home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / virusdig.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  18.6 KB  |  485 lines
  1. Article 313 of comp.virus:
  2. Path: vpnet!tellab5!linac!pacific.mps.ohio-state.edu!zaphod.mps.ohio-state.edu!swrinde!cs.utexas.edu!rice!uw-beaver!ubc-cs!alberta!mts.ucs.UAlberta.CA!ualtavm!VIRUS-L%LEHIIBM1.BITNET
  3. From: krvw%CERT.SEI.CMU.EDU@vm.ucs.UAlberta.CA ("The Moderator Kenneth R. van Wyk")
  4. Newsgroups: comp.virus
  5. Subject: VIRUS-L Digest V4 #37
  6. Message-ID: <9103051535.AA06569@ubu.cert.sei.cmu.edu>
  7. Date: 5 Mar 91 15:35:17 GMT
  8. Sender: VMNETNEW@vm.ucs.UAlberta.CA (Listserv to Netnews Gateway)
  9. Organization: Listserv to Netnews Gateway at vm.ucs.UAlberta.CA
  10. Lines: 470
  11. Approved: VIRUS-L%LEHIIBM1.BITNET@vm.ucs.UAlberta.CA
  12.  
  13. VIRUS-L Digest   Tuesday,  5 Mar 1991    Volume 4 : Issue 37
  14.  
  15. Today's Topics:
  16.  
  17. Protection and AI (PC)
  18. innoc update (PC)
  19. Virex-PC review (PC)
  20. Virucide Review (PC)
  21.  
  22. VIRUS-L is a moderated, digested mail forum for discussing computer
  23. virus issues; comp.virus is a non-digested Usenet counterpart.
  24. Discussions are not limited to any one hardware/software platform -
  25. diversity is welcomed.  Contributions should be relevant, concise,
  26. polite, etc.  Please sign submissions with your real name.  Send
  27. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  28. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  29. anti-virus, documentation, and back-issue archives is distributed
  30. periodically on the list.  Administrative mail (comments, suggestions,
  31. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  32.  
  33.    Ken van Wyk
  34.  
  35. ---------------------------------------------------------------------------
  36.  
  37. Date:    Mon, 04 Mar 91 09:03:42 -0500
  38. From:    padgett%tccslr.dnet@uvs1.orl.mmc.com (A. Padgett Peterson)
  39. Subject: Protection and AI (PC)
  40.  
  41. >From:    Bob Bosen <71435.1777@CompuServe.COM>
  42. >What exactly is AI anyway?
  43.  
  44. An explicit description is not suitable for a general audience, but I
  45. am told that the cows don't mind it a bit.
  46.  
  47. >From:    eldar@lomi.spb.su (Eldar A. Musaev)
  48. >Subject: Re: How to disable boot up from A: (PC)
  49. >That is very simple, if you have only one floppy. Open your computer
  50. >and set DIP switches and cable connections to make A: as B:...
  51.  
  52. I used to think that this would work also but was chagrined (shimatta)
  53. to learn that many PC BIOSes check for floppy A as part of POST and
  54. will generate a "601" error and halt the boot process if drive A does
  55. not respond to the controller.
  56.  
  57. >From:    Bureau de Guerra <PH461A04@VAX1.UMKC.EDU>
  58. >Subject: Mac Viruses vs. PC Viruses: Coding Comparison
  59. >Because of 1,3,4, & 5 vs. 2,  I conclude that programing a mac virus
  60. >is more difficult than programming a pc virus.
  61. >Jonathan E. Oberg  ph461a04@vax1.umkc.edu
  62.  
  63. True, it is probably more difficult for an amateur but orders of
  64. magnatude less than producing a good word processor. Also in the PC, a
  65. user must request a boot/execution of a virus while a MAC will execute
  66. floppy code without being asked. The "scan on floppy insertion" is
  67. possible (and should be a part of any good protection scheme) on the
  68. PC, it just hasn't been done yet (or has it, I am sometimes behind ?).
  69.  
  70. >From:    Bob Bosen <71435.1777@CompuServe.COM>
  71. >Subject: PC-DACS (PC)
  72.  
  73. >two different versions I tested during 1988 and again in 1990 yielded
  74. >easily to attacks using only readily- available software tools brought
  75. >in on a bootable diskette.... Without hardware modification,
  76. >only ENCRYPTION can provide any kind of real security.
  77.  
  78. >...and those few that are strong enough to enforce true security are
  79. >based on ENCRYPTION or HARDWARE or BOTH.
  80.  
  81. Yup, confidentiality can be preserved with encryption, but only
  82. hardware can protect from destruction (if there is no FAT, it isn't
  83. DOS). However, the same software that redirects tables can also
  84. disallow writing to them.  The question is one of risk vs cost just
  85. like the fact that experiments I have been making can be defeated
  86. easily manually if it is known to be there. Easy for a skilled person
  87. but very difficult for software unless directly targetted.  The user
  88. has to decide the level of protection necessary and the price that is
  89. willing to be paid. My point is that a "normal" PC has NO defense and
  90. that quite a good level of protection from malicious software can be
  91. had with "simple" software techniques.
  92.  
  93. Incidently, if a high level of CIA (confidentiality, integrity, &
  94. availability) is needed, Mr. Bosen's products are very good. (personal
  95. opinion).
  96.  
  97.                     Padgett
  98.  
  99. Note to indexer: all paragraphs relate to PC protection with the exception
  100.                  of AI which doesn't relate to anything.
  101.  
  102. ------------------------------
  103.  
  104. Date:    Mon, 04 Mar 91 08:41:34 -0600
  105. From:    James Ford <JFORD@UA1VM.BITNET>
  106. Subject: innoc update (PC)
  107.  
  108. The file "innoc.zip" has been replaced with a new version.  This new
  109. version has the following files in it:
  110.  
  111. innoc.asm  -  Source code   (same code in the other version of innoc.zip)
  112. innoc.com  -  Compiled code
  113. innoc.doc  -  Documentation.
  114. - ----------
  115. Whatever hits the fan will not be evenly distributed.
  116. - ----------
  117. James Ford -  JFORD@UA1VM.UA.EDU, James_Ford@mib.eng.ua.edu
  118.               The University of Alabama (in Tuscaloosa, Alabama)
  119.  
  120. ------------------------------
  121.  
  122. Date:    Thu, 28 Feb 91 15:51:26 -0800
  123. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  124. Subject: Virex-PC review (PC)
  125.  
  126. ]Ed. Both of these reviews are now available by anonymous FTP on
  127. cert.sei.cmu.edu in pub/virus-l/docs/reviews, along with the rest of
  128. Rob Slade's (and a few others') reviews.(
  129.  
  130.                         Comparison Review
  131.  
  132. Company and product:
  133.  
  134. Microcom Software Division
  135. 3700-B Lyckan Parkway
  136. Durham, NC   27717
  137. USA
  138. 919-490-1277
  139. Virex-PC, also Virex for Mac - scanner and vaccine
  140.  
  141. Summary:
  142.  
  143. VPCSCAN is the fastest scanning product yet reviewed.  VIREX-PC vaccine
  144. is customizable with multiple options and allows "protection" of
  145. specified files as well as alerts on "formatting" and "program
  146. modification" and is recommended for "expert" users.  Documentation is
  147. an excellent overview of viral and PC operations.
  148.  
  149. Cost   US $99.00
  150.  
  151. Rating (1-4, 1 = poor, 4 = very good)
  152.      "Friendliness"
  153.           Installation   2
  154.           Ease of use    4
  155.           Help systems   2
  156.      Compatibility       3
  157.      Company
  158.           Stability      4
  159.           Support        3
  160.      Documentation       4
  161.      Hardware required   4
  162.      Performance         3
  163.      Availability        4
  164.      Local Support       ?
  165.  
  166. General Description:
  167.  
  168. VPCSCAN is a virus detection and disinfection product.  It will remove
  169. some viri from files or optionally delete the file if it cannot be
  170. disinfected.  Disinfection or deletion is at user control.  VIREXPC is a
  171. "resident" "activity" and "change detection" program which checks for
  172. formatting calls, direct disk writes, TSR initiation, "registration" of
  173. programs, "checksum" changes or program specific (user defined)
  174. prohibited operations.  (During this review, Virex-PC refers to the
  175. whole package, VIREX-PC to the TSR vaccine program only.)
  176.  
  177. Ross Greenburg was one of the first to produce an anti-viral product,
  178. Flu-Shot.  Microcom's Virex product for the Macintosh is also well
  179. established.  SCANDEMO, a "scan only" demonstration product, is
  180. available free of charge on some electronic bulletin board systems.
  181.  
  182. Please, when reading this review, note a built in bias towards Ross
  183. Greeburg's work.           Comparison of features and specifications
  184.  
  185.  
  186.  
  187. User Friendliness
  188.  
  189. Installation
  190.  
  191. Disks shipped write protected.  Documentation stresses the importance of
  192. write protecting the disks, suggests making "working copy" of the
  193. original disk, and checking the computer system with VPCSCAN before
  194. making installation onto the hard disk, but the suggested procedure
  195. could leave the "working copy" infected.
  196.  
  197. Installation requires the Virex-PC diskette in drive A:, regardless of
  198. which drive it is invoked from.  If you wish to install the program onto
  199. a "boot floppy", the diskette to be installed "to" must be in drive B:.
  200.  
  201. Effective installation is impossible without reading the documentation
  202. and understanding the concepts and system configuration thoroughly.  The
  203. documentation is complete and quite clear, but "naive" users may find
  204. the number of functions and features, and the explanations, daunting to
  205. tackle.
  206.  
  207. Subsequent to installation, the "Protection File" can be editted.
  208. However, the "README" file notes that this should not be done while
  209. VIREX-PC is active, and if you invoke VIREX-PC automatically at boot
  210. time, you will have to boot from a floppy in order to modify your
  211. protection.
  212.  
  213. Ease of use
  214.  
  215. Once installed, the system operates without intervention, unless viral
  216. activity is detected.  The alert screens are clear and informative.  The
  217. decisions necessary, and the usefulness or "hindrance" of the system
  218. depends largely on the installation, which should be "matched" to the
  219. experience of the user.
  220.  
  221. VPCSCAN's screen display shows the files checked individually, but
  222. continues to display the directories checked until the screen is full,
  223. so that a number of directories can be seen at once.  This is much
  224. clearer than the practice of other programs which only display one file
  225. at a time, or only the directories checked, especially given the speed
  226. of VPCSCAN's operation.
  227.  
  228. Help systems
  229.  
  230. Alert screens contain somewhat esoteric, but very complete information
  231. on the activity taking place.  This will be very helpful to expert
  232. users, but even novices will find it easier to make an "informed"
  233. decision on whether or not to allow an operation.
  234.  
  235. Compatibility
  236.  
  237. VPCSCAN, in contrast to the lists known to SCAN and FPROT, finds
  238. relatively few viri.  Those that it does find, however, would likely
  239. account for better than 99% of actual infections.  The manual states
  240. that updates are made quarterly, and that registered users will receive
  241. "notification" of updates.  (According to the registration cards,
  242. updates will be $25 each, or you may receive a year's "subscription" for
  243. $75.)  However, it is now three months (one "quarter") since I
  244. registered my copy, and I have yet to receive any notification.  (It is
  245. possible, although improbable, that this period exactly coincides with
  246. one "update period.")
  247.  
  248. Although one of the standard alerts in the package is for "direct writes
  249. to diskette", and even though the Stoned/New Zealand virus is one which
  250. VPCSCAN will identify (although not disinfect), VIREX-PC was not able to
  251. protect against, and did not warn of, infection by the Stoned virus.
  252. Although VIREX-PC will make a checksum of disk or diskette boot sectors,
  253. it does not checksum partition boot records.
  254.  
  255. Company Stability
  256.  
  257. Microcom is a stable and diverisfied company, if somewhat samller than a
  258. Lotus or Microsoft.  Virex for the Mac has been around for some time,
  259. although it is not one fo the current "leaders" among Mac antivirals.
  260. Ross Greenburg was one of the first to write an antiviral program for
  261. MS-DOS (Flu-Shot) and it is still a viable program.
  262.  
  263. Company Support
  264.  
  265. Virex-PC was the third to arrive of all the commercial programs I had
  266. requested for review.  Microcom had no problems with shipping across the
  267. border, although the package did arrive crushed.
  268.  
  269. Note also the lack of update notification for the period specified.
  270.  
  271. Documentation
  272.  
  273. Very good (clear, concise) section on general virus information.
  274.  
  275. The procedure given in the Quick Start section could produce an infected
  276. "working copy" of the Virex-PC disk.
  277.  
  278. The installation "prompts" are no better or worse than others reviewed,
  279. but the documentation explains all options very clearly, both in terms
  280. of the options available, and the reasons for the options.
  281.  
  282. Hardware Requirements
  283.  
  284. There are no special hardware requirements.
  285.  
  286. Performance
  287.  
  288. VPCSCAN is amazingly fast.  File checking is at least twice as fast as
  289. either FPROT or SCAN across all platforms tested.
  290.  
  291. VIREX-PC has more options than other vaccine type programs, as well as
  292. change detection capabilities.  However, although one of the standard
  293. alerts in the package is for "direct writes to diskette", and even
  294. though the Stoned/New Zealand virus is one which VPCSCAN will identify
  295. (although not disinfect), VIREX-PC was not able to protect against, and
  296. did not warn of, infection by the Stoned virus.  Although VIREX-PC will
  297. make a checksum of disk or diskette boot sectors, it does not checksum
  298. partition boot records.
  299.  
  300. Local Support
  301.  
  302. No provisions.
  303.  
  304. Support Requirements
  305.  
  306. The installation and operation of VIREX-PC and VPCSCAN should not be
  307. beyond the average intelligent user who is willing to spend time with
  308. the manual before installation.  However, in supported environments, it
  309. would be best to have the support staff perform installation.
  310.  
  311.                           General Notes
  312.  
  313. Although in many respects a superior product, the inability to prevent
  314. infection by the ubiquitous "Stoned" virus must be seen as a failing.
  315. However, Virex-PC will detect the "Stoned" virus, and, with some care,
  316. recovery can take place without recourse to other specialised products.
  317.  
  318. copyright Robert M. Slade 1991
  319.  
  320.  
  321. ==============
  322. Vancouver          p1@arkham.wimsey.bc.ca   | "It says 'Hit any
  323. Institute for      Robert_Slade@mtsg.sfu.ca | key to continue.'
  324. Research into      (SUZY) INtegrity         | I can't find the
  325. User               Canada V7K 2G6           | 'Any' key on my
  326. Security                                    | keyboard."
  327.  
  328. ------------------------------
  329.  
  330. Date:    Fri, 01 Mar 91 11:26:44 -0800
  331. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  332. Subject: Virucide Review (PC)
  333.  
  334.                         Comparison Review
  335.  
  336. Company and product:
  337.  
  338. Parsons Technology
  339. 375 Collins Road NE
  340. Cedar Rapids, IA   52402
  341. USA
  342. 319-395-9626
  343. Virucide
  344.  
  345. Summary:
  346.  
  347. Menu driven scanning and disinfecting program, apparently written by
  348. McAfee Associates.  Recommended for novice or intermediate users in non-
  349. critical situations, or as "first line" defence.
  350.  
  351. Cost    US $49.00
  352.  
  353. Rating (1-4, 1 = poor, 4 = very good)
  354.      "Friendliness"
  355.           Installation
  356.           Ease of use    4
  357.           Help systems   3
  358.      Compatibility       3
  359.      Company
  360.           Stability      2
  361.           Support        4
  362.      Documentation       3
  363.      Hardware required   4
  364.      Performance         3
  365.      Availability        3
  366.      Local Support       ?
  367.  
  368. General Description:
  369.  
  370. A simple and relatively inexpensive virus scanning and disinfecting
  371. program.  The menu driven interface provides a number of useful options,
  372. including on-screen virus information.
  373.  
  374.            Comparison of features and specifications
  375.  
  376.  
  377.  
  378. User Friendliness
  379.  
  380. Installation
  381.  
  382. Installation is clear and straightforward, being simply the copying of
  383. the program and related files to the appropriate disk or area.  Although
  384. the manual indicates installation is to be done from drive A:, it can be
  385. performed from any drive, and to any drive, including floppies.
  386. Installation takes a longer time than one might think, given the
  387. elementary copying operation, but the installation program is clear and
  388. "well prompted".
  389.  
  390. Ease of use
  391.  
  392. Operation is easier than the manual indicates.  The default settings are
  393. well chosen, and although there are command line switches and options
  394. that can be set on screen, they merely provide alternate avenues to the
  395. same operations.  All options are available as menu items, and the menu
  396. interface provides a sense of being "in command" with all functions at
  397. the user's fingertips.  Prompts are clear and informative.
  398.  
  399. The "3-D windowing", although attractive, does, at times, clutter the
  400. screen and distract from the functionality by overlaying and higlighting
  401. portions of the menus that are not currently being used.
  402.  
  403. Help systems
  404.  
  405. There is no "help" per se, but the program is easy enough to use that
  406. this should not be a problem.  One decided advantage is the "Virus Info"
  407. window, which provides a list of viri, and will bring up two or three
  408. paragraphs of information on selected viri.  While useful to a novice or
  409. intermdiate user, this function does not require extensive disk space,
  410. as it is simply a "boilerplate" expansion of the McAfee VIRINFO.TXT
  411. table which is supplied with the disk.  (Indeed, do not make the mistake
  412. of deleting this file under the impression that it serves no purpose.)
  413.  
  414. Compatibility
  415.  
  416. Virucide will detect all of the most common viri, and is roughly "level"
  417. in that regard to most commercial products, although it lags behind such
  418. scanners as SCAN and FPROT.  Given the association between Virucide and
  419. McAfee Associates, this is rather odd.  (Version 2.0 of Virucide is
  420. dated January 28, 1991, but the copyright date on the VIRINFO.TXT file
  421. is 1989.)  However, a "current" version of Virucide should prove
  422. effective against better than 99% of viri encountered.
  423.  
  424. Company Stability
  425.  
  426. Parson's Technology is a mid sized software distribution house, with a
  427. very wide selection of products.
  428.  
  429. Company Support
  430.  
  431. Of the first group of commercial vendors contacted, Virucide was the
  432. first product actually received for review.  Having received the May
  433. 1990 version in December, I received the January 1991 version in mid
  434. February as a "free upgrade".  I have seen numerous references by users
  435. of other Parsons' products to superior customer service.
  436.  
  437. Documentation
  438.  
  439. The documentation is clear and concise, but at times makes the product
  440. appear to be more difficult to use than is actually the case.  There is
  441. no general discussion of viral operation.
  442.  
  443. Hardware Requirements
  444.  
  445. No special hardware required.
  446.  
  447. Performance
  448.  
  449. As above, Virucide has no particular strengths, or weaknesses, in speed
  450. of operation or numbers of viri detected.
  451.  
  452. Local Support
  453.  
  454. No provisions.
  455.  
  456. Support Requirements
  457.  
  458. For general installation and operation, Virucide should not need any
  459. support.  The novice user should be able to use the system as is, and
  460. the intermediate user will be able to make better use of the options
  461. available.
  462.  
  463.                           General Notes
  464.  
  465. The only advantage that the advanced user will find in Virucide is the
  466. "Virus Info" window as a "ready reference".  However, as a "quick check"
  467. for novice or intermediate users, the product deserves consideration.
  468.  
  469. copyright Robert M. Slade 1991
  470.  
  471.  
  472. ==============
  473. Vancouver          p1@arkham.wimsey.bc.ca   | "It says 'Hit any
  474. Institute for      Robert_Slade@mtsg.sfu.ca | key to continue.'
  475. Research into      (SUZY) INtegrity         | I can't find the
  476. User               Canada V7K 2G6           | 'Any' key on my
  477. Security                                    | keyboard."
  478.  
  479. ------------------------------
  480.  
  481. End of VIRUS-L Digest ]Volume 4 Issue 37(
  482. *****************************************
  483.  
  484.  
  485.