home *** CD-ROM | disk | FTP | other *** search

---

/ Hall of Fame / HallofFameCDROM.cdr / util2 / vshld63.lzh / VSHLD63.DOC

< prev

Wrap

Text File  |  1990-06-02  |  24KB  |  510 lines

---

1.                      VSHIELD.EXE 1.8 V63
2.                     Copyright McAfee Associates 1989, 1990
3.  
4.  
5. NOTE:  This product may not be used in a business, corporate,
6. organizational, government or agency environment without a
7. negotiated site license.  Contact McAfee Associates for
8. information:
9.  
10.         408 988 3832 - Voice phone
11.         408 970 9727 - FAX
12.         408 988 4004 - BBS System
13.  
14.  
15.     
16.     VSHIELD is the replacement product for SCANRES, beginning with
17. version 62.  It is a major re-design of the older product and it
18. now includes the capability to prevent boot sector infections as
19. well as file infections.  This boot-virus protection capability had
20. been requested by numerous users and now here it is.  VSHIELD has
21. been tested against all of the known viruses and it successfully
22. prevents infection in all cases.  No false alarms or undesirable
23. system interferences have been reported from the use of the
24. program.  Current license holders of the existing SCANRES product
25. will receive full rights to the VSHIELD program at no additional
26. cost. 
27.  
28. Executable Program (VSHIELD.EXE):
29.     Versions 46 and above are packaged with a VALIDATE program
30. that will authenticate the integrity of VSHIELD.EXE.  Refer to the
31. VALIDATE.DOC instructions for the use of the validation program.
32.     The validation results for V63 should be:
33.                 SIZE: 40,987
34.                 DATE: 6-02-1990
35.     FILE AUTHENTICATION:
36.         Check Method 1 - CCE7
37.         Check Method 2 - 01FB
38.  
39.     You may also call the McAfee Associates bulletin board at 408
40. 988 4004 to obtain on-line VSHIELD.EXE verification data.  The
41. VALIDATE program distributed with VSHIELD may be used to
42. authenticate all future versions of VSHIELD.
43.  
44.  
45. Notes on Version 63:
46.     Version 63 has been one of the most painful versions we have
47. put together.  There have been 17 new viruses and virus sub-strains
48. discovered in the 35 days since the release of version 62-B.      
49.     In addition, we've been struggling with the issue of how to
50. count viruses in a meaningful way that does not place us in a
51. seemingly disadvantageous competitive position.  For example:
52. Numerous anti-virus programs advertise the number of viruses that
53. they are able to block, and these numbers range from less than 50
54. to over 100.  On analysis, these numbers included all of the known
55. sub-strains of the viruses, and their virus count by our
56. classification was always substantially less.  We group viruses by
57. major type, where possible, to make it easier to manage, both from
58. an identification and removal basis.  But on a sheer numbers
59. comparison, VSHIELD appears in a weaker light.  After careful
60. thought, we decided to stick with our classification scheme, but
61. in the VIRLIST.TXT we will list the known variants detected in
62. parentheses.  By the competition's counting scheme, we now block
63. 167 viruses.  By our count, we block 97.   
64.     The 17 new viruses and new sub-strains added for version 63
65. have come from a variety of sources.  Vesselin Bontchev from
66. Bulgaria submitted three new variants of the 512, one new variant
67. of the W-13 virus and two entirely new viruses that have surfaced
68. in Eastern Europe.  Dave Chess from IBM provided me with three new
69. viruses collected through the various IBM contacts.  Patricia
70. Hoffamn provided one new virus and two new variants submitted from
71. users of the FidoNet network.  The Icelandic virus researcher
72. Fridrik Skulason provided one new virus.  The remaining four were
73. submitted directly by Homebase users.  The VIRLIST.TXT document
74. describes the main operating characteristics of the new viruses. 
75. To avoid duplication of effort, I am referring users to Patricia
76. Hoffman's most current VSUM document for a detailed description of
77. the new viruses.  This document may be obtained from most bulletin
78. boards.
79.     
80.  
81.  
82. Introduction:
83.  
84.     VSHIELD is a memory resident program that  prevents
85. viruses from getting into your system.  It monitors and scans
86. programs as they are loaded and prevents infected programs from
87. executing.  It also prevents boot viruses from entering the system
88. by trapping each warm-boot request (Ctrl-Alt-Del), and disallowing
89. re-boots from infected diskettes.  It also scans specific areas of
90. the system - the boot sector, partition table, hidden files,
91. Command Interpreter and itself, when it is first executed.  Thus,
92. if the power is turned off and then the system is booted from an
93. infected floppy (while VSHIELD is not running), VSHIELD will detect
94. any infection the next time VSHIELD is loaded.
95.     The memory resident module -- VSHIELD.EXE - will identify the
96. virus strain which has caused the infection in all cases of the
97. known viruses.  It remains active in your system at all times after
98. it is loaded.
99.     VSHIELD version 1.8V63 can identify and prevent infection from
100. 97 major virus strains and 167 sub-strains.  The 167 viruses
101. include the ten most common viruses which account for over 95% of
102. all reported PC infections.  The complete list (in order of most
103. recent appearance) is outlined in the accompanying file:
104. VIRLIST.TXT.
105.  
106.     These viruses infect one of the following areas:  The hard
107. disk partition table; the DOS boot sector of hard disks or
108. floppies; or one or more executable files within the system.  The
109. executable files may be operating system programs, system device
110. drivers, .COM files, .EXE files, overlay files or any other file
111. which can be loaded into memory and executed.  VSHIELD identifies
112. the area or file that has become infected and indicates the name
113. of the virus that has infected each area.  
114.     When an infection is identified, the VIRUSCAN non-resident
115. system scanner should be used to scan the entire system and
116. determine the extent of the infection.  If you do not have the
117. VIRUSCAN non-resident program, it may be downloaded from the
118. HomeBase BBS at 408 988 4004. 
119.  
120.  
121. Operation:
122.  
123. IMPORTANT: First place VSHIELD on a write protected floppy prior
124. to installing it.  This will ensure a valid copy in the event that
125. the program becomes infected.
126.  
127.     To install VSHIELD, place the following line as the first
128.     entry in your AUTOEXEC.BAT file:
129.  
130.             VSHIELD  [/NB]
131.  
132.             /NB is an optional parameter that tells VSHIELD
133.              not to check the boot sector of floppies for
134.              viruses on a re-boot.  This option should only
135.              be used if the re-boot check confilcts with 
136.              other memory resident programs.
137.  
138.     Then copy the file VSHIELD.EXE to the root directory of your
139.     bootable hard drive (usually C:).        
140.  
141.     VSHIELD will then become active each time the system is
142. powered-on or re-booted.  It will check the critical areas of the
143. system for viruses, including itself, and then monitor all program
144. loads.  As programs are loaded, VSHIELD will scan the programs
145. looking for viruses.  If a virus is found, VSHIELD will display a
146. warning message and name the infection.  The infected program will
147. then be terminated.  If a re-boot is attempted while an infected
148. diskette is in the bootable floppy drive, VSHIELD will disallow the
149. boot attempt and will display a warning message.
150.     Unlike many memory resident virus filter programs, VSHIELD
151. will not cause false alarms.  If a warning message is issued by
152. VSHIELD, you can be assured the identified program or diskette is
153. infected.  Also, since it does not attempt to monitor file I/O or
154. normal disk accesses, it will not conflict with other memory
155. resident programs.
156.  
157. **************************
158. MEMORY RESIDENT CONFLICTS:
159. **************************
160.  
161.     VSHIELD should normally be loaded as the first entry in the
162. AUTOEXEC file.  However, disk cache programs that allow cache
163. writes as well as reads, such as PC Tools' PC-Cache, will not work,
164. and may cause severe damage to the disk data, unless they are
165. loaded before any other memory resident programs.  If you are
166. running a disk cache routine that caches reads AND writes to the
167. disk, then place VSHIELD at the end of the AUTOEXEC file.  
168.     If you place VSHIELD at the end of the AUTOEXEC file, then the
169. Write Delay paramaters for the cache program must be set to zero. 
170. If the Write Delay for the cache program is set to any value other
171. than zero, then data loss can occur if a re-boot is attempted in
172. the middle of a write to the disk.  Refer to your cache program's
173. user manual to determine how to set the write delay.
174.  
175. ERROR LEVELS:
176.     VSHIELD sets the DOS error level after it becomes resident. 
177. If it finds a virus in the boot sector, operating system, or itself
178. prior to going resident, it sets the error level thus:
179.  
180.         No viruses found  - 0
181.         One or more found - 1
182.         System Error      - 2
183.  
184. REMOVING VSHIELD:
185.     VSHIELD may be removed from memory by issuing the following
186. command:
187.  
188.                VSHIELD  /REMOVE
189.  
190.     This will de-install the program and remove it from memory. 
191. If there are other memory resident programs that have hooked the
192. same interrupts as VSHIELD and which have been loaded after
193. VSHIELD, it may not be safe to remove the program and VSHIELD will
194. not de-install.  An error message will be displayed in this
195. instance.
196.  
197. SYSTEM OVERHEAD:
198.     VSHIELD requires 22K of system memory.  It will add an average
199. of 4 seconds to each program load, and 6 seconds to each re-boot. 
200. After a program has loaded and begun execution, however, VSHIELD
201. will not degrade the performance or speed of the system in any way.
202.                 
203. Registration:
204.  
205.     A registration fee of $25 is required for the use of VSHIELD
206. by individual home users.  Please send registrations to the address
207. below.  This registration covers the copy currently in use and
208. future versions for one year, providing they are obtained from the
209. McAfee Associates bulletin board or other public or private board. 
210. Diskettes will not be mailed unless specifically requested.  Add
211. $9 for diskette mailings.  The McAfee Associates board number is
212. - 408 988 4004 - 1200/2400, N,8,1; 5 lines.
213.  
214. Corporate and organizational use:
215.  
216.     Corporate site licenses are required for corporate, agency and
217. organizational use.  For site license information contact:
218.             McAfee Associates
219.             4423 Cheeney Street
220.             Santa Clara, CA  95054
221.             408 988 3832 voice
222.             408 970 9727 fax
223.  
224. Virus Removal:
225.  
226.     What do you do if a virus is found?  Well, if you are a
227. registered VIRUSCAN or VSHIELD user, you may contact McAfee
228. Associates for free assistance in manually removing the virus.  We
229. strongly recommend that you get experienced help in dealing with
230. many of the viruses, particularly partition table and boot sector
231. infections.  If you are not a registered user, the following steps
232. should be followed:
233.  
234.     Boot sector infections:
235.     Power down the system.  Power up and boot from an uninfected,
236.      write protected floppy.  Execute the DOS SYS command to
237.      attempt an overwrite of the boot sector.  This works in many
238.      cases.  If this does not work, backup all data files and
239.      perform a low level format of the disk.
240.  
241.     Executable file infections:
242.     Remove all infected files.  Replace from the original
243.      distribution diskettes.
244.  
245.     Partition table infections:
246.     Without a removal utility, the only option is to low level
247.      format the media.
248.  
249.     Disinfecting utilities are available from McAfee Associates
250.      for the majority of the common viruses.  If you are not a
251.      registered user of VIRUSCAN, you may purchase these utilities
252.      from:
253.  
254.         McAfee Associates
255.         4423 Cheeney Street
256.         Santa Clara, CA 95054
257.         408 988 3832
258.  
259.         BBS: 408 988 4004
260.  
261.  
262.                 Version Notes
263.  
264. Notes on Version 62-B:
265.     Version 62-B fixes a bug in version 62 that caused VSHIELD to
266. work incorrectly in systems that were infected prior to installing
267. VSHIELD.  An option was also added to allow skipping the floppy
268. boot sector check at re-boot time.  This option should only be used
269. if the re-boot check conflicts with other memory resident programs.
270.  
271. Version 62:
272.     Version 62 identifies four new viruses.  The first is a COM
273. and EXE infector called the Eight Tunes virus (also called the 1971
274. virus).  This virus is memory resident and randomly plays one of
275. eight German folk songs on the system speaker.  It appears to have
276. no destructive code within it.  The virus adds approximately 1975
277. bytes to infected files.  A second musical that appeared in the
278. past two weeks is the Yankee Doodle-2 virus.  This virus is similar
279. to the first Yankee Doodle, except that it plays the Yankee Doodle
280. tune as soon as an infected program is executed.  It infects EXE
281. files only.
282.     The third virus reported is a small non-memory resident COM
283. infector called the Kennedy virus.  It appears to have no
284. destructive or disruptive code but it does contain a reference to
285. the Kennedy family inside the virus code.  The fourth virus is a
286. destructive virus called the June 16th virus.  It is a non-resident
287. virus that infects COM files, including the Command Interpreter
288. (COMMAND.COM).  On every June 16th, the virus activates and
289. replaces all FAT entries with the word "ZAPPED".
290.  
291. Version 61:
292.     Version 61 is able to detect five new viruses reported since
293. March 1, 1990.  The first virus was submitted by Dave Chess of IBM.
294. It is a destructive COM and EXE infector called the Saturday the
295. 14th virus.  The virus activates every Saturday that falls on the
296. 14th of any month and causes the first 100 sectors of the A, B, and
297. C drives to be overwritten.  The net result is loss of all of the
298. control information for the media assigned to those drives.  The
299. Partition table, Boot Sector and FAT will be destroyed.  The virus
300. is 685 bytes long and is memory resident.
301.     The second new virus is the 1392 virus which was also
302. submitted by Dave Chess of IBM.  The virus does little damage,
303. other than corruption of the infected programs, but it does display
304. the following message:  "SMA KHETAPUNK - Nouvel Band A.M.O.E.B.A." 
305. No idea what this means.  The virus changes the date of infected
306. files to the date of infection; it is memory resident; it infects
307. both COM and EXE files, including COMMAND.COM and is 1392 bytes
308. long.
309.     The third new virus is the XA1, or Christmas Tree virus.  It
310. was submitted by Christoff Fischer of West Germany.  It is an
311. encrypted virus that only infects COM files.  It activates on April
312. the 1st and destroys the partition table of the hard disk.  From
313. December 24th till January 1st it will draw a full screen picture
314. of a christmas tree when an infected program is executed.  It is
315. not memory resident.
316.     The fourth and fifth new viruses were discovered in Spain and
317. are called the 1720 and 1210 viruses.  The 1720 infects both COM
318. and EXE files, while the 1210 only infects EXE files.  Little is
319. know of these viruses at this point other than that the 1720
320. appears to be destructive.  The viruses were named after their
321. respective lengths.
322.     In addition to the above new viruses, version 61 fixes a bug
323. which caused it to mis-identify the Korea Virus.
324.  
325. Version 60:
326.     Version 60 identifies four new viruses that have been reported
327. from widely dispersed parts of the world.  The first virus, the
328. Solano 2000, or Dyslexia virus, was widely and suddenly reported
329. in Solano County California in late February and Early March 1990. 
330. The first person to isolate and submit the virus was Edward
331. Winters.  The virus is 2000 bytes long, but bears no resemblance
332. to the V2000 virus from Bulgaria.  The virus infects only COM
333. files, is memory resident, and infects each file as it is executed.
334. The virus randomly reverses contiguous numeric data in the video
335. buffer.  No other damage has been observed.
336.     The second virus, ItaVir, was submitted by Andrea Salvia and
337. Emilio Caravaglia of Milan Polytechnic in Milan, Italy.  The virus
338. is 3,880 bytes long, infects only EXE files and is not memory
339. resident.  The virus is activated based on the amount of time it
340. has been in the system (apparently a random time greater than 24
341. hours) and when activated, it sequentially writes all values
342. (between 0 and 255) to all I/O ports in the system.  The result is
343. a dramatic confusion of all peripherals.  The video monitor will
344. flicker and if the monitor is VGA, will also hiss.  The boot sector
345. is also wiped out and the system will be non-bootable on power-up.
346.     The third virus, Vcomm, was submitted by Yuval Tal from
347. Rehovot, Israel.  It is a non-memory resident EXE infector and is
348. 1074 bytes long.  After the virus is first executed, it infects one
349. other EXE file and then modifies the in-memory Command Interpreter
350. so that the DOS COPY command no longer works.  No other disruptions
351. have been reported from this virus.
352.     The fourth virus is a boot sector infector submitted from
353. Korea.  Limited analysis has been done so far on this virus other
354. than developing an identifier.  The virus has been named the Korea
355. Virus.
356.  
357. Version 59:
358.     Version 59 now catches a number of new variations of the
359. Vienna, Yankee Doodle and Vacsina.  These variations were submitted
360. by researchers in Eastern Europe.  The variations of the Yankee
361. Doodle and Vacsina appear to be earlier trial versions of these
362. viruses.  They don't appear to be harmful, other than corrupting
363. the programs that are infected and there have been no reported
364. incidents of infection in the U.S. or Western Europe.  The
365. variations of Vienna are likewise apparently harmless.  
366.     A completely new virus has also been added to the scan
367. list.  Called the V2000 virus, it works as follows:
368.     It installs resident in memory and then searches for and
369. infects the Command Interpreter (COMMAND.COM).  It will then infect
370. any COM or EXE file whenever the file is opened.  Thus, the
371. executable files are infected whenever they are executed, copied
372. or manipulated in any way.  The virus hides the length increase of
373. infected files, much like the 4096, so the user will not see the
374. increased file lengths in the listing displayed by the DIR command.
375.     The virus is very virulent and has caused system crashes and
376. lost data, as well as causing some systems to become non-bootable
377. after infection.        
378.                              
379. Version 58:
380.     Version 58 includes tests for three new viruses:  EDV, 512 and
381. 1559 viruses.  These viruses are listed in the accompanying
382. VIRLIST.TXT document.
383.  
384. Version 57:
385.     SCANRS57 has been substantially modified to prevent infection
386. by viruses that use variable encryption techniques.  Two such
387. viruses surfaced for the first time in January.  These viruses
388. cannot be accurately identified with simple I.D. strings. The
389. changes to VSHIELD now allow these two viruses to be positively
390. blocked, and blocking future viruses that use similar techniques
391. has been simplified.
392.     Both of these encrypted viruses were written as "experimental"
393. viruses.  One surfaced on a number of bulletin boards in Minnesota
394. under the name of COM_AIDS.ZIP.  I have named it the 1260 virus,
395. although it is based in part on the original Vienna virus.  The
396. other was written by Patrick Toulme in Washington D.C. (author of
397. Virus-90).  He has called the new virus Virus-101.  Neither of
398. these viruses was designed to be destructive - they just attach
399. themselves to other programs.  However, there is no such thing as
400. a "harmless" virus.  All viruses corrupt the code of the host
401. programs, and none enter your system under invitation.  And none
402. have yet successfully been contained.  Even the most well designed
403. and coded "harmless" virus will cause problems in some mix of
404. hardware/BIOS/DOS-Version/Memory-resident-programs etc.  The
405. Pakistani Brain is a prime example of this.  For this reason we
406. oppose the public distribution of any kind of virus.  Once
407. released, they cannot be controlled.  In addition, many lazier
408. hackers can easily modify "harmless" viruses to become destructive,
409. and many instances of such modification exist.  Thus, V57 of
410. VSHIELD includes prevention for both of these viruses.
411.     In addition to the above two viruses, V57 blocks the Joker
412. and Perfume viruses from Poland, the Icelandic-3 found by
413. Fridrik Skulason in Iceland and the Halloechen virus reported by
414. Christoff Fischer at the University of Karlsruhe in West Germany. 
415. These are detailed in VIRLIST.TXT.
416.  
417. Version 56:
418.     Version 56 now does a memory scan for the Dark Avenger and
419. 4096 viruses at the time it is loaded.  It also adds the Chaos and
420. Taiwan viruses to the list of identifiable viruses.
421.  
422. Version 54:
423.     Version 54 fixes a bug in V54 that caused false alarms for the
424. 4096 virus in a few instances.  Please do not use version 53.
425.  
426. Version 52:
427.     Version 52 includes detection for the Devil's Dance virus and
428. the AIDS Information Trojan program.
429.  
430. Version 50:
431.     Version 50 detects the Holland Girl virus.  It infects .COM
432. files and increases their size by 1332 bytes.  It contains the name
433. and phone number of a girl named Sylvia in Holland.  Potential
434. damage from this virus is currently unknown.
435.  
436. Version 49:
437.     A new file - VIRLIST.TXT has been added to the VSHIELD
438. package.  This file lists the known viruses and describes, in table
439. format, their critical characteristics.    
440.     Version 49 also checks for the following new viruses:
441.         -     Do-Nothing virus.  This virus was reported in
442.                October by Uval Tal in Israel.  It infects COM files
443.                but does no other damage and does not affect the
444.                system in any observable way.
445.         -    Lisbon Virus.  This virus was discovered by Jean Luz
446.                of Lisbon, Portugal in November.  It infects COM
447.                files and increases the size of infected programs
448.                by 648 bytes.  It destroys 1 out of 8 infected
449.                programs by overwriting - @AIDS over the first five
450.                bytes of the infected program.
451.         -    Sunday Virus.  This virus was discovered by multiple
452.                users in the Seattle, Washington area.  It activates
453.                on Sundays and displays the message - "Today is
454.                Sunday, why do you work so hard?".  Damage to the
455.                FAT has been reported from a number of infected
456.                sites.
457.  
458. Version 48:
459.     Version 48 identifies the TYPO .COM virus that has been
460. reported by Joe Hirst of Brighton, U.K.  The virus infects COM
461. files and garbles data sent to the parallel port.
462.  
463. Version 47:
464.     Version 47 identifies the DBASE virus reported by Ross
465. Greenburg of New York.  This virus infects COM files and will
466. corrupt data in any file with a DBF extension.
467.  
468. Version 46:
469.     Version 46 now includes a test for the Ghost virus.  This
470. virus was discovered in September by Fridrik Skulason at Icelandic
471. University.  The virus infects .COM files and the boot sectors of
472. hard disks and floppies.  The virus increases the size of infected
473. COM files by 2,351 bytes, and replaces the boot sector of infected
474. systems with a boot virus similar to Ping Pong.  Random file
475. corruption by this virus has been reported.  VSHIELD identifies
476. both the COM version and the boot version of this virus.
477.  
478. Version 45:
479.     Version 45 now checks for the New Jerusalem virus discovered
480. by FIDONET SysOps Jan Terpstra and Ernst Raedecker in the
481. Netherlands.
482.  
483. Version 44:
484.     Version 44 fixes a bug in 43.  Version 43 cannot identify the
485. Jerusalem-B virus (earlier versions of VSHIELD work correctly). 
486. DO NOT USE version 43.
487.  
488. Version 43:
489.     Version 43 now identifies the Alabama Virus.  This virus was
490. discovered by Ysrael Radai at Hebrew University and forwarded to
491. us through Dave Chess at IBM.  The virus infects .EXE files and
492. increases their size by 1560 bytes.  It manipulates the file
493. allocation table and swaps file names so that files are slowly
494. lost.
495.     Additional Version 43 enhancements are:
496.         - Fix to include EXE file searches for DataCrime II
497.         - Fix for duplicate reporting when Ashar virus is
498.             identified
499.  
500. Version 42:
501.     Version 42 of VSHIELD includes an identifier for the Yankee
502. Doodle Virus.  This virus was discovered in Vienna by Alexander
503. Holy at the United Nation's office on Sept 30th.  The virus has
504. reportedly been transmitted to the U.S. through U.N. employees via
505. the game - 'Outrun'.  The virus plays the tune - 'Yankee Doodle
506. Dandy' on the system's speaker 17 hours after an infected program
507. is loaded.  Both COM and EXE files can be infected, and infected
508. files grow by 2899 bytes.  No knowledge yet of eventual damage
509. potential.
510.