Path: utzoo!utgpu!news-server.csri.toronto.edu!rutgers!netnews.upenn.edu!vax1.cc.lehigh.edu!cert.sei.cmu.edu!krvw
From: frankm@neuulm-emh1.army.mil (Ghostbuster)
Newsgroups: comp.virus
Subject: 4096 virus info, in German (PC)
Message-ID: <0002.9010041806.AA01362@ubu.cert.sei.cmu.edu>
Date: 1 Oct 90 03:10:49 GMT
Sender: Virus Discussion List <VIRUS-L@LEHIIBM1>
Lines: 46
Approved: krvw@sei.cmu.edu


    I found this message in the German Computerweek magazin, but I'm
    not able to translate it correctly. So I hope you got somebody for
    the translation, and also I hope this will be interested.

                               COMPUTERWOCHE

                       Nr. 38 vom 21. September 1990

    Virus - Update

    Hilfe gegen Tarnkappen - Viren:

    Das infame 4096-, alias Frodo - Virus, das sich resident in den
    Hauptspeicher ldt und dort dafr sorgt, daa es fr alle gngigen
    Utilities unsichtbar ist (siehe CW 33 vom 17. August 1990, S.10), hat
    eine Achillesfers - eben seine Unsichtbarkeit. Beim Kopieren eines
    infizierten Programms ist unter bestimmten Umstnden die Kopie
    virusfrei. Voraussetzung: Das Virus ist resident im Hauptspeicher und
    die Namens-Extension der Zieldatei ist nicht die einer ausfhrbaren
    Datei (COM, EXE, OVL oder SYS.) Dann nmlich filtert das residente
    Virus, um sich wie gewohnt zu verstecken, seinen Code aus dem
    Bytestrom heraus.
    In der Zieldatei kommt damit nur der ursprngliche Programmcode an.
    Am besten verwendet man fr diese Prozedure ein Komprimierprogramm
    wie PKARC. Inwieweit es mit den DOS-Programmen COPY und XCOPY
    funktioniert, ist noch umstritten.
    Anschlieaend mssen die infizierten Programme gelscht, das System von
    einer definitiv "sauberen" Diskette gebootet und die Kopien wieder
    dekomprimiert (beziehungsweise mit den richtigen Extensions versehen)
    werden.
    Virus-Experten jedoch warnen vor dieser "Therapie". Weil sie nicht so
    einfach ist, wie sie klingt, sollten sich nur Leute an ihr versuchen,
    die mit ihrem PC auf Bit-Level vertraut sind. Die sicherste Lsung
    seien professionelle Antivirusprogramme, deren neuere Versionen diesen
    "Erreger" bereits erkennen, wie der Virenscanner von Solomon
    (Findviru), McAfee (Scan) oder Skulason (F-Fehler). Das Programm Turbo
    Anti Virus von EPG International kann Ihn angeblich auch gleich
    entfernen.
    Noch zwei Hinweise:
    1. Signaturprogramme und Virenscanner sollten nur von einer garantiert
    sauberen Diskette gestartet werden und nur dann, wenn der PC zuvor von
    einer ebenso sauberen Diskette gebootet wurde.
    2. Wird das Virus aktiv, gibt es aufgrund eines Programmfehlers die
    Meldung "Frodo Lives" nicht aus. Statt dessen hngt sich der Rechner
    auf.