  339. Santa Clara, California  | BBS   (408) 988-4004 | CompuServe ID: 76702,1714
  340. 95051-0963  USA          | USR HST Courier DS   |  or GO MCAFEE
  341. Support for SENTRY/SCAN/VSHIELD/CLEAN/WSCAN/NETSHLD/TARGET/CONFIG MGR/PROVIEW
  342.  
  343. ------------------------------
  344.  
  345. Date:    Tue, 23 Nov 93 13:58:58 -0500
  346. From:    dbs4331@zeus.tamu.edu (Dan Sline)
  347. Subject: Automated Virus Scan Every n Days - Remindme.zip (PC)
  348.  
  349.     As I had mentioned earlier I have been developing a program to Scan
  350. every "N" days.  The beta is available to anyone who would like me to send it
  351. to you in uuencoded format.  
  352.  
  353.     The program is not restricted to scanning for viruses using one
  354. particular program.  Instead, it can automate several other tasks for you (like
  355. backing up your system).  
  356.  
  357.     If you would like a copy, or have an ftp site I could put the program
  358. on, please send me email (Sliner@tamu.edu), and I will send a copy to you.    
  359.  
  360. Thank you in advance,
  361.  
  362. Dan Sline
  363.  
  364. Bitnet:     DBS4331@tamvenus  sliner@drycas (secondary address)
  365. Internet:   sliner@tamu.edu sliner@drycas.club.cc.cmu.edu
  366. Compuserve: 71161,1455
  367. voicenet:  409-693-8730
  368. mailnet:   304 Kyle   College Station, TX 77840
  369. The opinions expressed above are my own, and are not those of my employer.
  370.  
  371. ------------------------------
  372.  
  373. Date:    Tue, 23 Nov 93 14:26:31 -0500
  374. From:    datadec@ucrengr.ucr.edu (kevin marcus)
  375. Subject: Re: Commercial Virus Scanners in the dark??? (PC)
  376.  
  377. Vesselin Bontchev <bontchev@fbihh.informatik.uni-hamburg.de> wrote:
  378. >kevin marcus (datadec@ucrengr.ucr.edu) writes:
  379. >> >>  I was a virus author, but decided that it was boring because, well, 
  380. >> >
  381. >> >Agreed, it is.
  382. >
  383. >> Er...?  How do you know if it is or isn't until you've done it?
  384. >
  385. >I am using my brains to figure it out. Don't you?
  386.  
  387. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
  388.  
  389. >> >stuff. I've heard that it has been so successful, that once it has
  390. >> >detected the decryption routine used by some anti-virus product to
  391. >> >decrypt its scan strings, which has caused false positives... :-)
  392. >
  393. >> I wouldn't call anything that gets false positives, "so successful".
  394. >
  395. >Maybe you shouldn't judge something that you don't know. But, of
  396.  
  397. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
  398.  
  399. Did I miss somethig here?  Sometimes you are allowed to use your brain
  400. to figure out something, and other times you're not allowed to?
  401.  
  402. If I use my brain here, I would say there is a contradiction.  
  403.  
  404. BTW, do you have more than one brain?
  405.  
  406. - -- 
  407.   -- Kevin Marcus:   datadec@ucrengr.ucr.edu,  tck@bend.ucsd.edu
  408.   CSLD Room Monitor, Thurs 10-12p, Sunday  5-10p (909)/787-2842.
  409.   Computer Science,  University of California, Riverside.
  410.  
  411. ------------------------------
  412.  
  413. Date:    Tue, 23 Nov 93 14:30:03 -0500
  414. From:    datadec@ucrengr.ucr.edu (kevin marcus)
  415. Subject: Re: Removing Boot Sector Virus from Floppies (PC)
  416.  
  417. Vesselin Bontchev <bontchev@fbihh.informatik.uni-hamburg.de> wrote:
  418. >kevin marcus (datadec@ucrengr.ucr.edu) writes:
  419. >
  420. >> >The operations mentioned above -do- access the boot sector. DOS needs
  421. >> >to read the BIOS Parameter Block from it, in order to figure out the
  422. >> >parameters of the floppy (size, location of the root directory, etc.).
  423. >
  424. >> Er... While true, keep in mind that this is treated as data, and not
  425. >> code - it is not executed. 
  426. >
  427. >I obviously know that, because I have emphasized it several times
  428. >here. Which part of my message lead you to believe that I don't?
  429.  
  430. Well, I was pointing it out for two reasons --
  431.  
  432. 1) Because the readers of virus-l/comp.virus don't know (they have to 
  433. guess) who the self-appointed experts are, in comparison with the real
  434. virus researchers, so hearing it from more than one source would probably
  435. be a reassuring point for them.
  436.  
  437. 2) I was just making it clear in that particular comment block - 
  438. because it wasn't.
  439. The part up top there with the ">> >" in front of it.
  440.  
  441. - -- 
  442.   -- Kevin Marcus:   datadec@ucrengr.ucr.edu,  tck@bend.ucsd.edu
  443.   CSLD Room Monitor, Thurs 10-12p, Sunday  5-10p (909)/787-2842.
  444.   Computer Science,  University of California, Riverside.
  445.  
  446. ------------------------------
  447.  
  448. Date:    Tue, 23 Nov 93 18:41:56 -0500
  449. From:    lestat@pearl.ctt.bellcore.com (David Gonzalez)
  450. Subject: Form Virus + WinNT 3.1 (PC)
  451.  
  452. Hello:
  453.     I have just discovered that our WinNT PC is infected
  454. with the Form virus. This is a Boot Sector virus and seems
  455. to run only under the MS-DOS setup, not the WinNT setup.
  456.  
  457.     How can I get rid of it? I know how to do it in a 
  458. plain MS-DOS machine, but this one is running both options,
  459. it has the NT-Loader that asks whether I want MS-DOS or
  460. WinNT loaded.
  461.     I assume that doing sys C: just won't do it....
  462.  
  463.     How can I create a new Recovery Disk, the current one
  464. is (as you may have guessed) infected by the Form virus...
  465.  
  466. - -- 
  467. - ---------------------------------------------------
  468. David Gonzalez        lestat@ctt.bellcore.com (Work)
  469. Bellcore        dg4s@andrew.cmu.edu    (Grad School)
  470. RRC 1-J214        lestat@rmece02.upr.clu.edu (UnderGrad School)
  471. 444 Hoes Lane
  472. Piscataway, NJ 08854
  473.  
  474. ------------------------------
  475.  
  476. Date:    Tue, 23 Nov 93 18:48:59 -0500
  477. From:    "R. Wallace Hale" <halew@jupiter.sun.csd.unb.ca>
  478. Subject: Re: Commercial Virus Scanners in the dark??? (PC)
  479.  
  480. >> and one person (Rock Steady) developed a virus called "Varicella" 
  481. >
  482. >However, TbScan was not able to detect the virus in the first place,
  483. >so few people would have the idea to run TbClean on an infected file -
  484.  
  485. If I may quibble a bit, both versions 6.04 and 6.05 of TBScan 
  486. detected the specimen of Varicella that I have, and the relevant
  487. versions of TBClean did allow the virus to become active...
  488.  
  489. >However, I agree with you that that particular version of
  490. >TbClean was dangerously buggy. The bug has been fixed, however, since
  491. >a long time.
  492.  
  493. Two months (or thereabouts) is a long time? <grin>
  494.  
  495.   R. Wallace Hale        "Thinking is the hardest work there is,
  496.   halew@nbnet.nb.ca      which is the probable reason why so few
  497.   BBS (506) 325-9002     engage in it."  -  Henry Ford
  498.  
  499. ------------------------------
  500.  
  501. Date:    Tue, 23 Nov 93 20:32:06 -0500
  502. From:    al026@yfn.ysu.edu (Joe Norton)
  503. Subject: Automated virus scanning (PC)
  504.  
  505.   I read a users message on here that wanted to execute a virus
  506. scanner once per week in his autoexec.bat file.  I don't really
  507. recommend doing this since it's not as good as scanning after
  508. a clean floppy boot, but if you have many "WordPerfect Only" type
  509. people in a office that you manage it could be something that
  510. would get used, and a clean boot wouldn't be.
  511.  
  512.   Anyways.....  I wrote such a program if anyone wants it. 
  513. It takes a weekday as the first parameter, and any command you
  514. want to run after that.  It runs the program once, and only once
  515. on the specified weekday even if you boot more than once on that
  516. day.  It is less than 4k (done in Turbo Pascal) and freeware.
  517. If anyone wants it I can post or email a uuncoded copy to you.
  518.  
  519.   I can add more features and such if needed, but don't expect
  520. a Windoze version, etc....8-;  I'd start to feel that I was
  521. writting "huge bloated code" if this got over 10k...
  522.  
  523. ------------------------------
  524.  
  525. Date:    Wed, 24 Nov 93 11:23:31 -0500
  526. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  527. Subject: Re: Full version of AVP 1.07 available (PC)
  528.  
  529. William Fang (int877w@lindblat.cc.monash.edu.au) writes:
  530.  
  531. > I've downloaded the file, did a scan using scan 9.19 v108 and 
  532. > f-prot 2.09f just to make sure I didn't bring any viruses with
  533. > the latest batch of downloads (no offence, I got a whole heap
  534. > of junk, not just your files ;-)
  535.  
  536. You've had chance that you have not used the /A option, otherwise SCAN
  537. 108 would have reported a "virus" in one of the files in the
  538. package. This is a false positive, as I already explained in one of my
  539. previous articles.
  540.  
  541. > Anyway, started the program on the Temp partition and it asked
  542. > for V_930915.-VB which I assumed was the database it was complaining
  543. > about.  I renamed the V_931105.-VB file and it seemed to work.
  544. > Should I have V_930915.-VB or does renaming the new (? I guess) file
  545. > work.  Or is there a switch I'm meant to be using to use the newer
  546. > database?
  547.  
  548. Damn't! Stupid me... :-( That's entirely my fault, sorry for the
  549. confusion. I'll correct the archive on the ftp site at once.
  550.  
  551. The name of the file (V_931105.-VB) is correct - this is the latest
  552. update (that's why the 'b' in the name of the archive) and it
  553. indicates the date it has been created (in yymmdd format). No, there
  554. is no switch to indicate which database of virus detection information
  555. to use. However, the name of the database to be used is kept in the
  556. file -V.SET. It is a text file and you can use a text editor to edit
  557. it and put there V_931105.-VB, instead of V_930915.-VB (which is its
  558. current contents).
  559.  
  560. Once more, sorry for the confusion. Just in case somebody is 
  561. interested, here is how it has happened. I received the package by 
  562. snail-mail and the update by e-mail. The update archive contained a
  563. correct -V.SET file, but obviously I have messed something up while
  564. merging the two archives.
  565.  
  566. > I've done a quick look through the manual, but didn't stumble 
  567. > across on anything on the name of the database, just how to do
  568. > fancy stuff using the pro version, and as a non-programmer, had
  569. > no idea what it was about.
  570.  
  571. If you are using the "regular" version (-V.EXE), then the only
  572. solution is to edit the file -V.SET manually. I guess, that's a
  573. misfeature that has to be corrected. However, if you are using the
  574. "professional" version (-VPRO.EXE), you can press F4 from the main
  575. menu. This brings a submenu, called "Base Set" and you can use it to
  576. add or remove virus definition databases that will be used by the
  577. program. You can also edit those databases, unless they are locked
  578. (the ones that come with the package -are- locked, in order to prevent
  579. misuse). The result is that the file -V.SET is updated. Just delete
  580. the old database name and add the new one.
  581.  
  582. Regards,
  583. Vesselin
  584. - --
  585. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  586. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  587. < PGP 2.3 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  588. e-mail: bontchev@fbihh.informatik.uni-hamburg.de        22527 Hamburg, Germany
  589.  
  590. ------------------------------
  591.  
  592. Date:    Wed, 24 Nov 93 11:40:28 -0500
  593. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  594. Subject: Re: Horror of Horrors! (PC)
  595.  
  596. kevin marcus (datadec@ucrengr.ucr.edu) writes:
  597.  
  598. > NAV 3.0 is quiet unlike 2.1, (or less), so if you have had bad experiences
  599. > with NAV int he past, you should not anymore (unless you have a processor
  600. > under an 80286... :().
  601.  
  602. I wouldn't say so. I have very serious problems to make NAV 3.0 run
  603. from a batch file and produce a sensible report. 
  604.  
  605. First of all, it is not possible any more to redirect its standard 
  606. output - because it simply does not write to stdout any more. 
  607.  
  608. Second, I had a very annoying problem of NAV stopping after every 
  609. infection found and waiting me to press <Enter>. Setting Tools / 
  610. Options / Scanner / Advanced / Immediate Notification to OFF takes 
  611. care of the problem - but only when you run the program 
  612. interactively. For some reasons, it doesn't work from the command 
  613. line. That is, the program still stops, regardless that you have 
  614. saved that particular option in its OFF status. Eventually, Jimmy 
  615. advised me to set Tools / Options / Alerts / Remove Alert Dialog / 
  616. After 0 seconds. Now the notification window disappears 
  617. automatically, but it still appears (when the program is run from 
  618. the command line), slowing down significantly the scanning process 
  619. of a heavily infected system (or a virus collection).
  620.  
  621. BTW, the above description gives some impression of how clumsy is to
  622. change a single option. Worse, it is not possible to change those
  623. options from the command line. You have to start the program
  624. interactively, change the options, exit the program (they get saved
  625. automatically), and then run the program from the command line with
  626. the option settings required for that particular case.
  627.  
  628. At last, I was unable to produce a report file automatically. There is
  629. a /report option, but it doesn't seem to do anything at all. There is
  630. no way to make the program create a report file while it is working.
  631. The most one can do is to run the program, then when it finishes -
  632. examine the activities log (interactively, from the menus), and select
  633. to print part of it in a file. Clumsy, and inappropriate for automatic
  634. preprocessing of the results. I tend to call such programs "not
  635. suitable for testing".
  636.  
  637. Regards,
  638. Vesselin
  639. - --
  640. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  641. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  642. < PGP 2.3 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  643. e-mail: bontchev@fbihh.informatik.uni-hamburg.de        22527 Hamburg, Germany
  644.  
  645. ------------------------------
  646.  
  647. Date:    Wed, 24 Nov 93 12:07:34 -0500
  648. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  649. Subject: Re: Problems with Anti-Tel (A-Vir) (PC)
  650.  
  651. Vesselin Bontchev (bontchev@fbihh.informatik.uni-hamburg.de) writes:
  652.  
  653. > 4) The virus is a DOS Boot Sector Infector, so in order to remove it,
  654. > it is enough to SYS the infected volume. Beware, however, that the
  655. > virus is stealth and you must make sure that it is not present in
  656. > memory when you are trying to remove it. The only certain way to
  657. > ensure this is to cold-boot from a write-protected uninfected system
  658. > diskette. Since you will do SYS, you must make sure that the diskette
  659. > contains the same version of the operating system as the volume you
  660. > intend to SYS.
  661.  
  662. Ignore the above, it's completely wrong. This virus is an MBR
  663. infector, not a DBS infector. It can be removed with FDISK /MBR, but
  664. NOT with SYS. Sorry if my incorrect advice has caused any confusion
  665. and thanks to the person who spotted the mistake and e-mailed me. Too
  666. bad, it seems that I cannot keep in mind even the basic properties of
  667. the boot sector viruses... :-(( Probably there are too many of them
  668. already...
  669.  
  670. Regards,
  671. Vesselin
  672. - --
  673. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  674. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  675. < PGP 2.3 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  676. e-mail: bontchev@fbihh.informatik.uni-hamburg.de        22527 Hamburg, Germany
  677.  
  678. ------------------------------
  679.  
  680. Date:    Wed, 24 Nov 93 12:28:08 -0500
  681. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  682. Subject: Re: Removing the Moctezuma virus (PC)
  683.  
  684. manas (SANYALM@CNSVAX.UWEC.EDU) writes:
  685.  
  686. > I was trying to get rid of the Moctezuma virus. The virus infected just the 
  687. > three .exe files on the disk.                           
  688. > It was not deteted by VPCScan V2.2.  
  689.  
  690. Version 2.2 is obsolete. The latest one is 2.91. It is able to detect
  691. the virus reliably. However, when I ran it in removal mode (-br), it
  692. said that the virus is removed, but didn't actually touch anything.
  693. Maybe the registered version doesn't have this problem.
  694.  
  695. > CLEAN 9.17 V106 couldn't remove it. 
  696.  
  697. Neither can CLEAN 9.20 V109.
  698.  
  699. > I used Norton AntiVirus V2.2 and that wouldn't remove it either. 
  700.  
  701. There is no such version of NAV. The existing ones are 1.0, 2.0, 2.1,
  702. and 3.0. Version 2.1 (with the latest updates of the virus
  703. definitions) is able to disinfect only the COM files. I was not able
  704. to make version 3.0 to do reliably even that.
  705.  
  706. > What can I use to get rid of the virus without having to delete the files?
  707.  
  708. I tested some other programs. Here are the results:
  709.  
  710. F-Prot 2.10        - disinfects only COM files
  711. FindVirus 6.51        - doesn't disinfect anything
  712. AntiVir IV        - disinfects only COM files
  713. CPAV 2.1        - doesn't disinfect anything
  714. IBM Antivirus/DOS 1.03    - doesn't disinfect anything
  715. AntiVirus Pro 1.07b    - DISINFECTS EVERYTHING
  716. PCVP 1.23        - deletes everything
  717. UTScan 29.04        - doesn't disinfect anything and crashes
  718. VET 7.50        - doesn't disinfect anything
  719.  
  720. Conclusion: Get AVP 1.07b from our ftp site (beware, it's more than a
  721. meg). It will be able to repair the infected files.
  722.  
  723. Regards,
  724. Vesselin
  725. - --
  726. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  727. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  728. < PGP 2.3 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  729. e-mail: bontchev@fbihh.informatik.uni-hamburg.de        22527 Hamburg, Germany
  730.  
  731. ------------------------------
  732.  
  733. Date:    Wed, 24 Nov 93 17:05:15 -0500
  734. From:    lestat@pearl.ctt.bellcore.com (David Gonzalez)
  735. Subject: WinNT + Dos 6.0 + Form VIRUS!! (PC)
  736.  
  737. Hello:
  738.     I am having a bit of a problem with a boot sector 
  739. virus called Form. 
  740.     It has managed to contaminate the Boot sector of
  741. my PC. Up to this morning, I was still able to boot WinNT
  742. and Dos, but now, it seems that the boot loader has
  743. been damaged since the machine just locks up.
  744.  
  745.     Unfortunately, I scaned the NT recovery disk and
  746. it also has the virus :-(.
  747.     Now, I know how to remove the virus, and all that
  748. stuff, the part I don't know is how to avoid damaging the
  749. NT Loader.
  750.     Just in case:
  751. Dos 6.0, WinNT 3.1 (without patches), McAffee Clean V108,
  752. Scan V109. Virus: Form, seems to be the "Canadian" variant
  753. according to data from the Vsum 310.
  754.  
  755. - -- 
  756. - ---------------------------------------------------
  757. David Gonzalez        lestat@ctt.bellcore.com (Work)
  758. Bellcore        dg4s@andrew.cmu.edu    (Grad School)
  759. RRC 1-J214        lestat@rmece02.upr.clu.edu (UnderGrad School)
  760. 444 Hoes Lane
  761. Piscataway, NJ 08854
  762.  
  763. ------------------------------
  764.  
  765. Date:    Thu, 25 Nov 93 15:54:45 -0500
  766. From:    eastwood@unbsj.ca (Eric Eastwood)
  767. Subject: Strange Behavoiur of F-PROT, possible boot sector virus? (PC)
  768.  
  769. Hi,
  770.      I am having a small problem with a possible virus on out campus (more
  771. specifically in out engineering PC lab). The problem is isolating the virus
  772. (?). The order of events are something like this:
  773.  
  774. 1)   09:00     Get a report of a virus in the engineering PC lab. The lab is
  775.                closed to all access until we can isolate the problem.
  776.  
  777. 2)   09:30     Have the virus located on one machine in lab and get reports
  778.                from F-PROT 2.09f saying that is the "TELECOM virus" is in
  779.                memory. Only if you boot the machine using the hard drive and
  780.                letting autoexec.bat be run. (loadhigh, mouse, doskey, msav
  781.                and mode only programs in autoexec.bat). If autoexec not run
  782.                virus not seen.
  783.  
  784. 3)   10:00     Find virus on about half of the machines in the lab using F-
  785.                PROT after booting the machines with a full pass of the
  786.                autoexec.bat. 
  787.  
  788. 4)   10:15     Discover that only F-PROT will find the virus, MSAV and SCAN
  789.                do not find the virus.
  790.  
  791. 5)   11:00     Get virus to infect a disk with f-prot on the disk. The disk
  792.                will consistently give a hit for the "TELECOM" virus. Cannot
  793.                tell where the virus is because we do not have a duplicate and
  794.                no file sizes or dates were changed.
  795.  
  796. 6)   11:45     Try to get virus to infect another disk that we have made in
  797.                our offices as a duplicate of a master disk. The virus will
  798.                not attack the disk, even though it is still reported in
  799.                memory. We also start to low level format each if the drives
  800.                in the lab (20 machines in all)
  801.  
  802. 7)   13:15     After trying for over hour an to get virus to act 
  803.            consistently, virus seems to disappear from the infected
  804.            F-Prot disk even though it is write protected. 
  805.  
  806. 8)   13:45     Get the original disk that was used to do the scanning and
  807.                find that it has been modified by Central Point Anti-Virus to
  808.                have external self checking code. All disks scanned with this
  809.                disk give gibberish lines such as follows when scanning the
  810.                boot sector:
  811. Rn NCI brnmnirrrnrrrt,arrai-ars]/nha t virus-infected right now (Y/N) ?
  812.  
  813. 9)   14:20     Gather all disk used to try to disinfect the lab. Boot and
  814.                scan each disk, all report clean. The one machine in the lab
  815.                that we have not reformatted still reports the TELECOM virus
  816.                when msav is run.
  817.  
  818. 10)  15:00     For the sake of our collective sanity, we stop trying to find
  819.                the virus to sit back and reflect on what has happened.
  820.  
  821. 11)  16:00     Show disk that virus had looked like it had left to the person
  822.                who had initially isolated the virus. And the virus was back 
  823.                with more gibberish than before. And will not give a hit for 
  824.            TELECOM virus.
  825.  
  826.      As part of trying to figure out what happened I decided to write this
  827. note and try to see if any of you have any suggestions as to what we could do
  828. next? 
  829.      Have we been chasing a non-virus conflict between MSAV and F-PROT?
  830.      Is there any other way to rid ourselves of this virus besides 
  831. reformatting all of the hard drives on campus?
  832.      
  833.                     K. Eric Eastwood, UNBSJ COmputing Services
  834.             KEE@UNSBJ.CA
  835. ***
  836. K. Eric Eastwood, Systems Analyst, Computing Services - kee@unbsj.ca
  837. University of New Brunswick Saint John, P.O. Box 5050 - ph: (506) 648-5551
  838. Saint John, New Brunswick, Canada E2L 4L5             - fax:(506) 648-5528
  839.  
  840. ------------------------------
  841.  
  842. Date:    Fri, 26 Nov 93 05:02:46 -0500
  843. From:    bondt@dutiws.twi.tudelft.nl (Piet de Bondt)
  844. Subject: Thunderbyte's reply about danger of TbClean (PC)
  845.  
  846. Hi all,
  847.  
  848. Here is the *official* answer from Frans Veldman (author of TBAV) about the
  849. danger of using TbClean (esp. the heuristic cleaning) and the so called
  850. 'dangerous' virus "Varicella".
  851. These is no danger (at least not since the release of 6.02 or so)
  852. and there never really was !!
  853.  
  854. > the _terrible_ bug, was with the TBCLEAN.EXE utility, this program which is
  855.  
  856. Very exaggarated! See below.
  857.  
  858. > and one person (Rock Steady) developed a virus called "Varicella" this
  859. > virus did exactly the above! meaning if I gave you a file (anyfile)
  860. > infected with the Varicella virus, and if you tried to clean this virus
  861. > infected file with tbclean, what would actual happen is that tbclean
  862. > will report "that this file is not infected by a virus" but what
  863. > _actually_ happen was that the virus escaped the controlled environment
  864. > that tbclean setup to try to disinfect the file, and the virus will go
  865. > resident and hook interrupts 21h,13h,8h,1ch. and it will allocate memory
  866. > under the TOM, and fool tbclean in reporting that no virus is in the
  867. > file, and tbclean will exit normally!
  868.  
  869. > whereby, infact the varicella virus went resident and is now infecting
  870. > the system. and to advice you, the varicella virus is fairly a stealth
  871. > virus that disinfects files on the file, when opened and reinfects them
  872. > when closed, and it hides its virus length very well! such a virus can
  873. > easily get out of control on a huge level. all because we trusted
  874. > heuristic scanning!
  875.  
  876. Heuristic scanning? Heuristic cleaning you mean! There is absolutely nothing
  877. dangerous with heuristic *scanning*.
  878.  
  879. > because tbclean, actually tries to remove viruses from the infect file
  880. > by executing the virus, with the help of the int 1 & 3. makes this
  881.  
  882. TbClean will normally use the Anti-Vir.Dat records, which do not pose any
  883. risk at all. Heuristic cleaning will only be performed as a last resort,
  884. if all other means to clean a file failed, mainly because the user
  885. neglected to use TbSetup. If you apply our tools correctly, there is and
  886. has never been any danger.
  887.  
  888. > method very dangerous to use! as shown to you by mr. rock steady of
  889. > Nuke.
  890.  
  891. If you don't like it, simply disable the heuristic cleaning feature of
  892. TbClean.
  893.  
  894. > so before you think "heuristic" is the best method of
  895. > scanning/cleaning think again! the rate of false positives is WAY TOO
  896. > HIGH! and remember that the average computer user is not a geniusssis
  897.  
  898. ??? How do you mean 'Too high'? According to what standard? The default
  899. heuristic mode of TbScan does not cause any false alarm.
  900.  
  901. > heuritics may have a future, but not for a while, not till it is
  902. > perfected!
  903.  
  904. Heuristic is already perfect. It detects about 90% of the new viruses.
  905. This means that 9 out of 10 completely new viruses are detected before
  906. we, the authors of TBAV, even have seen the virus.
  907.  
  908. Anyway, to your information, the Varicella virus isn't able to escape from
  909. TbClean anymore since the last four releases.
  910.  
  911. - -- 
  912.  
  913. Thunderbye,
  914. Frans Veldman
  915.  
  916. <*** PGP 2.3 public key available on request ***>
  917. - -- 
  918.  
  919. Piet de Bondt                   E-mail: bondt@dutiws.twi.tudelft.nl
  920. ===================================================================
  921. FTP-Admin for MSDOS Anti-virus software at:      ftp.twi.tudelft.nl
  922.  
  923. ------------------------------
  924.  
  925. Date:    Fri, 26 Nov 93 07:44:46 -0500
  926. From:    P.Lucas@mail.nerc-swindon.ac.uk
  927. Subject: 'D3' virus (PC).
  928.  
  929. Does anyone have any information on what S&S  [Alan Solomon]
  930. describe as the 'D3' virus?
  931. Its a boot-sector infector that apparently has no payload
  932. and is not stealthed. It hooks int13. 
  933.  
  934. Any additional info on its behaviour , or what its
  935. called by others, would be of interest.
  936.  
  937. - -Peter J.M. Lucas    NERC Computer Services    Swindon   England.
  938. pjml@swmis.nsw.ac.uk    pjml@uk.ac.nsw.swmis    g6wbj@gb7sdn.gbr.eu
  939. Why does Reality have to be in the public domain?
  940.  
  941. ------------------------------
  942.  
  943. Date:    Tue, 23 Nov 93 12:02:20 -0500
  944. From:    "Mark J. Miller" <mjm@tardis.svsu.edu>
  945. Subject: prevent programs (PC)
  946.  
  947. Has anyone heard of a program that will allow you to specify that
  948. only certain programs can be run under MS-DOS?
  949.  
  950. McAfee has VSHIELD, but I think it's kind of expensive.
  951.  
  952. Also, I saw mention of a "Virus Bulletin".  Can someone please tell
  953. me how to get copies of this?  Thanks.
  954.  
  955. Mark J. Miller
  956. Instructional Computing Programmer/Analyst
  957. Saginaw Valley State University
  958. mjm@tardis.svsu.edu
  959.  
  960. ------------------------------
  961.  
  962. Date:    Wed, 24 Nov 93 13:39:18 -0500
  963. From:    Ellen Carrico <ecarrico@spl.lib.wa.us>
  964. Subject: Re: Save all you can (CVP) 
  965.  
  966. > From:  "Rob Slade" <roberts@decus.ca> 
  967. > BEGPAN3.CVP 931015
  968. > OK.  Maybe we don't yet know what is wrong, but if the computer is 
  969. > still running, we can start some salvage operations.  Let's do a 
  970. > backup.
  971. > [stuff deleted] 
  972. > What?  Copy each individual file for Windows and all your Windows 
  973. > apps? No.  Don't bother with the programs.  If it turns out that a 
  974. > bunch of your programs are infected, the best thing to do, anyways, 
  975. > bunch of your programs are infected, the best thing to do, anyways, 
  976. > is erase and re-install them.  Besides, the programs aren't the
  977. > valuable parts.  How much did that really extravagant database 
  978. > program cost you, anyway?  $500?  Even if you don't have the 
  979. > original disks toinstall it again, you can run down to the store 
  980.  
  981. If you have a legal copy, you *should* have the disks, shouldn't you?  
  982.  
  983. > If you are on a network, backing up can be as simple as copying all 
  984. > your data onto the server. This is especially so if the server is a 
  985. As a former system/network admin I have to say there is NOTHING simple
  986. about having users back their data up to a server.  Often servers (DOS,
  987. OS/2 and Unix are the ones I'm familiar with) are carefully partitioned to
  988. make certain that *all* users have proper access and space availability. 
  989. If someone suddenly decides to dump about 30-60 Mb of data and programs (I
  990. don't have any faith at all that people won't decide to back up their 
  991. program files "just in case") onto a server which is already at maximum
  992. usage it can cause all kinds of nightmares for the administrator.  In
  993. addition, a simple request to the adminstrator will often result in extra
  994. help in handling the backup.  Trust me, there is a reason for system
  995. operators and admins to limit use and access.  Come to think of it, I'm sure
  996. *I* spent alot more time being yelled AT than yelling at someone else.  Oh,
  997. and one final point, your admin should *definitely* be told if your
  998. workstation is infected as part of your system security.
  999.  
  1000. > different type of machine (eg. you are working on a PC or Mac, and 
  1001. > the server is a VAX). Don't worry if the system operators yell at 
  1002. > youfor exceeding quota: this is an emergency, and they are always 
  1003. > yelling at somebody, anyway. 
  1004.  
  1005. YOUR emergency isn't necessarily anyone else's emergency ... ;-)
  1006.  
  1007. > Of course, the best solution is to back up both ways.  Redundant 
  1008. > backup, it's called.  Poor choice of words.  If something crashes, a 
  1009. > backup is *never* redundant. 
  1010.  
  1011. You're right that you can never have too many good backups.  However,
  1012. before you back up onto a server you need to check the policy that has
  1013. been set by your company/school/administrator.  Otherwise, you might find
  1014. that the data you thought you had carefully and securely backed up onto
  1015. the server was deleted by your adminstrator.
  1016.  
  1017. > copyright Robert M. Slade, 1993 BEGPAN3.CVP 931015 
  1018.  
  1019. > Vancouver         ROBERTS@decus.ca        | Lotteries are a tax 
  1020. > Institute for     Robert_Slade@sfu.ca     | on the arithmetically 
  1021. > Research into     rslade@cue.bc.ca        | impaired. 
  1022. > User              p1@CyberStore.ca        | 
  1023. > Security          Canada V7K 2G6 |
  1024.  
  1025. Ellen Carrico             ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  1026. Microcomputer Coordinator  "A motorcyle is a tool for turning the Machine   
  1027. Automated Services          Age back on itself, for removing shackles.  It 
  1028. Seattle Public Library      won't fix everything that's wrong with the world,
  1029. (206)386-4168               but, hey, ... it's definitely a move in the right
  1030. ecarrico@spl.lib.wa.us      direction."  --Paul Pascarella
  1031.  
  1032. ------------------------------
  1033.  
  1034. Date:    Fri, 26 Nov 93 11:52:04 -0500
  1035. From:    "Rob Slade" <roberts@decus.ca>
  1036. Subject: Getting Resources (CVP)
  1037.  
  1038. BEGPAN5.CVP  931103
  1039.  
  1040.                          Getting Resources
  1041.  
  1042. There are probably a number of things around you that you can use
  1043. either to diagnose the problem or to aid in recovery.  We've looked
  1044. at some of the basic information, resources and history that might
  1045. help.  Now, let's look for some tools which might be less obvious.
  1046.  
  1047. Another computer is a big help, particularly if you are pretty sure
  1048. it hasn't been infected or affected.  If you have several, that can
  1049. be a real big help.  Another computer can be used to examine
  1050. (carefully) floppy disks and files from the infected machine, to try
  1051. and determine what is being infected, and how.  If you don't have a
  1052. "clean system disk", that pre-requisite for any virus disinfection,
  1053. you can make one from the other computer.
  1054.  
  1055. You may be able to confirm or deny a virus infection with the other
  1056. machines.  If you suspect a virus simply on the basis that
  1057. "something weird is happening," then you probably don't have a virus
  1058. at all.  Computers do many strange and wonderful things, only very
  1059. few of them at the behest of viral programs.  In any event,
  1060. "swapping out" bits and pieces of the computers may identify some
  1061. malfunctioning hardware.  You still have a problem, but at least it
  1062. is an isolated and identifiable one.
  1063.  
  1064. Along with whatever system and utility software you can find, get
  1065. several blank, formatted disks.  Make some of them system disks. 
  1066. Copy a range of programs on to them, of different types and sizes. 
  1067. These disks and files you will want to use as bait.  (If the
  1068. infected computer uses different types and sizes of disks, get
  1069. examples of all the various formats.)  Record the file sizes and
  1070. dates of the "bait" files, as well as the "free space" remaining on
  1071. the disk.  (Viral programs may use various means to hide the fact
  1072. that a file has grown.  Few, however, bother to try to hide the fact
  1073. that disk space has shrunk.)  Take a look at the boot sectors of the
  1074. disks so that you will be able to notice any changes if they are
  1075. changed.
  1076.  
  1077. Get a pot of coffee.  Get a few friends, even if computer
  1078. illiterate, for the moral support and the extra eyes.  (Observations
  1079. are key.)  Get some lunch.  Get some perspective.  Don't Panic.
  1080.  
  1081. copyright Robert M. Slade, 1993   BEGPAN5.CVP  931103
  1082.  
  1083. ============= 
  1084. Vancouver      ROBERTS@decus.ca         | Life is
  1085. Institute for  Robert_Slade@sfu.ca      | unpredictable:
  1086. Research into  rslade@cue.bc.ca         | eat dessert
  1087. User           p1@CyberStore.ca         | first.
  1088. Security       Canada V7K 2G6           | 
  1089.  
  1090. ------------------------------
  1091.  
  1092. End of VIRUS-L Digest [Volume 6 Issue 152]
  1093. ******************************************
  1094.