frankm@neuulm-emh1.army.mil (Ghostbuster) (10/01/90)
I found this message in the German Computerweek magazin, but I'm
not able to translate it correctly. So I hope you got somebody for
the translation, and also I hope this will be interested.
COMPUTERWOCHE
Nr. 38 vom 21. September 1990
Virus - Update
Hilfe gegen Tarnkappen - Viren:
Das infame 4096-, alias Frodo - Virus, das sich resident in den
Hauptspeicher ldt und dort dafr sorgt, daa es fr alle gngigen
Utilities unsichtbar ist (siehe CW 33 vom 17. August 1990, S.10), hat
eine Achillesfers - eben seine Unsichtbarkeit. Beim Kopieren eines
infizierten Programms ist unter bestimmten Umstnden die Kopie
virusfrei. Voraussetzung: Das Virus ist resident im Hauptspeicher und
die Namens-Extension der Zieldatei ist nicht die einer ausfhrbaren
Datei (COM, EXE, OVL oder SYS.) Dann nmlich filtert das residente
Virus, um sich wie gewohnt zu verstecken, seinen Code aus dem
Bytestrom heraus.
In der Zieldatei kommt damit nur der ursprngliche Programmcode an.
Am besten verwendet man fr diese Prozedure ein Komprimierprogramm
wie PKARC. Inwieweit es mit den DOS-Programmen COPY und XCOPY
funktioniert, ist noch umstritten.
Anschlieaend mssen die infizierten Programme gelscht, das System von
einer definitiv "sauberen" Diskette gebootet und die Kopien wieder
dekomprimiert (beziehungsweise mit den richtigen Extensions versehen)
werden.
Virus-Experten jedoch warnen vor dieser "Therapie". Weil sie nicht so
einfach ist, wie sie klingt, sollten sich nur Leute an ihr versuchen,
die mit ihrem PC auf Bit-Level vertraut sind. Die sicherste Lsung
seien professionelle Antivirusprogramme, deren neuere Versionen diesen
"Erreger" bereits erkennen, wie der Virenscanner von Solomon
(Findviru), McAfee (Scan) oder Skulason (F-Fehler). Das Programm Turbo
Anti Virus von EPG International kann Ihn angeblich auch gleich
entfernen.
Noch zwei Hinweise:
1. Signaturprogramme und Virenscanner sollten nur von einer garantiert
sauberen Diskette gestartet werden und nur dann, wenn der PC zuvor von
einer ebenso sauberen Diskette gebootet wurde.
2. Wird das Virus aktiv, gibt es aufgrund eines Programmfehlers die
Meldung "Frodo Lives" nicht aus. Statt dessen hngt sich der Rechner
auf.ldoering@caen.engin.umich.edu (Laurence Doering) (10/05/90)
In article frankm@neuulm-emh1.army.mil (Ghostbuster) writes: > > I found this message in the German Computerweek magazin, but I'm > not able to translate it correctly. So I hope you got somebody for > the translation, and also I hope this will be interested. > > COMPUTERWOCHE > > Nr. 38 vom 21. September 1990 > > auf. [Ed. German text deleted. We got two translations for the article referenced above. I'm including them both in today's digest. Thanks to those who spent the time on this! Your efforts are very much appreciated.] This is an attempt at translation. My German is a little rusty, and I am not entirely familiar with German computer jargon, so standard disclaimers apply. Virus Update Help against concealed viruses The infamous 4096, alias Frodo, virus, resides in main memory and because of that causes problems and is invisible to anti-virus utilities (see Computer Woche 33, dated August 17 1990, page 10). This virus has an Achilles heel - its own invisibility. When an infected program is copied, a combination of circumstances makes the copy virus free. Prerequisites: the virus is resident in memory and the name extension of the destination file is not an extension that indicates an executable file (COM, EXE, OVL, or SYS). In this case the virus, in order to keep itself resident, filters its own code out of the byte stream. The destination file receives only the original program code. The best choice to accomplish this procedure is a compression program like PKARC. Whether this works with the DOS programs COPY and XCOPY is currently unknown. Immediately afterwards, the system must be booted from a diskette that is known to be clean, and the copied file decompressed (with its original extension). However, virus experts warn against this "therapy". Since it is not very simple, only people who are experienced in working with their PCs at the bit level should attempt it. The safest solution is to use a professional anti-virus program whose latest version is aware of this type of infection, such as the virus scanner from Solomon (Findviru), McAffee (Scan), or Skulason (F-Fehler). The Turbo Anti Virus program from EPG International can supposedly also remove it. Two remarks: Signature programs and virus scanners should only be run from a diskette that is guaranteed to be clean, and only then after the PC has been booted from a diskette that is also clean. If the virus is still active, a program error does not produce the message "Frodo Lives". Instead, the computer hangs.