home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / extra / fuck0053.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  12.6 KB  |  273 lines
  1.  
  2. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  3. =  F.U.C.K. - Fucked Up College Kids - Born Jan. 24th, 1993 - F.U.C.K.  =
  4. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  5.  
  6.                               The Epidemic
  7.                               ------------
  8.  
  9. Introduction:
  10. -------------
  11.  
  12. I would like to first off start by giving a defintion of a Computer
  13. Virus and a Trojan Horse.  Although this file will be dealing mainly
  14. with computer viruses, I thought I would stick in a comment here
  15. and there about Trojans.
  16.  
  17. Definitions:
  18. ------------
  19.  
  20. COMPUTER VIRUS : a computer program that can infect other computer
  21. programs by modifying them in such a way as to include a (possibly
  22. evolved) copy of itself.
  23.  
  24. The correct English plural of "virus" is "viruses."  The Latin word is
  25. a mass noun (like "air"), and there is no correct Latin plural.
  26.  
  27. TROJAN HORSE : a program that does something undocumented which the
  28. programmer intended, but that the user would not approve of if he knew
  29. about it.  A "Trojan" refers only to a non-replicating malicious program.
  30. Since it is non-replicating it is seperate from the virus family.
  31.  
  32. To date there are 2500 known viruses.  This is an estimate.  In all
  33. actuality there is 2300-3000 viruses depending on how you count them too.
  34. When placed in families there is over 800 known families of viruses.  As
  35. you can probably guess too, with new viruses being created and old ones
  36. being modified, that number is going up very rapidly.  Some estimate that
  37. there will be around 20,000 viruses or so by the year 2000.  Although
  38. this is just an opinion, in all actuality it may very well be reached.
  39.  
  40. In the following sections I will go into the different types of computer
  41. viruses, how to tell if you are infected, how to remove them, and the
  42. best for last:  virus scanners and how they rate.
  43.  
  44. Virus Types:
  45. ------------
  46.  
  47. Viruses infect in two differnt ways.  We either have FILE INFECTORS
  48. or SYSTEM or BOOT-RECORD INFECTORS.
  49.  
  50. File infectors attach themselves to ordinary program files.  These
  51. usually infect other .COM and/or .EXE files.  Some have been known,
  52. though, to infect .SYS, .OVL, and other types of executable files.
  53.  
  54. Breaking it down even further, there are two types of file infectors,
  55. a NON-RESIDENT or a MEMORY RESIDENT virus.  A Non-Resident virus selects
  56. one or more programs to infect at the time of execution, while a Memory
  57. Resident virus hides somewhere in memory.  The first time a memory resident
  58. virus infected program is executed it hides in memory, after that it
  59. begins to infect other programs when they are executed or when ever else
  60. the virus is programmed to do.  Most of the viruses written today are
  61. memory resident.
  62.  
  63. SYSTEM or BOOT-RECORD INFECTORS are memory resident and infect certain
  64. system areas on a disk which are not ordinary files.  Boot-sector viruses
  65. infect only the DOS boot sector, and MBR viruses infect the Master Boot
  66. Record on fixed disks and the DOS boot sector on diskettes.  Some examples
  67. of this type of infector are the Brain, Stoned, and Michelangelo viruses.
  68.  
  69. Some viruses do special 'tricks' in order to hide themselves from
  70. virus scanners.  Three of the most common types of viruses are the
  71. stealth, self-encrypting, and the even more powerful polymorphic virus.
  72.  
  73. A STEALTH virus is a memory resident virus which hides by monitoring the
  74. system functions that read files or physical blocks, and make the results
  75. to be the original uninfected form of the file instead of the actual infected
  76. form.  This makes the virus go undetected by anti-virus scanners.
  77.  
  78. A SELF-ENCRYPTING virus is one which encrypts itself using a key.
  79. When the virus executes, it uses this key to decrypt itself, and
  80. then performs the task it was written to do.  When completed,
  81. the virus uses this key to 'lock' itself with encryption.
  82.  
  83. A POLYMORPHIC virus is a virus which produces various copies of itself.
  84. This makes it hard for virus scanners to detect because usually it
  85. will not be able to detect all instances of the virus.  One method a
  86. polymorphic virus uses is to choose a variety of different encryption schemes.
  87. Each one requiring different encryption algorithm.  A signature-driven
  88. virus scanner would have to use several signatures.  It would have to
  89. use one for each encrytion method.  Another type of polymorphic virus
  90. will vary the sequence of instructions by using unessesscary instructions
  91. like a No Operation instruction.  A signature-based virus scanner would
  92. not be able to reliably identify this sort of virus.
  93.  
  94. The most sophisticated form of polymorphism discovered so far is the
  95. MtE "Mutation Engine" written by the Bulgarian virus writer Dark Avenger.
  96. It comes in the form of an object module, and when added to any virus,
  97. the result will be a polymorphic virus by adding certain call in the code
  98. and linking it to the mutation engine.
  99.  
  100. Polymorphic viruses have made virus-scanning more difficult than ever.
  101. Normal signature strings will not be able to pick up these viruses.
  102. Complex algorithms will have to be created to detect these new viruses.
  103.  
  104. Some viruses use special tricks to make the tracing, disassembling,
  105. and virus detection more difficult.  Probably the first method of
  106. making an old virus sneak by virus scanners was by PKLITEing them.
  107. This worked for a while until researchers picked up on this this little
  108. trick.  Then people moved onto LZ-EXE and DIET compressing files, but soon
  109. these tricks were picked up on.  One that is still able to slide by scanners
  110. is to PG╨AK a file.  As of date, no scanner I have come across has been
  111. able to pick this one up.
  112.  
  113. How to determine if you have been infected.
  114. -------------------------------------------
  115.  
  116. A biological virus can only live as long as its host is alive, if it
  117. kills of its host, then it also dies.  This is also true with computer
  118. viruses.  They try to spread as much as possible before they try and
  119. kill the host computer.  This is the best time to try and remove the
  120. virus before any real damage is done.
  121.  
  122. There are several things you should watch for if you think you might
  123. be infected with a virus.  Changes in a files size, date, and/or contents
  124. could mean that you are infected.  Also, missing RAM could be an
  125. indicator.  Watch for longer disk activity, system slowdown and other
  126. strange hardware behavior.  These factors could mean that you are
  127. infected with a virus.
  128.  
  129. What to do if you think you are infected.
  130. -----------------------------------------
  131.  
  132. Use the DOS MEM command.  MEM /C will tell you if there are any
  133. changes in your systems memory.  Also CHKDSK or publicly available
  134. utilities like PMAP or MAPMEM can help you notice any changes
  135. with system memory.
  136.  
  137. Use several different virus scanners.  No one virus scanner is 100%
  138. perfect.  Later in the file I list the results of several different
  139. virus scanners of 700 various types of viruses.  You can use this to
  140. be a starting guide, and go from there to find out which virus scanner
  141. you like best.
  142.  
  143. Be sure to scan Upper Memory (640k - 1024k) and High Memory (1024k -
  144. 1088k).  It is possible for viruses to locate themselves in these areas,
  145. so be sure to scan in these locations.  Most scanners have a switch
  146. that will make them check the Upper and High memory locations.
  147.  
  148. Virus Scanners:
  149. ---------------
  150.  
  151. There are many virus scanners out on the market, but only a few
  152. are actually reliable.  Scan (McAfee Associates), F-Prot (Fridrik
  153. Skulason), and VireX PC (Datawatch) are the most widely known.
  154. Scan by McAfee Associates is probably used and trusted more than any
  155. of the other virus scanners out there.  It can be easily obtained off of
  156. any BBS, and updates come out regularly.  The problem is, McAfee
  157. associates are more into marketing than virus prevention.  They boast
  158. that they can detect over 2,149 viruses.  Well we have extracted the
  159. signature strings from Scan v104, and they only have 1131 viruses
  160. signature strings.  What happened to the remaining 569 viruses that
  161. it supposedly detects?  As you will see in the benchmarks that I did
  162. on the virus scanners later, Scan just isn't as good as some of the
  163. other virus scanners out there.
  164.  
  165. McAfee Associates claim that there are 2,149 known viruses, and that
  166. Scan can detect all 2,149 of these.  During a conversation with them, I
  167. asked them how they handle polymorphic viruses, and all they had to say
  168. was very well, and it uses a special algorithm to detect them.
  169.  
  170. F-Prot claims to pick up 95% of known viruses
  171. 95% of those are picked up by signature strings, but in a few
  172. cases it uses algorithmic scan techniques for polymorphic viruses
  173.  
  174. BenchMark:
  175. ----------
  176.  
  177. 700 Viruses Tested
  178.  
  179. Scan v108 619 infected
  180. F-prot 2.09d Secure Scan 654 infected, 10 suspicous
  181. F-prot 2.09d Quick Scan 496 infected, 0 suspicous
  182. F-Prot 2.09d Huerstic Scan 654 infected, 10 suspicous
  183. MicroSoft's Dos 6.0 Msav 434 infected
  184. Virex 2.8 568 infected
  185.  
  186. 18 Trojans Tested
  187.  
  188. Scan v108 0
  189. F-Prot 2.09d Secure Scan 14
  190. F-Prot 2.09d Quick Scan 0
  191. F-Prot 2.09d Huerstic Scan 14
  192. MicroSoft's Dos 6.0 Msav 0
  193. Virex 2.8 thought 1 trojan was a virus
  194.  
  195. What to do if you are infected.
  196. -------------------------------
  197.  
  198. Common rule: Do the minimum that you must to restore the system to
  199. a normal state.
  200.  
  201. This is just common sense.  Why low-level format your Hard Drive
  202. when you could just delete an infected file, or run a virus cleaner
  203. on it.
  204.  
  205. Start with booting the system from a CLEAN disk.  Use your original
  206. write-protected DOS diskette to boot from.  This will keep any boot-
  207. sector or other viruses from becoming active while booting.
  208.  
  209. If you have a backup of the infected files, and if the backups are
  210. not infected, then this will be the best and easiest solution.  Just
  211. start copying the backed-up files over the infected files.
  212.  
  213. If back-ups don't exist, or if you just don't want to go through all that
  214. trouble, then a disinfecting program can be used.  Since some viruses
  215. overwrite the files that they infect, those files can not be replaced
  216. because of the damage caused by overwriting.  If it is possible to
  217. disinfect the file, then use your favorite virus disinfector.
  218.  
  219. If you have a boot sector infection.  Then an easy two-step method
  220. can be used.  First of all replace your MBR (Master Boot Record) by
  221. using a backup, or by using the FDISK/MBR command.  Then use the
  222. SYS command to replace the DOS boot sector.
  223.  
  224. Virus Prevention:
  225. -----------------
  226.  
  227. There are many things one can do to help prevent being infected by a
  228. virus.  First off, boot from a clean, write-protected diskette.  This
  229. will prevent any viruses from becomming active during the booting
  230. process.  This should stop most boot sector viruses which become active
  231. during booting.
  232.  
  233. Another method is to have a memory resident virus scanner.  These
  234. programs monitor any unusual disk activity or 'virus like' instructions.
  235. Usually you can have different degrees of protection.  Ranging from no
  236. protection to being prompted for approval for any disk writes.
  237.  
  238. You can also write-protect your harddrive.  This will stop viruses from
  239. spreading to the disk that is protected, but it doesn't stop the virus
  240. from running.
  241.  
  242. Setting the DOS file attributes to READ ONLY doesn't always protect
  243. from viruses.  It may stop some viruses, but most override it, and
  244. infect as normal.
  245.  
  246. Write protect your floppies.  Viruses can't infect a disk when it
  247. is write protected.
  248.  
  250. ⌡Max Headroom⌠
  251.              ⌡
  252.  
  253.  
  254. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  255. = Questions, comments, bitches, ideas, etc : z1max@ttuvm1.ttu.edu :FUCK =
  256. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  257. = Official F.U.C.K. Distribution sites and information                  =
  258. = Board                     Number                Other                 =
  259. = -----                     ------                -----                 =
  260. = Ionic Destruction         215.722.0570          Eastern HQ            =
  261. = Flatline                  303.466.5368          Western HQ            =
  262. = Purple Hell               806.791.0747          Southern HQ           =
  263. = Culture Shock             717.652.5851          Dist.                 =
  264. = PCI                       806.794.1438          Dist.                 =
  265. = Celestial Woodlands       806.798.6262          Dist.                 =
  266. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  267. = Accounts NOT guaranteed on any F.U.C.K. distribution site. If you are =
  268. = interested in writing for, or in becoming a distribution site for     =
  269. = F.U.C.K. call the Woodlands, and apply for an account, or mail Max    =
  270. = at z1max@ttuvm1.ttu.edu or on the Woodlands. Knowledge is power...    =
  271. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  272.  
  273.